Mi foro ha sido hackeado varias veces: eval(base64_decode

Duditas · 19 Dic 2013

Hola, necesito vuestra ayuda.

Llevo varias semanas teniendo problemas con mi foro. La versión es vbforum_4_4-2-2

La primera vez que me lo hackeraron se podía entrar, pero al pinchar en todos y cada uno de los enlaces, pillaba una redirección a adfly.
Les avisé y suspendieron la cuenta asociada al número de la redirección, borré el código que me habían metido en el home y desde entonces esto es una pesadilla.

Después de haber tenido que resubir archivos y base de datos tres veces porque no se podía acceder a la web, a pesar de cambiar las tres veces la contraseña, han vuelto a entrar

He hecho un examen minucioso de todas las carpetas y me he encontrado estos dos archivos: injection.3.3.php y cpanel.php, donde pone: "Ftp Killer By QuantuM_QueeN & Mask_magicianZ (...)".

En el config.php siempre encuentro el código eval(base64_decode...

Después de haber resubido todos los archivos otra vez, cambiado de nuevo la contraseña y haber borrado los dos archivos del hackeo, mi duda es, ¿Qué puedo hacer para que esto no me vuelva a pasar más? ¿Por dónde entran? ¿Se sabe si hay algún nuevo agujero de seguridad?

Tengo muy pocos addons y los pocos que tengo los tengo actualizados a la última versión. El pobre dueño del hosting está harto ya de tener que reponerme las copias de seguridad y yo estoy harta de tener que pasar tantas horas delante del ordenador intentando arreglar estropicios

¿Alguna sugerencia, por favor? Gracias

---------- Post agregado el 19-dic-2013 hora: 20:40 ----------

¡Me olvidaba!

La primera vez, el hacker se abrió una cuenta en mi foro con el nick de z0mb1e y otra con z0mb13. En el ftp encontré una carpeta con el mismo nombre. ¡Las dos veces se registró con la misma cuenta de correo!

No deja rastro de la ip, porque supongo que se mete con un proxy, pero ¿cómo pudo registrarse dos veces con diferente nick y el mismo email? :neglected:

PD: Estoy dando por supuesto que el primero es el mismo que ha seguido hackeandome el foro las demás veces, pero sólo es una suposición. Sea quien sea, me ha tomado cariño :fatigue:

sanata · 19 Dic 2013

Luego de limpiar, te has asegurado de cambiar las contraseñas tanto de tu Cpanel como de la cuenta FTP?
Has verificado que no haya otros usuario con permisos de Admin. También pueden tenerlo como grupo secundario.
Has verificado que los permisos de los demás grupos estén correctos?
Permites HTML en algún o algunos foros? Permites HTML en las firmas?
Verificaste que no te hubiesen creado otra cuenta FTP?
Eliminaste todo el directorio install de Vbulletin?
Has verificado los permisos de los archivos de configuración?

Te enumero cosas que se me ocurre que puede usar para volver a acceder.
Saludos.

4ngeluxpunk · 19 Dic 2013

Buenas algo fácil y rápido, revisa todas las plantillas y que no halla ningún código extraño, luego que la carpeta install de tu ftp renombrala o borrala, luego para mayor seguridad puedes poner una contraseña para que cuando ingreses a tu admincp pida un usuario y contraseña esto es aparte de tu cuenta de usuario, tu diras como haces eso bueno busca en google "Crear contraseña htpass" algo así ya no recuerdo bien con eso podrás estar tranquila y difícil que te hackeen de nuevo.

Enviado desde mi Samsung Galaxy S4 usando Tapatalk

Eduardo Leon · 19 Dic 2013

Podrias pasarme el link de tu foro por MP.
Otra cosa, podrias subir los dos archivos : injection.3.3.php y cpanel.php
para poder revisarlo.

Saludos.

Daniel B. · 21 Dic 2013

¿Tu sitio es solo el Blog? ¿O hay algún tipo de portal adicional? (Wordpress, Joomla o un script propio)
¿Has accedido via FTP desde un computador inseguro?, ¿Ya le has comentado a tu proveedor?. Estos archivos deberían ser detectados por el antivirus de cualquier servidor cPanel o a través de plugins anti-rootkit.

Esos dos archivos que comenta Eduardo León, me serían útiles también

Saludos!

sanata · 21 Dic 2013

Daniel B. dijo:
¿Tu sitio es solo el Blog?
Saludos!

Es un Foro Vbulletin, como dice el título del post...

Duditas · 22 Dic 2013

Perdón por la demora en contestar

sanata dijo:
Luego de limpiar, te has asegurado de cambiar las contraseñas tanto de tu Cpanel como de la cuenta FTP?
Has verificado que no haya otros usuario con permisos de Admin. También pueden tenerlo como grupo secundario.
Has verificado que los permisos de los demás grupos estén correctos?
Permites HTML en algún o algunos foros? Permites HTML en las firmas?
Verificaste que no te hubiesen creado otra cuenta FTP?
Eliminaste todo el directorio install de Vbulletin?
Has verificado los permisos de los archivos de configuración?

Te enumero cosas que se me ocurre que puede usar para volver a acceder.
Saludos.

Contraseñas cambiadas, en cada vez.
No hay más Admin que yo, ni como primario ni como secundario
Todos los permisos están correctos
Tengo un addon que permite sólo a admin y moderadores usar el html, pero sólo lo utilizo yo
No hay más cuentas en el ftp
Eliminé el install después del primer hackeo, antes no sabía nada de que hubiera problemas con él.
No entiendo a qué te refieres con los permisos de los archivos de configuración, me podrías explicar? Gracias

4ngeluxpunk dijo:
Buenas algo fácil y rápido, revisa todas las plantillas y que no halla ningún código extraño, luego que la carpeta install de tu ftp renombrala o borrala, luego para mayor seguridad puedes poner una contraseña para que cuando ingreses a tu admincp pida un usuario y contraseña esto es aparte de tu cuenta de usuario, tu diras como haces eso bueno busca en google "Crear contraseña htpass" algo así ya no recuerdo bien con eso podrás estar tranquila y difícil que te hackeen de nuevo.

Enviado desde mi Samsung Galaxy S4 usando Tapatalk

No ha habido carpeta install desde que me hackearon la primera vez. Buscaré lo que me dices de "Crear contraseña htpass". Gracias :encouragement:

Eduardo Leon dijo:
Podrias pasarme el link de tu foro por MP.
Otra cosa, podrias subir los dos archivos : injection.3.3.php y cpanel.php
para poder revisarlo.

Saludos.

Puedo subirlos, los guardé. Pero me gustaría que algún responsable de este foro me diera permiso para hacerlo. No quisiera romper ninguna norma.

Daniel B. dijo:
¿Tu sitio es solo el Blog? ¿O hay algún tipo de portal adicional? (Wordpress, Joomla o un script propio)
¿Has accedido via FTP desde un computador inseguro?, ¿Ya le has comentado a tu proveedor?. Estos archivos deberían ser detectados por el antivirus de cualquier servidor cPanel o a través de plugins anti-rootkit.

Esos dos archivos que comenta Eduardo León, me serían útiles también

Saludos!

Sólo accedo al ftp desde mi ordenador. El proveedor del servicio de hosting me recomendó pasar el "Malwarebytes Anti-Malware" y estaba limpio.
La primera vez que intenté editar el config.php, donde me habían metido el código, sí saltó el antivirus. Luego no volvió a saltar más.
Él dice que me entran por algún agujero que tengo en el foro, que su servidor está limpio y que nadie más tiene ningún problema.
Con lo de los archivos, te digo igual que a Eduardo Leon. Eduardo Leon. En cuanto alguien del foro me dé permiso, os paso los dos archivos a ambos :encouragement:

:star2: Feliz navidad a todos y muchas gracias por el interés :star2:

Soluits · 22 Dic 2013

la solucion es buscar el codigo que se inyecta. Ojo! tambien puede ser un png el contenedor del codigo. Debes ver todos los archivos, seguramente es una version nulled. Saludos!

4ngeluxpunk · 22 Dic 2013

Acá te dejo un generador de htpasswd:

Htpasswd Generator - Create a htpasswd password

Y acá tienes un tutorial de seguridad:

http://forobeta.com/tutoriales-de-vbulletin/223985-guia-basica-de-seguridad-vbulletin.html

Eduardo Leon · 22 Dic 2013

Dudo mucho que "Duditas" tenga algun foro nulled,
A él como bien lo conosco, tiene licencia de vBulletin, por ende, descarto eso.

Lo que dice el usuario Angeluxpunk puede ser cierto, puedes realizar dichos pasos para que puedas proteger tu "Admincp", aunque si es por inyección, seria otra cosa, ergo, necesito los archivos para poder ver en sí para ver tu vulnerabilidad.

Saludos.

Duditas · 23 Dic 2013

No me ha dado tiempo a hacer nada, me han vuelto a hackear otra vez. Esto es increíble!!!

He mirado en el ftp y hay varios archivos que han sido modificados el día 19 y 21. Me han metido el código "<?php eval(base64_decode(..." en casi todos!

Hace un momento he entrado y ahora mismo ya no puedo entrar.

Necesito ayuda de verdad, dadme vuestros emails por dm y os envío los archivos que me han tocado. Pliiiiiis =(

PD: Eduardo, soy chica :witless:

4ngeluxpunk · 23 Dic 2013

Duditas dijo:

No me ha dado tiempo a hacer nada, me han vuelto a hackear otra vez. Esto es increíble!!!

He mirado en el ftp y hay varios archivos que han sido modificados el día 19 y 21. Me han metido el código "<?php eval(base64_decode(..." en casi todos!

Hace un momento he entrado y ahora mismo ya no puedo entrar.

Necesito ayuda de verdad, dadme vuestros emails por dm y os envío loa archivos que me han tocado. Pliiiiiis =(

PD: Eduardo, soy chica :witless:

Hacer clic para expandir...

Amiga te acabo de mandar un MP.

Eduardo Leon · 23 Dic 2013

Ya te acabo de enviar un mensaje.

Disculpa xD !

Anteriores veces te veia y creia "Oh ! este es un tio en la forma en como se expresaba" veo que me equivoque y espero que me disculpes mi estimada Duditas.

Cuidate, cualquier cosa, ya tienes mi email.

Saludos.

4ngeluxpunk · 23 Dic 2013

Bueno xfin ya esta correcto y bueno solo falta poner la seguridad, un gusto haberte ayudado amia.

Duditas · 23 Dic 2013

Sí! gracias a 4ngeluxpunk el foro abre por fin. No funciona ningún addon, pero abre!

He borrado todo lo del ftp y he subido el foro nuevo, espero que con esto se acabe la pesadilla.

En cuanto complete el htaccess me voy a dormir, estoy muy cansada.

Espero que paséis todos unas fiestas muy felices. Ya que os he vuelto a encontrar, volveré más a menudo.

Un abrazo para todos

PD: No te preocupes Eduardo, es fácil equivocarse sólo leyendo a alguien, pero en el otro foro tenía avatar de chica

Eduardo Leon · 23 Dic 2013

Duditas dijo:
Sí! gracias a 4ngeluxpunk el foro abre por fin. No funciona ningún addon, pero abre!

He borrado todo lo del ftp y he subido el foro nuevo, espero que con esto se acabe la pesadilla.

En cuanto complete el htaccess me voy a dormir, estoy muy cansada.

Espero que paséis todos unas fiestas muy felices. Ya que os he vuelto a encontrar, volveré más a menudo.

Un abrazo para todos

PD: No te preocupes Eduardo, es fácil equivocarse sólo leyendo a alguien, pero en el otro foro tenía avatar de chica

jaja si te recuerdo.

Bueno en todo caso, estaremos en contacto, ando revisando esos ficheros y viendo cuales son tus vulnerabilidades.

Descansa, y felices fiestas.

Duditas · 24 Dic 2013

Pues nada de lo que hicimos ayer ha servido para nada. El foro vuelve a estar hackeado. Esto es para tirarse de los pelos, de verdad

4ngeluxpunk · 24 Dic 2013

El hosting creo que ha levantado el backup es por eso que todo lo que habías echo se revirtió.

Enviado desde mi Samsung Galaxy S4 usando Tapatalk

Duditas · 24 Dic 2013

No, Eduardo ya averiguó. El hacker ha infectado la base de datos. En cuanto ve que he puesto archivos nuevos, manda una orden y los vuelve a infectar. O como quiera que se haga eso.

Mirando respaldos antiguos he visto que llevo infectada mucho tiempo, tendremos que restaurar la base de datos de octubre, por lo que vamos a perder dos meses de trabajo y de registros.

Si el responsable de esto lee este hilo algún día, pues nada, sin resentimiento, pero así revientes, majo.

Eduardo Leon · 25 Dic 2013

Duditas dijo:
No, Eduardo ya averiguó. El hacker ha infectado la base de datos. En cuanto ve que he puesto archivos nuevos, manda una orden y los vuelve a infectar. O como quiera que se haga eso.

Mirando respaldos antiguos he visto que llevo infectada mucho tiempo, tendremos que restaurar la base de datos de octubre, por lo que vamos a perder dos meses de trabajo y de registros.

Si el responsable de esto lee este hilo algún día, pues nada, sin resentimiento, pero así revientes, majo.

jajaja, pues simplemente el codigo estaba infectado, como bien lo dice, si hay tres archivos .php que estaban dentro de su host, la pregunta en si era: ¿Cómo llegaron esos archivos a su host? y ¿por qué eran los constantes ataques?.

Pues bien, no era nada menos que el phpmyadmin que ya habia sido infectado como bien lo habia dicho, por "Brute force", esperemos que esta ves ya no suceda nada con los archivos que se restauraran.

Saludos.