Mi foro ha sido hackeado varias veces: eval(base64_decode

  • Autor Autor Duditas
  • Fecha de inicio Fecha de inicio
D

Duditas

Épsilon
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Hola, necesito vuestra ayuda.

Llevo varias semanas teniendo problemas con mi foro. La versión es vbforum_4_4-2-2

La primera vez que me lo hackeraron se podía entrar, pero al pinchar en todos y cada uno de los enlaces, pillaba una redirección a adfly.
Les avisé y suspendieron la cuenta asociada al número de la redirección, borré el código que me habían metido en el home y desde entonces esto es una pesadilla.

Después de haber tenido que resubir archivos y base de datos tres veces porque no se podía acceder a la web, a pesar de cambiar las tres veces la contraseña, han vuelto a entrar

He hecho un examen minucioso de todas las carpetas y me he encontrado estos dos archivos: injection.3.3.php y cpanel.php, donde pone: "Ftp Killer By QuantuM_QueeN & Mask_magicianZ (...)".

En el config.php siempre encuentro el código eval(base64_decode...


Después de haber resubido todos los archivos otra vez, cambiado de nuevo la contraseña y haber borrado los dos archivos del hackeo, mi duda es, ¿Qué puedo hacer para que esto no me vuelva a pasar más? ¿Por dónde entran? ¿Se sabe si hay algún nuevo agujero de seguridad?

Tengo muy pocos addons y los pocos que tengo los tengo actualizados a la última versión. El pobre dueño del hosting está harto ya de tener que reponerme las copias de seguridad y yo estoy harta de tener que pasar tantas horas delante del ordenador intentando arreglar estropicios 😡

¿Alguna sugerencia, por favor? Gracias

---------- Post agregado el 19-dic-2013 hora: 20:40 ----------

¡Me olvidaba!

La primera vez, el hacker se abrió una cuenta en mi foro con el nick de z0mb1e y otra con z0mb13. En el ftp encontré una carpeta con el mismo nombre. ¡Las dos veces se registró con la misma cuenta de correo!

No deja rastro de la ip, porque supongo que se mete con un proxy, pero ¿cómo pudo registrarse dos veces con diferente nick y el mismo email? :neglected:



PD: Estoy dando por supuesto que el primero es el mismo que ha seguido hackeandome el foro las demás veces, pero sólo es una suposición. Sea quien sea, me ha tomado cariño :fatigue:
 
Luego de limpiar, te has asegurado de cambiar las contraseñas tanto de tu Cpanel como de la cuenta FTP?
Has verificado que no haya otros usuario con permisos de Admin. También pueden tenerlo como grupo secundario.
Has verificado que los permisos de los demás grupos estén correctos?
Permites HTML en algún o algunos foros? Permites HTML en las firmas?
Verificaste que no te hubiesen creado otra cuenta FTP?
Eliminaste todo el directorio install de Vbulletin?
Has verificado los permisos de los archivos de configuración?

Te enumero cosas que se me ocurre que puede usar para volver a acceder.
Saludos.
 
Buenas algo fácil y rápido, revisa todas las plantillas y que no halla ningún código extraño, luego que la carpeta install de tu ftp renombrala o borrala, luego para mayor seguridad puedes poner una contraseña para que cuando ingreses a tu admincp pida un usuario y contraseña esto es aparte de tu cuenta de usuario, tu diras como haces eso bueno busca en google "Crear contraseña htpass" algo así ya no recuerdo bien con eso podrás estar tranquila y difícil que te hackeen de nuevo.

Enviado desde mi Samsung Galaxy S4 usando Tapatalk
 
Podrias pasarme el link de tu foro por MP.
Otra cosa, podrias subir los dos archivos : injection.3.3.php y cpanel.php
para poder revisarlo.

Saludos.
 
¿Tu sitio es solo el Blog? ¿O hay algún tipo de portal adicional? (Wordpress, Joomla o un script propio)
¿Has accedido via FTP desde un computador inseguro?, ¿Ya le has comentado a tu proveedor?. Estos archivos deberían ser detectados por el antivirus de cualquier servidor cPanel o a través de plugins anti-rootkit.

Esos dos archivos que comenta Eduardo León, me serían útiles también 🙂

Saludos!
 
Perdón por la demora en contestar

Contraseñas cambiadas, en cada vez.
No hay más Admin que yo, ni como primario ni como secundario
Todos los permisos están correctos
Tengo un addon que permite sólo a admin y moderadores usar el html, pero sólo lo utilizo yo
No hay más cuentas en el ftp
Eliminé el install después del primer hackeo, antes no sabía nada de que hubiera problemas con él.
No entiendo a qué te refieres con los permisos de los archivos de configuración, me podrías explicar? Gracias 😉

No ha habido carpeta install desde que me hackearon la primera vez. Buscaré lo que me dices de "Crear contraseña htpass". Gracias :encouragement:

Eduardo Leon dijo:
Podrias pasarme el link de tu foro por MP.
Otra cosa, podrias subir los dos archivos : injection.3.3.php y cpanel.php
para poder revisarlo.

Saludos.
Hacer clic para expandir...
Puedo subirlos, los guardé. Pero me gustaría que algún responsable de este foro me diera permiso para hacerlo. No quisiera romper ninguna norma.

Sólo accedo al ftp desde mi ordenador. El proveedor del servicio de hosting me recomendó pasar el "Malwarebytes Anti-Malware" y estaba limpio.
La primera vez que intenté editar el config.php, donde me habían metido el código, sí saltó el antivirus. Luego no volvió a saltar más.
Él dice que me entran por algún agujero que tengo en el foro, que su servidor está limpio y que nadie más tiene ningún problema.
Con lo de los archivos, te digo igual que a Eduardo Leon. Eduardo Leon. En cuanto alguien del foro me dé permiso, os paso los dos archivos a ambos :encouragement:



:star2: Feliz navidad a todos y muchas gracias por el interés :star2:
 
la solucion es buscar el codigo que se inyecta. Ojo! tambien puede ser un png el contenedor del codigo. Debes ver todos los archivos, seguramente es una version nulled. Saludos!
 
Dudo mucho que "Duditas" tenga algun foro nulled,
A él como bien lo conosco, tiene licencia de vBulletin, por ende, descarto eso.

Lo que dice el usuario Angeluxpunk puede ser cierto, puedes realizar dichos pasos para que puedas proteger tu "Admincp", aunque si es por inyección, seria otra cosa, ergo, necesito los archivos para poder ver en sí para ver tu vulnerabilidad.

Saludos.
 
No me ha dado tiempo a hacer nada, me han vuelto a hackear otra vez. Esto es increíble!!!

He mirado en el ftp y hay varios archivos que han sido modificados el día 19 y 21. Me han metido el código "<?php eval(base64_decode(..." en casi todos!

Hace un momento he entrado y ahora mismo ya no puedo entrar.

Necesito ayuda de verdad, dadme vuestros emails por dm y os envío los archivos que me han tocado. Pliiiiiis =(


PD: Eduardo, soy chica :witless:
 
Última edición:

Amiga te acabo de mandar un MP.
 
Ya te acabo de enviar un mensaje.

Disculpa xD !

Anteriores veces te veia y creia "Oh ! este es un tio en la forma en como se expresaba" veo que me equivoque y espero que me disculpes mi estimada Duditas.

Cuidate, cualquier cosa, ya tienes mi email.

Saludos.
 
Bueno xfin ya esta correcto y bueno solo falta poner la seguridad, un gusto haberte ayudado amia.
 
Sí! gracias a 4ngeluxpunk el foro abre por fin. No funciona ningún addon, pero abre!

He borrado todo lo del ftp y he subido el foro nuevo, espero que con esto se acabe la pesadilla.

En cuanto complete el htaccess me voy a dormir, estoy muy cansada.



Espero que paséis todos unas fiestas muy felices. Ya que os he vuelto a encontrar, volveré más a menudo.

Un abrazo para todos


PD: No te preocupes Eduardo, es fácil equivocarse sólo leyendo a alguien, pero en el otro foro tenía avatar de chica 😛
 

jaja si te recuerdo.

Bueno en todo caso, estaremos en contacto, ando revisando esos ficheros y viendo cuales son tus vulnerabilidades.

Descansa, y felices fiestas.
 
Pues nada de lo que hicimos ayer ha servido para nada. El foro vuelve a estar hackeado. Esto es para tirarse de los pelos, de verdad 😡
 
El hosting creo que ha levantado el backup es por eso que todo lo que habías echo se revirtió.

Enviado desde mi Samsung Galaxy S4 usando Tapatalk
 
No, Eduardo ya averiguó. El hacker ha infectado la base de datos. En cuanto ve que he puesto archivos nuevos, manda una orden y los vuelve a infectar. O como quiera que se haga eso.

Mirando respaldos antiguos he visto que llevo infectada mucho tiempo, tendremos que restaurar la base de datos de octubre, por lo que vamos a perder dos meses de trabajo y de registros.

Si el responsable de esto lee este hilo algún día, pues nada, sin resentimiento, pero así revientes, majo.
 

jajaja, pues simplemente el codigo estaba infectado, como bien lo dice, si hay tres archivos .php que estaban dentro de su host, la pregunta en si era: ¿Cómo llegaron esos archivos a su host? y ¿por qué eran los constantes ataques?.

Pues bien, no era nada menos que el phpmyadmin que ya habia sido infectado como bien lo habia dicho, por "Brute force", esperemos que esta ves ya no suceda nada con los archivos que se restauraran.

Saludos.
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

T
Desencriptador eval/gzinflate/str_rot13/base64_decode
Respuestas
1
Visitas
2K
ramonjosegn
Menú
Acceder
Registro