Restaurar foro hackeado

Estado

🔒 Este tema está cerrado para nuevas respuestas.

⏰ Solo el creador del tema puede solicitar la reapertura de sus propios temas, pero únicamente dentro de los 60 días previos a la última actualización.

GREY FOX Seguir

Curioso
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
8 Sep 2009
Mensajes
11
Hola, solicito vuestra ayuda tras pasar toda la mañana por el foro y utilizar las busquedas y no haber sacado nada en claro, a ver si alguien puede ayudarme.

Mi foro ha sido hackeado por un tal Vicious, os dejo la imagen de lo que salia cuando entraba a la pagina, he observado que habia cambiado el index.php, aunque la fecha de modificacion no estaba cambiada, lo he sustituido por el index original pero sigue el problema, tambien me he encontrado dos archivos creados uno se llama abc.php de 48ks y el otro asd.php de 0 ks los cuales he elliminado no sin antes hacer una copia de ellos, el codigo de el abc.php es os pongo a continuacion.

Mi pregunta es si subo de nuevo todos los archivos de la carpeta public_html, donde tengo el foro,¿lo que es el contenido de el foro y los usuarios se pierde? ¿o no? ya que los datos se guardan en la base de datos, tengo un nivel de usuario, me limite a comprar la licencia, instalarla y modificar un poco el aspecto visual con los que mis conocimientos no son para tirar cohetes, agradeceria cualquier ayuda la pagina es la siguiente.

*** Hacked By ViciOuS ***

La imagen:
Ver el archivo adjunto 3532

Si este no es el lugar correcto ruegon me discupen y lo muevan donde crean oportuno, saludos.
 

GREY FOX

Curioso
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
8 Sep 2009
Mensajes
11
El codigo de el archivo abc.php, no he podido ponerlo ya que es muy largo, pero vamos son unas series enormes de numeros y letras sin sentido para mi, en tan solo 2 lineas de codigo.

A traves del panel de administracion de el foro tengo una copia hecha desde ahy, de el dia 4 de marzo, pero creo que debe de tener una solucion menos drastica ya que no me gustaria perder los datos de los post de este ultimo mes pues tratabamos cosas bastante importantes para nosotros, en fin gracias a quien puede ofrecerme ayuda.

Utilizando google y colocando esto
en la busqueda observo que mi foro esta ahy no ha desaparecido, lo que no encuentro que es lo que hace que salga el mensaje de hackeado por vicious, al cambiar el index.php lo que si he quitado es la pagina que el cargaba al entrar.

---------- Actualizado a las 20:06 ---------- Original a las 15:47 ----------

Se le ocurre a alguien algo, por tonto que crea que sea igual es de ayuda, ya que me estoy quedando sin opciones, gracias.
 

Sihaya

Delta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
16 Ene 2010
Mensajes
684
Parece que te lo han defaceado... A veces si contactas con el elemento en cuestión y es buena gente, te dice cómo solucionarlo...

Sobre tu pregunta del primer post, si subes de nuevo los archivos no deberías perder los datos, ya que están en la base de datos. Recuerda editar el archivo config con los datos de la db como la primera vez.
Lo que sí perderás probablemente serán las modificaciones en plantillas... Pero es un mal menor :).

Lo siento, pero no sé ayudarte más, es una faena que haya gente que haga estas cosas :-/
 

GREY FOX

Curioso
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
8 Sep 2009
Mensajes
11
Muchas gracias por tu respuesta, investigando en la base de datos, el tio no se esconde fue el ultimo en registrarse y dejo su mail, lo que no se como lo hizo pero se dio de alta como administrador de el foro, asi que lo tengo vulnerable o bien sea por mi desconociento o que al susodicho se le de bien, lo que sinceramente hacer daño a una comunidad como la nuestra (somos una asociacion la cual practicamos el airsoft) no se que beneficio le reportara pero para mi es una inmensa putada.

Me puedes contar algo de eso de (defacear el foro)
 

Sihaya

Delta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
16 Ene 2010
Mensajes
684
Me puedes contar algo de eso de (defacear el foro)

Claro, tampoco es que yo sea una experta en hacking, pero ya he visto eso antes, y a mí me intentaron hackear un foro una vez... Básicamente el defacing consiste en modificar algo en una página web ajena, los casos menos graves son en los que simplemente se desvía la página principal a otra imagen, generalmente con la firma del "héroe" que ha conseguido hackear esa página. Los casos más graves implican pérdida total del contenido. Por lo que parece, es más difícil dejar sólo la imagen, lo fácil es arrasar con todo.

Podríamos dividir a la gente que se dedica a esto en 3, los que lo hacen por joder, los que lo hacen para probar lo "buenos hackers" que son y los que lo hacen por colaborar a encontrar vulnerabilidades en los distintos sistemas. Los últimos defienden que cuando se encuentra la vulnerabilidad se debe dejar aparte de la firma una forma de contacto o la solución al problema en la misma imagen para facilitar que lo solucionen (y el reto sea mayor la siguiente vez XD).

Los sistemas para hacerse con el control de la página son muy diversos, desde inyecciones sql a xploits o simplemente conseguir la contraseña de un admin con miles de sistemas, incluyendo lo que llaman "ingeniería social".

Si te interesa el tema para profundizar más, en internet hay miles de páginas sobre ello, mis conocimientos no llegan mucho más allá...

Es importante que borres el usuario en cuestión, si te ves con ánimos, puedes intentar contactarlo para ver si es de los que ayudan... Si dejó su correo quizá sea para eso. Otra cosa a comprobar es si te ha metido una shell (archivo que usan para volver a repetir la hazaña en otro momento), pero la verdad, no sé cómo se comprueba...

De todas formas con Andrés estás en buenas manos ;).
 

Golem

Dseda
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
27 Jul 2008
Mensajes
1.245
tenes que fijarte si la base de datos esta entera, despues con subir de nuevo el foro y cargar la base ya estas

la otra es preguntar en el hosting si te pueden restaurar la cuenta de su ultimo backup ya que muchos hostings hacen backups y por ahi hisieron el suyo hace una semana, solo perderia los post de dicha semana

no se fijate y nos contas
 

Dj MasterLive

Delta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
21 Dic 2007
Mensajes
575
me parece que han movido tu htaccess para que redireccione a dicho mensaje fijate si no hay nada raro.. OJO pueden redireccionarlo sin que cambie tu URL por eso fijate..
 

GREY FOX

Curioso
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
8 Sep 2009
Mensajes
11
Muchas gracias a todos, voy ha abrir el ticket y subo tambien el archivo abc.php y el asd.php, ya que los quite y subire tambien el index que el introdujo renombrandolo a vicious.php, de nuevo gracias.

Aver si entre todos lo podemos arreglar, la base de datos esta intacta, por el ftp se puede ver inclusive la carpeta logs.

---------- Actualizado a las 12:54 ---------- Original a las 09:58 ----------

No se si abre hecho bien el ticket de soporte ya que no me aparece por ningun sitio, igual es asi.

Mas datos mi hosting es hospedajes y dominios,desde el panel de control de ellos el directadmin, puedo ver las conecxiones que se han efectuado al servidor tanto desde la pagina online como por ftp, y las conecxiones son todas mias desde la ip de mi trabajo y la ip de mi casa no hay nada raro con lo que el no ha accedido mediante ftp, lo que si ha hecho es crearse el usuario como administrador y traves del panel vbulletin cambiar el index y demas, con lo que la informacion de el foro, post y sus usuarios esta intacta al parecer, gracias por vuestro tiempo.
 

Sihaya

Delta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
16 Ene 2010
Mensajes
684
Puedes ver si tu ticket está correcto desde la pestaña de la navbar Soporte, debajo de la navbar te saldrá una opción llamada Mis tickets. Ahí puedes visualizarlo y hacer el seguimiento ^^.
 

GREY FOX

Curioso
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
8 Sep 2009
Mensajes
11
Muchas gracias, pues nose creo ahora lo vuelvo a intentar, si que habia visto la pestaña pero como no aparecia nada no sabia si era normal, cuando hice el ticket se quedo un buen rato trabando la pagina sera por eso lo vuelvo a intentar.

---------- Actualizado a las 21:45 ---------- Original a las 20:34 ----------

me parece que han movido tu htaccess para que redireccione a dicho mensaje fijate si no hay nada raro.. OJO pueden redireccionarlo sin que cambie tu URL por eso fijate..

En el hatacces solo pone lo siguiente
Options -Indexes
 

Andrés Durán

Xi
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
23 Abr 2009
Mensajes
4.371
He revisado el ticket que has enviado y no parece que el "hacker" haya tenido acceso FTP al foro, puesto que los archivos se mantienen intactos, a diferencia de los nuevos que han aparecido en el índice del FTP. Sospecho que el usuario "hacker" lo que ha hecho ha sido modificar el contenido de las plantillas del foro, por lo tanto no será posible acceder al foro a menos que facilites acceso al Panel de Control del servidor para modificar la base de datos y restaurar al menos el estilo "default" de vBulletin.

Por favor envía un mensaje con esos datos en el ticket que has enviado siguiendo este enlace:

http://www.vbhispano.com/foros/soporte/mis_tickets/
 

GREY FOX

Curioso
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
8 Sep 2009
Mensajes
11
Gracias por tu ayuda, ya he contestado el ticket con los datos que solicitastes.
 

Gmaster

Gamma
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
22 May 2009
Mensajes
208
Por eso es que me enojo cuando leo comentarios que dicen que hay que ponerle permisos 777 a una carpeta. Jamas hay que hacer eso!!!!, ni que se los diga nadie de vbulletin, NUNCA!!!. Darle permisos 777 a una carpeta es darle permisos para que cualquier usuario pueda subir y ejecutar bichos alli. Jamas tienen que darle permisos de escribir a nadie mas que el usuario del servidor (primer 7)!!!. Como maximo, hay que ponerle 755.

GREY FOX, yo te aconsejo algo simple, entra al cpanel y has un backup completo del Home, descargalo a tu pc, y pasale cualquier antivirus a ese archivo. Al antivirus ponle que haga un escaneo profundo. Una vez, el Avast me encontro 2 archivos PHP en un backup que tenia en mi pc, y despues verifique que eran troyanos.

Ahora solo hay que hacer limpieza y reconfigurar todo, Andres te va a ayudar con eso.

No sean malos!!!, yo tambien quiero ver el contenido de esos Php !!! :D
 

Andrés Durán

Xi
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
23 Abr 2009
Mensajes
4.371
Hola de nuevo GREY FOX.

Tu sitio está operativo de nuevo:

XTREME TEAM - Powered by vBulletin

Te recomiendo ENCARECIDAMENTE que tomes las siguientes sugerencias:

* Cambia cualquier contraseña de acceso a tu sitio, tanto del foro, como del Panel de Control del servidor y demás. Es altamente recomendado que utilices contraseñas de más de 8 caracteres, mezclando caracteres alfanuméricos con símbolos y demás, usando minúsculas y mayúsculas:

Insertar CODE, HTML o PHP:
€s@09pp$!!Hy78
* Si tienes directorios con permisos 777 en el foro, sigue el consejo de Gmaster, o coloca dentro de esos directorios un archivo .htaccess con el siguiente contenido:

Insertar CODE, HTML o PHP:
<Files ~ "\.(php\d*|cgi|pl|phtml)$">
order allow,deny
deny from all
</Files>
* NO brindes acceso al Panel de Administración de tu sitio a personas que no son de confianza.

* Utiliza una contraseña diferente, y que sea fuerte para cada sitio sensible al que tienes acceso.

* NO utilices la misma contraseña para acceder a tu foro en otros sitios.

* Actualiza a vBulletin 3.8.5 lo más pronto posible.

* Cambia el nombre del directorio del Panel de Administración.

* NO instales add-ons que no sean descargados desde vBulletin.org

* NO instales plantillas que no sean descargadas desde un sitio de confianza, o desde una página conocida y certificada que facilite estos servicios.

* Cambia tus contraseñas de acceso periódicamente.

* Pídele a los usuarios del staff que tomen TODOS los consejos descritos anteriormente.


Un sumario de los cambios hechos por mí en tu sitio:

Los archivos en el directorio FTP de tu sitio se mantienen intactos. Fueron eliminados los archivos creados por el "hacker".

Se han perdido los 2 estilos "Blue Evolution" en tu sitio, puesto que éstos contenían el siguiente código PHP encriptado:

Insertar CODE, HTML o PHP:
{${eval(base64_decode('ZGVuZW1lIGRl*mVtZQ=='))}}{${exit()}}[Edited] by Kid

Por motivos de seguridad uno de los caracteres fue reemplazado por un asterisco. (*).


Las tablas style, template y datastore fueron modificadas por mi, para recuperar el diseño por defecto de vBulletin y de esta manera poder recuperar el foro.

Toma todos los consejos mencionados anteriormente a la mayor brevedad posible.

Tengo que mencionar a Gmaster en el mensaje ;). Él vía msn, después de restaurar tu foro, me ayudó a comprender la función de los archivos codificados que se encontraban en el FTP de tu sitio.

Saludos.
 

GREY FOX

Curioso
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
8 Sep 2009
Mensajes
11
Dos millones de gracias Andres, eres un maquina, estoy muy contento de tener de nuevo el foro en marcha, gracias tambien a todos los que me han brindado su ayuda en este hilo asi como ha Gmaster por ayudar via msn a Andres con los archivos ecriptados, si no os importa, en el foro pondre un link por que habra mucha gentre que a la que les gustaria agradecer vuestro tiempo y esfuerzo de nuevo muchas gracias y tomare las medidas antes mencionadas.

Me recomiendas que actualice a la version 3.8.5 o ya que estoy doy el paso a la 4.x

---------- Actualizado a las 15:05 ---------- Original a las 14:02 ----------

hola de nuevo, mi alegria ha durado poco, el foro funcionaba bien, tan solo he accedido al panel de administracion y he eliminado al usuario vicious y he restringido su ip y su mail, y por via ftp he dado permisos 755 a todos los directorios y archivos, ahora la pagina sale en blanco no se que habra pasado pues el panel de administracion se ve bien, aun no he cambiado ninguna clave pues son las mismas de el ticket exceptuando el pasword que me ha cambiado andres, saludos yy siento la molestia.

---------- Actualizado a las 15:48 ---------- Original a las 15:05 ----------

Vuelve a funcionar no se que habra pasado.
 

Andrés Durán

Xi
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
23 Abr 2009
Mensajes
4.371
Por lo que he visto en tu sitio, tienes pocas o ninguna modificación instalada. Puede ser posible que quieras actualizar a vBulletin 4 ya que tu foro es "relativamente nuevo" en comparación con otros, sin embargo de momento no es lo mejor. vBulletin 4 tiene varios bugs en cuanto a *usabilidad* y *diseño*, no es la mejor opción por el momento.

Primero mira vBulletin 4 durante un tiempo (si lo deseas), date idea de como funciona leyendo algunos de los temas que publican los usuarios, y si te agrada, actualiza en un futuro no muy lejano, pero de momento te recomiendo actualizar a vBulletin 3.8.5.

Saludos.
 

jose veliz

Beta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
14 Jul 2011
Mensajes
56
Hola de nuevo GREY FOX.

Tu sitio está operativo de nuevo:

XTREME TEAM - Powered by vBulletin

Te recomiendo ENCARECIDAMENTE que tomes las siguientes sugerencias:

* Cambia cualquier contraseña de acceso a tu sitio, tanto del foro, como del Panel de Control del servidor y demás. Es altamente recomendado que utilices contraseñas de más de 8 caracteres, mezclando caracteres alfanuméricos con símbolos y demás, usando minúsculas y mayúsculas:

Insertar CODE, HTML o PHP:
€s@09pp$!!Hy78
* Si tienes directorios con permisos 777 en el foro, sigue el consejo de Gmaster, o coloca dentro de esos directorios un archivo .htaccess con el siguiente contenido:

Insertar CODE, HTML o PHP:
<Files ~ "\.(php\d*|cgi|pl|phtml)$">
order allow,deny
deny from all
</Files>
* NO brindes acceso al Panel de Administración de tu sitio a personas que no son de confianza.

* Utiliza una contraseña diferente, y que sea fuerte para cada sitio sensible al que tienes acceso.

* NO utilices la misma contraseña para acceder a tu foro en otros sitios.

* Actualiza a vBulletin 3.8.5 lo más pronto posible.

* Cambia el nombre del directorio del Panel de Administración.

* NO instales add-ons que no sean descargados desde vBulletin.org

* NO instales plantillas que no sean descargadas desde un sitio de confianza, o desde una página conocida y certificada que facilite estos servicios.

* Cambia tus contraseñas de acceso periódicamente.

* Pídele a los usuarios del staff que tomen TODOS los consejos descritos anteriormente.


Un sumario de los cambios hechos por mí en tu sitio:

Los archivos en el directorio FTP de tu sitio se mantienen intactos. Fueron eliminados los archivos creados por el "hacker".

Se han perdido los 2 estilos "Blue Evolution" en tu sitio, puesto que éstos contenían el siguiente código PHP encriptado:

Insertar CODE, HTML o PHP:
{${eval(base64_decode('ZGVuZW1lIGRl*mVtZQ=='))}}{${exit()}}[Edited] by Kid

Por motivos de seguridad uno de los caracteres fue reemplazado por un asterisco. (*).


Las tablas style, template y datastore fueron modificadas por mi, para recuperar el diseño por defecto de vBulletin y de esta manera poder recuperar el foro.

Toma todos los consejos mencionados anteriormente a la mayor brevedad posible.

Tengo que mencionar a Gmaster en el mensaje ;). Él vía msn, después de restaurar tu foro, me ayudó a comprender la función de los archivos codificados que se encontraban en el FTP de tu sitio.

Saludos.


ayudame de favor cn esto http://www.vbhispano.com/foros/f79/panel_contol_no_abre_ayuda-27181/
 
Estado

🔒 Este tema está cerrado para nuevas respuestas.

⏰ Solo el creador del tema puede solicitar la reapertura de sus propios temas, pero únicamente dentro de los 60 días previos a la última actualización.

Arriba