Vbulletin Hackeado

imported_javichu · 15 Jul 2008

Hola chicos, os quiero comentar a ver si me podeis ayudar y dar informacion de un problema que me acaba de pasar hace un rato.

Se supone que me han hackeado el foro.Yo como administrador al querer loguearme me salia que estaba baneado.

He podido solucionar el problema entrando al Panel Plesk del servidor y modificando el baneo en la tabla de users.

Despues he entrado al Panel del foro y como es logico habia otro administrador en Grupos de usuarios.(Por cierto un viejo amigo mio,pa que te fies). He borrado ese usuario.

Me ha echo bastantes destrozos en el foro, me ha eliminado el estilo, el lenguaje me sale en ingles, estando por defecto el lenguaje español...etc, etc.Todavia no he visto todos los daños que hay.

Lo que me gustaria que me dijerais , es como me ha podido hackear.No comparto mis contraseñas con nadie y en años que llevo de administrador no he tenido ningun problema.Es todo muy raro.

Cualquier informacion que me podais dar os la agradecere.Vulnerabilidades, formas de hackeo, como se ha podido hacer administrador...

Tengo la version 3.6.7.

Un saludo a todos.

imported_Gasper · 15 Jul 2008

Respuesta: Vbulletin Hackeado

Es muy vieja e insegura esa version, y en cima como dices la versio nseguramente no tendras ningun Patch Level, actualiza a 3.7.2 PL 1 o a 3.6.10 PL3.

imported_javichu · 15 Jul 2008

Como tengo tantos mods y hacks instalados, y creo que dicen que muchos no funiconan con nuevas versiones.Por eso no he querido nunca actualizar.

El muy cabron me ha borrado varios subforos importantes de mi foro.Y para colmo no tengo unbackup.El backup que tengo es de hace meses, por que he tenido problemas desde hace tiempo para hacerlo.Mi BD pesa cerca de 1 giga y me daba problemas para exportar la BD desde el Plesk.Por eso no tengo un backup reciente.

¿Seria posible con ese backup antiguo restaurar los subforos y los Temas y Posts solo que han sido borrados?.Por lo menos no seria tan grande la perdida.Copiandolos de las tablas del backup antiguo y añadiendolas a las tablas correspondientes?.Suena raro lo que quiero decir pero igual es posible.

Tharos · 16 Jul 2008

Quizas no fue un "hackeo" de un "hacker" (valga la redundancia) sino que pudo haber sido obra de un maldito lammer.
Quizas sin que te des cuenta el desgraciado te metio un troyano en el computador y asi obtuvo tus claves.
¿Y no hiciste ningun respaldo de la base de datos hace poco tiempo? porque si es asi podrias revertire todos los daños ocasionados por el tipejo este. Y si es reciente mucho mejor.
Y en cuanto a lo de copiar las tablas si te puede servir, a mi una vez me resulto con algunas que estaban malas, pero te recomiendo coparlas todas, o mejor dicho que copies la base de datos completa.

Saludos

Demgel · 16 Jul 2008

Teniendo una versión así de antigua no hay mucho cerebro que usar. Basta con saber hacer un clic y usar google para encontrar manuales a prueba de .... con instrucciones para vulnerar ciertas versiones. De todas formas hay que prevenir estas cosas y mantenerse actualizados.

Me sorprendió el tamaño de la base de datos, pero luego de ver la temática de tu sitio ya entendí porqué, jejeje.

Te aconsejo que dejes todo bien bloqueado hasta que restaures el respaldo y actualices vBulletin.

IsraelSKA · 16 Jul 2008

Dudo que haya "hackeado" tu sitio..

Además de haber sido hackeado es netamente algún descuido del admin, por ejemplo dejar los directorios del FTP en modo escritura o que hayan instalado un troyano/keylogger en tu pc y hayan obtenido tu contraseña.

Saludos

imported_javichu · 16 Jul 2008

Pues la verdad que el motivo pues no lo se.Es lo que mas me preocupa a pesar de las perdidas.Virus me extraña que tenga.

Pero bueno antes de ponerlo otra vez online, actualizare.Lastima del respaldo, que es muy antiguo, como dije llevaba algunos meses con problemas para hacer un backup a causa de su tamaño y no creo que merezca la pena restaurarlo.Me ha borrado varios subforos, por suerte los menos importantes.Pero aun con todo es mucho trabajo el que se ha llevado.

Gracias a todos.

Una pregunta IsraelSKA ¿que directorios son los que hay que tener mas cuidado de no dejarlos en modo escritura por un posible ataque?

IsraelSKA · 16 Jul 2008

Todos.. ya que existen algunos códigos con los cuales pueden navegar a traves de tu sitio..
De los que no deberás preocuparte son los cuales vbulletin te dice que debe quedar con permisos de escritura, todo lo demás, sólo lectura..

Recuerda, Carpetas 755
Archivos 644

Saludos

imported_javichu · 16 Jul 2008

Bufff...pero igual hay 1000 archivos en el VBulletin.Y aparte no me acuerdo cuales son los que necesitan un permiso 777.Si los cambios igual la lio.

He desintalado el Ibproarcade y el Vbplaza por si tuvieran vulnerabilidades.He cambiado la contraseña de administrador y he scaneado mi PC y he desactivado el registro de nuevos usuarios, porque ayer borre el usuario del hackeador y si no se puede registrar es posible que no pueda hacer nada.Pero tengo que habilitar el registro ya mismo, por que el foro lo necesita.

Ya no se que hacer.Bueno, he echo un backup del foro.Si lo hackea otra vez, por lo menos lo puedo restaurar.

Un saludo y gracias.Cualquier informacion se agradecera.

IsraelSKA · 16 Jul 2008

mira, hay un cliente FTP que uso y recomiento que es Filezilla..
Este cliente ftp te permite cambiar los permisos de todas las carpetas o de todos los archivos, como tambien de las carpetas y archivos..
entonces le dices que todas las carpetas queden con permisos 755 y todos los archivos con permisos 644.. asi no tienes que cambiarlos de uno por uno..

Saludos

OsiRiS_X · 17 Jul 2008

Tras algunas amenazas recividas vía MSN, me tuve que tomar la molestía de proteger algo más mi sitio, comparto con ustedes la odisea:

http://www.vbhispano.com/foros/showthread.php?goto=newpost&t=5957

Lamento lo de las fotos, pero ya saben, siempre me roban mis imagenes

Vbulletin Hackeado

imported_javichu Seguir

imported_Gasper

imported_javichu

Tharos

Demgel

Colaborador destacado

IsraelSKA

imported_javichu

IsraelSKA

imported_javichu

IsraelSKA

OsiRiS_X