Vulnerabilidad en foros vbulletin, posible caso de deface en varias paginas

Eduardo Leon · 26 Dic 2013

Hola !
Si, como bien dice el titulo, no es por alarmar, esto va para aquellos usuarios "antiguos" de vbulletin, que iniciaron desde la version 3.6 ~ en adelante. (a los usuarios actuales pediría que también verifiquen si encuentran este archivo)

Sin mas pre ambulo, desearía que buscaran todos los usuarios en sus foros alguna modificación / plugin llamada "vBulletin", aparte del vBulletin que por defecto viene en todos los foros como el software de su web.

Sea como sea, Deseo que revisen, este producto ya son dos veces vistas y junto con Duditas , tres veces, que hacen que un foro "NORMAL Y LEGAL" se vean "afectados" por algún hacker.

Al parecer hay una modificación antigua que se ha actualizado, con eso de "actualizaciones automaticas para productos" implementadas en vbulletin 4, que modifica un plugin y los vuelve en contra, añadiendoles unos valores en xml y haciendo redireccion a otra pagina llamada: CarCaBot

haciendo una redireccion a esta pagina, abre un archivo que produce que cambie algunos valores en su host, añadiendoles los archivos : inject.php, cpanel.php e index.php

Espero haber avisado de esta modificación que causa problemas a ciertos usuarios que instalaron en común esa modificación, hasta el momento no tengo el nombre de la modificación antigua añadida debido a que esta cambia completamente de valores y hasta de nombre.

Saludos.

P.D.:

Desearia que aquellos usuarios que hayan encontrado dicho archivo en su web, coloquen una denuncia en el foro de vBulletin.com para que este problema sea solucionado.

CarcaBot · 26 Dic 2013

No es por joda Eduardo Leon pero no veo la redireccion ni la que la web acusada o en prejuicio con una web que es de mi propiedad, dicho esto paso a decir de que lo que hablas mas veo una infeccion del hosting que puede ser del servidor en si que de una sola web, ya para que se vuelvan a crear los mismo archivos. me gustaria saber cuales son las conclusiones que sacaste para decir tantas estupideces en tantas lineas.

Daniel Muñoz · 26 Dic 2013

Los paqietes de archivos de vbulletin son seguros. Las actualizaciones son seguras y revisando el foro vb no encuentro nada de lo que hablas. Creo qie esto es solo una difamación.

Enviado desde mi GT-I8190L mediante Tapatalk

4ngeluxpunk · 26 Dic 2013

Buenas la vulnerabilidad siempre a existido el tema es que Duditas usa productos los cuales ya no hay soporte eso puede ser también un problema o vulnerabilidad que puede tener x ahy, lo otro es que su hosting no le ofrece la seguridad ya que al notar que acceden o suben esos archivos infectados debería de alertar al usuario del hosting.

Enviado desde mi Samsung Galaxy S4 usando Tapatalk

Eduardo Leon · 26 Dic 2013

Hola !

He leido sus comentarios, paso a responderles:

El primer foro en ser contagiado:

- Mustangueros - Foro - - Inicio

Este usuario me contacto meses atras para decirme que su foro era constantemente atacado, debido a que cada mes era defaceado.

- http://www.happydjs.com

El usuario Duditas me pidio ayuda para averiguar que le sucedia a su web, pensaba que era "una linea en su DB" pero no fue asi.
CarcaBot, no es mi intencion insultarte, ni lo haré, pero la pagina web que envie, no creo que sea de tu propiedad.

Los archivos que defaceaban dicha web se encuentra en esta direccion:

Index of /beta

Pueden ingresar a dicha pagina web, tendrá dos archivos html.

El atacante es el archivo img.txt, y si se dan cuenta, como bien lo dijo Duditas en su tema:

http://forobeta.com/vbulletin/244742-mi-foro-sido-hackeado-varias-veces-eval-base64_decode.html

Se encuentra el codigo mencionado.

El archivo lo tengo en mi poder, y no son tonterias, es una verdad.

Saludos.

P.D.:

~ Menciono, al eliminar dichos archivos, los usuarios nunca más han recibido ataques de Deface, por lo menos con el foro "Mustangueros" no, con happyDjs estoy en espera, aunque dudo mucho que este sea defaceado.

~ Aclaro, como bien lo digo en el Tema, no digo que son los archivos de "vBulletin" los cuales esten infectando, digo que en si, el archivo que infecta es otro que toma el nombre de "vBulletin" en sus productos.

P.D. 2:

Si es tu web, espero que me expliques que hacen dichos archivos ahi, si es asi, te mandaré las lineas de codigo que afectaban en si al foro mencionado, el cual lo manejaba [MENTION=55374]Duditas[/MENTION] .

CarcaBot · 27 Dic 2013

No entiendo como 2 archivos que segun tu [MENTION=65388]Eduardo Leon[/MENTION] infectan todo un hosting y subiendo archivos e infectando el ftp segun tu. Esos archivos en .txt deben ser muy poderosos al decir que hacen todo por uno

irate:, te equivocas al decir que no es mi dominio; es mio por eso ahondo en el tema. Ahora que vas mas a fondo en el tema de productos de vbulletin. tu investigacion sigue careciendo de muchas cosas, Al decir que la web en debate infecta y crea archivos, alguien mas le paso esto? Si es mi web y lo manejan varias personas, tampoco hay que darte explicaciones lo que haga uno con el hosting. investiga bien como viene la cosa antes de señalar. Llevo mas de 10 foros en la red y doy servicio y mantenimiento del mismo, tu al acusar mi dominio me veo en la obligacion de pedir mas que pruebas contundentes antes tanta falacia que haz inventado. Pido a [MENTION=1]Carlos Arreola[/MENTION] que borre este tema o que saque el nombre de mi dominio en este post que no hay fundamentos claves para tan acusación y daño.

Eduardo Leon · 27 Dic 2013

Fundamentos, lo hay, acusación directamente y daño, pues no sé, en realidad, no pensaba que era tu web, pero en fin.

Si [MENTION=1]Carlos Arreola[/MENTION] participa en el tema, le puedo dar el archivo que infecto al foro de [MENTION=55374]Duditas[/MENTION] y Lucho (del foro Mustangueros), ambos, podrán dar fé de lo que digo.

Saludos.

SEW810 · 28 Dic 2013

Caray!!!!, pensé que todo esto se trataba de una broma por el día de los inocentes pero veo que la cosa es seria.
Ojalá se esclarezca todo este asunto, por el bien de ambos usuarios que, desde vbhispano, han apoyado mucho a la gente que nos ha necesitado.

Duditas · 30 Dic 2013

Yo entiendo tu enfado perfectamente, CarcaBot. Cuando Eduardo me comentó este tema, me sorprendí, porque te "conozco" del otro foro y me dijo que no tenía nada que ver contigo.
No lo veas como un ataque personal. Hay que averiguar lo que pasa, porque el hecho de que con Eduardo sólo hayamos contactado dos personas, no significa que no haya más gente con este mismo problema.

Si pensamos un poco, los archivos que dice Eduardo, no estaban en la raiz, estaban en el directorio /beta, que compruebo que ahora está vacío. ¿No podría ser que a ti también te hayan hackeado y te hayan metido archivos maliciosos en tu web, CarcaBot? A mí me pasó una vez hace mucho tiempo...

No quisiera que nos disgustáramos entre nosotros. Ni que nadie piense que Eduardo quiere perjudicar a alguien. Me ha ayudado desinteresadamente y me consta que no lleva ninguna mala intención contra nadie

Eduardo Leon · 31 Dic 2013

Duditas dijo:
Yo entiendo tu enfado perfectamente, CarcaBot. Cuando Eduardo me comentó este tema, me sorprendí, porque te "conozco" del otro foro y me dijo que no tenía nada que ver contigo.
No lo veas como un ataque personal. Hay que averiguar lo que pasa, porque el hecho de que con Eduardo sólo hayamos contactado dos personas, no significa que no haya más gente con este mismo problema.

Si pensamos un poco, los archivos que dice Eduardo, no estaban en la raiz, estaban en el directorio /beta, que compruebo que ahora está vacío. ¿No podría ser que a ti también te hayan hackeado y te hayan metido archivos maliciosos en tu web, CarcaBot? A mí me pasó una vez hace mucho tiempo...

No quisiera que nos disgustáramos entre nosotros. Ni que nadie piense que Eduardo quiere perjudicar a alguien. Me ha ayudado desinteresadamente y me consta que no lleva ninguna mala intención contra nadie

Eso mismo pensé pero como verás, el se pone a la ofensiva.

No entiendo la razón de "tratar de ocultar esos archivos".

los links son los siguientes:

- http://carcabot.com/beta/img.txt
- ...:::: ".et('FileMan')."

Ahora, para ser sincero, el archivo "img.txt" fue "editado", por X motivos, lo que me hace pensar que esos archivos son de él, no como tu lo aclaras [MENTION=55374]Duditas[/MENTION].

ZUCCO · 31 Dic 2013

CarcaBot dijo:
Te lo dire con respecto mi estimado Eduardo Leon, programas verdad? desencripta ese archivo y veras lo que es, no fue editado sigue siendo el mismo; ya me lo confirmaron para que lo estaban usando, y no precisamente para lo que expones en este tema; queriendo mentir a una comunidad y hacerte la fama de CSI vbulletin, ponete a estudiar un poco mas te lo digo de verdad. A mi me va y viene gente como tu que no se de donde salen, y te lo vuelvo a repetir con respeto, ponte a estudiar. le vuelvo a repetir a cualquiera que participe en este tema, si tienen un poco de idea de lo que se habla cuando ni el que acusa esta seguro de lo que es, ni porque las cosas se encriptan con motivos o razones, dejo a la sana consciencia de que es lo que hace el archivo y para que propositos se usan. Sin mas que decir Eduardo Leon con todo respeto te puedes ir a la concha de tu madre, con respeto claro. Feliz 2014 para todos.

Dije que me iba de forobeta pero buscando en Google me trajo de nuevo aquí y paso a comentar , no estoy empapado del tema pero creo que Eduardo Leon es un tipo serio que no anda con niñerias tratando de perjudicar a otros por hacerse el CSI. Más respeto CarcaBot.

Por mi parte ya busque en mis archivos vbulletin y no encontré nada. Solo digo :3

imported_Lucho · 1 Ene 2014

Efectivamente, mi sitio fue blanco de constantes hackeos y al decir constantes no fueron 1 ni 2, en un lapso de 2 meses habrán sido 4 o 5 veces y fue cuando Eduardo muy amablemente me apoyo en este problema y desde entonces se terminaron esos problemas en mi foro. El motivo de ello no se los puedo decir yo porque no sé nada de esto, sin embargo lo que comenta Eduardo no es con el afán de molestar o calumniar a nadie, simplemente me imagino que les dice lo que él vio en mi sitio.
Saludos.

Eduardo Leon · 2 Ene 2014

Esa es mi pregunta, si el usuario Carcabot, ¿Por qué se siente tan ofendido?. CSI ? Mi estimado, nunca quise "difamarte", tú estas difamandote a a ti mismo al "exponer" tales palabras.
Yo no soy nadie para decir "TÚ ERES EL QUE HACKEO EL FORO", nunca lo dije, o ¿acaso lo comente?.
Mírate al decir tales sandeces, no es que quiera "difamar" a alguien, es más, el que quiera el archivo del que hablo, que me envie un MP para que el mismo vea a dónde iba ese archivo directamente.
Mis sospechas ahora son claras, ¿desencriptar? PERO SI YA LO MODIFICASTE ! xD !
No quiero pelear, ni que fuese un niñato como CarcaBot , solo puse este tema para que esten enterados de lo que encontré en dichos foros, de los cuales, tuvieron constantes ataques y de los que ahora, estan libres, es por ello, que ahora cité a los dos usuarios participantes, de los cuales, ya no tienen problemas en sus foros.

Saludos.

EDITO:
Feliz año 2014 para ti también.

ZUCCO · 5 Ene 2014

Eduardo Leon dijo:
Esa es mi pregunta, si el usuario Carcabot, ¿Por qué se siente tan ofendido?. CSI ? Mi estimado, nunca quise "difamarte", tú estas difamandote a a ti mismo al "exponer" tales palabras.
Yo no soy nadie para decir "TÚ ERES EL QUE HACKEO EL FORO", nunca lo dije, o ¿acaso lo comente?.
Mírate al decir tales sandeces, no es que quiera "difamar" a alguien, es más, el que quiera el archivo del que hablo, que me envie un MP para que el mismo vea a dónde iba ese archivo directamente.
Mis sospechas ahora son claras, ¿desencriptar? PERO SI YA LO MODIFICASTE ! xD !
No quiero pelear, ni que fuese un niñato como CarcaBot , solo puse este tema para que esten enterados de lo que encontré en dichos foros, de los cuales, tuvieron constantes ataques y de los que ahora, estan libres, es por ello, que ahora cité a los dos usuarios participantes, de los cuales, ya no tienen problemas en sus foros.

Saludos.

EDITO:
Feliz año 2014 para ti también.

Lo insinúas

Carlos Arreola · 5 Ene 2014

ZUCCO dijo:
Lo insinúas

¿Te despediste del foro hace 10 días porque otros usuarios desvirtuaban y haces lo mismo?

gilberto · 5 Ene 2014

la mala actitud del usuario lo dice todo