SOCORRO - INVASÃO!

[TaijovuNeji]

Faiz algum tempo que meu forum foi invadido pelo maldigo krisbarteo... todo mundo sabe que o avatar dele tem um código malicioso que fica em todas as páginas do forum.. eu bani ele bloquei ip e tudo mais... tirei o código malicioso de mais de 400 páginas de php do forum.. até ae tudo bem..

MAS .. depois de um tempo.. usei o kb_scan.. e vi que todas as páginas estavam novamente infectadas... outra vez tive que arrancar o código malicioso de mais de 400 páginas php...

Até ae blz.. quando fui ver... hoje invadiram outra vez.. e o código malicioso voltou novamente para todas as páginas do forum.. eu to de saco cheio de ficar editando mais de 400 páginas.. uma por uma para ficar arrancando esse maldito código...

Alguém sabe de uma maneira de impedir escrita externa nas páginas php do meu forum para isso não acontecer mais?
Se alguém me ajudar a melhorar a segurança do forum para que isso não ocorra novamente eu serei eternamente grato!

[TaijovuNeji]

Ninguém consegue me ajudar nisso?

[Spectrum..!!]

http://www.simplemachines.org/community/index.php?topic=137415.msg876256#msg876256

[JailsonBR]

da as permissões de 755 para todos arquivos e pastas do teu fórum! e titrar a senha do ftp da administração do teu fórum!

[TaijovuNeji]

Esse tipo de coisa infelizmente não adianta..
A invasão é feita por código em php dentro do próprio forum.. preciso arrumar um jeito de não permitir código externo de php.. e esse é o grande problema Oo...
Mesmo eu não colocando permissão de escrita no arquivo.. não adianta OO

[Costa]

então desabilita o BBC code de php e html!

Não tem nada a ver, se não sabem do que estão a falar não postem.
Taijo, o modo de "ataque" é o mesmo? Pelo suposto avatar?

[TaijovuNeji]

Então cara é isso que eu não sei.. eu tava achando que ele tava invadindo pelo forum em smf.. mas ele invadiu todas as páginas phps do servidor até mesmo as páginas do portal que fiz em wordpress.. então to achando que ele invadiu o servidor e não o forum O.o.. será que tem algo a ver o que to dizendo? OO

[TaijovuNeji]

UP ..

eu preciso resolver esse assunto.. mas preciso de ajuda para isso

[JackWise]

Amigo, desactiva a utilização de avatares externos.

Depois vai ao directório de avatares, e elimina todos os externos que lá estiverem.

[TaijovuNeji]

Eu já fiz isso faz um bom tempo XD.. e mesmo fazendo isso o cara conseguiu invadir meu forum outra vez O.o

[JackWise]

Que MODs anti-spam estás a usar ?


http://custom.simplemachines.org/mods/index.php?action=search;basic_search=spam

[Spectrum..!!]

Amigo TaijovuNeji, é possível que esta re-infecção seja decorrente de computador afetado. Ao que percebi em seus posts anteriores você já havia eliminado antes. Não seria o caso de você ou outro ADM estar comprometido e não saber? Aí é claro que qualquer upload realizado ao site resulte em nova infecção.

O "krisbarteo" pode afetar não apenas códigos PHP, mas também inserir novos temas e avatares (com código de script executável interno).
Ele também pode ter alterado as permissões de seu host, como 777 - verifique isso. Via de regra, nunca defina diretórios ou arquivos para 777, salvo em certos casos o SMF precisa gravar em um diretório (volumes, anexos, avatares, etc...).
Deixe seu site a 755 a menos que o SMF informe e solicite alteração.

Analise seu PC ou qualquer computador usado para administrar ou fazer o upload para o seu site. Altere todas as senhas que você possa ter criado (peça isso a todos os envolvidos na ADM).

Leia atentamente as instruções do kb_scan, para que você saiba o que procurar.

Tenha em mente que, alguns exploits (por exemplo, krisbarteo) colocam coisas em seu banco de dados, o que você precisa limpar manualmente.

Finalizando, o SMF 1.1.10 pode até impedir novas infecções de "krisbarteo", mas não limpa totalmente infecção existente.

[TaijovuNeji]

Então cara.. eu jah troquei todas as senhas importantes do meu forum...
As pastas não estão com permissões 777...

E mesmo eu tirando o código malicioso das páginas.. alguma hora o cara invade e coloca outra vez.. eu to achando que ele tá é invadindo meu banco de dados Oo..
Nem eu nem meus amigos adms tivemos nosso pc infectado por krisbarteo ( eu acho Oo ) ...

[Spectrum..!!]

Então cara.. eu jah troquei todas as senhas importantes do meu forum...
As pastas não estão com permissões 777...

E mesmo eu tirando o código malicioso das páginas.. alguma hora o cara invade e coloca outra vez.. eu to achando que ele tá é invadindo meu banco de dados Oo..
Nem eu nem meus amigos adms tivemos nosso pc infectado por krisbarteo ( eu acho Oo ) ...

Por acaso já verificou no CPanel, em Análise de Arquivos de Logs? Ali você pode verificar os últimos visitantes, quem sabe já não seja por aí....

Quanto ao "eu acho" aí fica então difícil.

No mais,

[Costa]

o host está infectado.

[TaijovuNeji]

Então o host é do meu processor da CEFET eu falei com ele e ele me disse que em nenhum outro site do servidor dele tah dando problema.. se tivesse infectado o host não daria pau no resto dos sites?

e MFox.... como que eu posso fazer para saber se o pc deles foi infectado? Oo...

Alguém ae sabe de algum programa tipo o kb_scan para q eu possa usar para tirar o código malicioso das páginas? Eu tento usar o kb_scan mas ele não tah mais funcionando Oo

[TaijovuNeji]

Eu passei o kb_scan no forum.. e depois disso começou a mostrar esse erro:

Fatal error: Call to undefined function cleanRequest() in /home/dungeonm/public_html/forum/index.php on line 81

E se eu comento a linha com erro.. a página fica em branco e o forum não carrega O.o

[Spectrum..!!]

Amigo TaijovuNeji, por acaso, fora os MOD's aqui da comunidade SMF, tem instalado em seu fórum funções e ou linhas de programação de outras procedências?

[TaijovuNeji]

Eu consegui restaurar o forum XD

Ah e eu não uso soh do smf não.. eu uso o sistema de shop e o sistema de pets deste cara aqui: http://www.dansoftaustralia.net/

Hummm.. mas acho que ele não seria loko de fazer algo que deixe o forum vulnerável a ataques O.o.. pq tbm no código do que ele fez eu não achei nada que faça algo suspeito XD..

Eu ainda acho que é o krisbarteo que tah invadindo meu forum.. mas eu não sei como que ele tah conseguindo fazer isso sendo que eu não permito mais que upem avatar no servidor e coloquei 755 para todos os arquivos O.O

[Spectrum..!!]

OK então, acho que podemos dar como encerrado o tópico.

Você como administrador, fique de olho nas informações do CPanel (quem tem acessado ultimamente). Avise os outros adms sobre os cuidados quando upar arquivos. Quando modificar as permissões dos aquivos para mudar algo não se esqueça de voltar com as permissões de segurança novamente. Mudar as senhas periodicamente também é importante em casos como o seu.

Abçs,