News:

SMF 2.1.4 has been released! Take it for a spin! Read more.

Main Menu

Agujeros en mi Foro. Ayuda por favor!

Started by pedroche, November 20, 2014, 02:59:45 PM

Previous topic - Next topic

pedroche

Hola!
Tengo un agujero por donde me han metido unas carpetas a mi servidor web. Según mi servidor, casi seguro que se ha generado a través del Foro.

Tengo la versión 2.0 RC3, hace unos dias ya trate de actualizarla a la versión 2.0.9 pero tuve problemas y lo deje.
Actualmente he realizado varios cambios en el Foro que en caso de actualizarlo a la versión 2.0.9 para tapar posibles agujeros me llevaría meses volverlo a poner como esta.
http://webdelcule.com/foro
Y digo posibles, por que tengo dudas de que eso archivos se hayan instalado a través del Foro?.

Pregunto:
Hay alguna forma de tapar esos posibles agujeros sin tener que actualizar todo el Foro?

Muchas gracias de antemano
Saludos!

franklinrony

Hola,cuando te refieres a agujeros de seguridad específicamente tienes algo puntual, por que el hecho que tengas carpetas que no creastes tu puede ser debido a diferentes factores por ejemplo tienes problemas de permisos en las carpetas y eso cause que otros usuarios puedan subir ocrear archivos en tu server,lo recomendable es que no tengan 777(salvo la de uploads y adjuntos),si ya tienes la fecha que te metieron esa carpeta,puedes recuperar un respaldo de esa fecha de los archivos y dejas la misma bd(claro si el problema no implica a la bd o también que hayas instalado algun nuevo mod luego del respaldo) y ya luego actualizas a la ultima version,si mal no recuerdo hay actualizaciones de smf que no requieren que vuelvas a instalar todos los mods de cero,aun que ya tengo ratos de no cruzarme por aqui asi que habria que verificar, bajo mi experiencia revisa tambien los logs de errores de apache te pueden dar mas informacion y revisa si no tienes alguna webshell en tu servidor,por que sino por mucho que actualices siempre tendras el problema
http://twitter.com/franklinrony

Entra y aprende a ser un webmaster
www.sv-blog.com
--Si pides ayuda al menos agradece el soporte recibido----

Patrick D

Pueden haber metido una shell por algún sitio. ¿Tienes algún mod que de a los usuarios posibilidad de subir imágenes al foro? Recuerdo un foro que quitó el límite de peso de las imágenes que se podían subir en el avatar y le metieron una shell C99 y cascaron todo. Lo recomendable es que tengas límite de tamaño en los uploads, etc.

pedroche

#3
Gracias por vuestra respuesta!

A ver...
Me cuesta creer que alguien por el foro pueda haber introducido esas carpetas con varios archivos en un servidor que necesita un FTP, un usuario, y una contraseña (por cierto, la mia es muy dificil)

Es la tercera vez en 10 dias que lo hacen. Esta ultima la carpeta se llama: Sharp, dentro contiene tres directorios: Yahoo, Hotmail, Google, las tres tienen los mismos archivos: SendMsg.php, Index.php, y Thumbs.db

-No tengo activado el subir imagenes en el Foro, no pueden subirlas.
-Lo de webshel, no se que es?, no se si esta instalado en el servidor o no,
-Tengo dudas con los permisos, no se que permisos lleva cada carpeta y archivos. He mirado por encima y casi todas las carpetas tenian 777, ahora las he cambiado a 755, los archivos los he dejado con 644
- No tengo Mod instalados, lo que hay cambiado lo he hecho manualmente

-Frony, esto que me dices  no se que queire decir? : si ya tienes la fecha que te metieron esa carpeta,puedes recuperar un respaldo de esa fecha de los archivos y dejas la misma bd(claro si el problema no implica a la bd o también que hayas instalado algun nuevo mod luego del respaldo) y ya luego actualizas a la ultima version


El caso es que tengo que solucionarlo como sea, esto es algo muy grave.

Me gustaria que alguien me aconsejara que debo hacer.

Claro, lo mas facil seria actualizar el Foro, o hacer uno nuevo, pero ya he dicho que he estado un mes entero modificandolo y diseñandolo a mi gusto. Ponerlo otra vez como esta ahora me llevaria otro mes.

De cualquier forma, antes de hacer nada, habria que averiguar si efectivamente la causa del problema es el Foro.
He enviado un mensaje a mi servidor al respecto, y me han dicho que miraran a ver si pueden averigual algo

Saludos!



Suki

Es muy probable que los permisos sean la cause de tus problemas. SMF RC3 tiene algunas fallas de seguridad pero ninguna que se relacione o que pueda estar involucrada en la creación de carpetas o archivos.

Consulta con tu hosting sobre los permisos aporpiados para tus carpetas y archivos, nunca dejes tus carpetas o archivos en 777, si necesitas ponerlos en 777 para instalar algo, asegúrate de volverlos a poner como estaban al terminar de hacer tus cambios.
Disclaimer: unless otherwise stated, all my posts are personal and does not represent any views or opinions held by Simple Machines.

pedroche

Muchas gracias Suki!

Bueno, de todas formas por una parte me ha venido bien, he hecho algo que hace unos dias no pude hacer y que ya estuvimos discutiendo
He hecho un backub, y he instalado un foro nuevo de la última version (2.0.9), he vueto a importar el backub, y listo , funciona perfectamente, y ha quedado como lo tenia ahora con todos los cambios que hice intactos.

Ahora ya sabremos con mayor seguridad si el problema de esos intrusos era o no del foro.

Por cierto, los permisos los tengo ahora en 755, antes estaban en 777.

Saludos!

ArgentinaIRC

QuoteHe hecho un backub, y he instalado un foro nuevo de la última version (2.0.9), he vueto a importar el backub, y listo , funciona perfectamente, y ha quedado como lo tenia ahora con todos los cambios que hice intactos.


Hola, ¿has hecho un backup de qué?, ¿de tu base de datos o de los archivos de tu foro?, porque si has hecho un backup de tu base de datos, pero no de tus archivos, tendrías un SMF sin las modificaciones que tenías antes, osea las que vos hiciste manualmente.

Ahora si vos sobreescribiste los nuevos archivos de SMF 2.0.9 por los tuyos, entónces no hiciste la actualización correctamente, no me cierra lo que decís, si has actualizado tu foro no puede quedar todo intacto, vos comentas que has instalado un foro nuevo y que has importado la base de datos y que todo ha quedo perfecto, pero ¿que pasó con las modificaciones que tenías en tus archivos? ¿o acaso has sobreescrito algunos archivos de tu nuevo foro por lo que vos ya tienes modificados?, si es así, entónces no hiciste la actualización correctamente.

Saludos.

pedroche

Gracias argentina!

Efectivamente, no me he explicado bien.

He hecho un backup de la base de datos, he instalado el foro nuevo. Claro no queda intacto he tenido que arreglar los archivos.

de todas formas, he tenido que volver a meter algunos archivos antiguos, no he tenido mas remedio, como por ejemplo: index.template, pos.template, index.spanich,  por que si no hubiera tenido que trabajar un mes para dejarlo como lo tenia antes.


saludos!

ArgentinaIRC

mmmmmmmmm hombre, eso está mal, porque en esos archivos seguro hay modificaciones, mejoras de seguridad, ya me parecía que eso habías hecho, ahora queda la respuesta de alguien que sepa contestarte mejor (con más conocimiento), quizás lo que vos hiciste no esté mal, pero quizás si lo esté y tengas que obligadamente dejar los archivos de SMF 2.0.9 originales y luego hacerle las modificaciones correspondientes.

De todas maneras, hacelo, no te tiene que importar si es mucho laburo o poco, es tu Foro, TU FORO, así que no hay otra persona que lo haga por vos, es algo tuyo, así que debés hacerlo vos, porque al haber actualizado a la versión 2.0.9 te va a ir mucho mejor en todo sentido, y más seguro va a estar tu foro.
No te hagas drama por el tiempo que te lleve hacer esas modificaciones manualmente, pensá que con la versión que vos tenés está en riesgo tu comunidad/Foro y tus usuarios.

Saludos!!

franklinrony

coincido con ArgentinaIRC creo que solo tratar de no volver a modifcar los archivos te puede a la larga salir mas dificil si el problema aun lo tienes,aqui puedes ver que permisos necesitas por cada tipo de archivo http://wiki.simplemachines.org/smf/Installing#Set_File_and_Folder_Permissions
solo necesitas 777 si es una carpeta donde necesitas subir archivos,adjuntos y avatares,si todos tenian 777 habria que ver por que fue eso.
cuando digo webshell me refiero a usualmente archivos php que están programados para poder ejecutar comandos en tu servidor como si estuvieses usando ssh,pero todo desde el navegador,usualmente es cuando en el servidor tiene habilitadas algunas funciones como exec() y hacer cosas como borrar archivos o descargar archivos de forma remota,usualmente tienen esta forma
http://www.exploit-db.com/exploits/4169/
si ves el contenido de esos archivos php que tienes demas a lo mejor sean similares en instrucciones,y como te digo por mucho que actualices,si tu problema no venia de smf,sino por ejemplo de problemas con permisos tendrás que tambien limpiar todos esos archivos raros que tienes alojados,aveces los esconden dentro de subcarpetas o con nombres que pasan desapercibidos,yo lo que hago es con el cliente ftp ver las fechas de modifcacion de los archivos usualmente tienen la misma fecha,y de alli es de ir viendo cuales fueron modificados después y si en esas fechas instalaste o no mods y fíjate las fechas en que aparecieron los archivos maliciosos.

Si luego de haber hecho todas las modificaciones hiciste respaldo de archivos y bd,y están limpias,lo mejor es partir de ese punto,borrar todos los archivos del servidor y subir los nuevos y como la bd debería estar actualizada  con las nuevas tablas que crearon los mods,actualizar desde ese punto,pero no se si entiendo mal,pero cuando dices que te llevaria meses volver a poner los mods es por que asumo nunca has hecho un respaldo  o es muy antiguo .Creeme que yo he pasado por eso y pues asi aprende uno :)

ah por cierto tu servidor es un vps(administrado o autoadministrado) o compartido..por que si es lo primero deberas ver tambien posibles problemas con las configuraciones del server.

edit
DEBIDO A UN HACKEO EN EL SERVIDOR, HEMOS TENIDO QUE INSTALAR UN FORO NUEVO. ESPERO QUE EN UNO O DOS DIAS ESTE TERMINADO.

creo que deberías cambiar el mensaje de mantenimiento pues hoy en dia a mi ver crea desconfianza en los usuarios sobre como estas administrando la web,de hecho hasta las empresas grandes tratan de minimizar los problemas de este tipo, y lo otro y es que a menos que estes seguro que fue un hackeo directo al servidor  pueda que no haya sido tal.
http://twitter.com/franklinrony

Entra y aprende a ser un webmaster
www.sv-blog.com
--Si pides ayuda al menos agradece el soporte recibido----

ArgentinaIRC

#10
Tiene razón frony, les cuento mi experiencia con esto del hackeo (que no fue un hackeo, pero algo que me perjudico), una vez entraron unos chicos en mi Servidor IRC de chat, estos pibes decían que venian a "trolear", que significa a "molestar", bue, el tema que yo justo ese mismo día, había tenido problemas con una persona en un Foro, así que no estaba de humor y cuando ellos entraron en mi foro, me preguntaron como estaba (la pregunta típica y clásita, el "como estas?"), bueno le comento que había tenido un problema en un foro y etc... entónces ellos empezaron a decirme que la culpa la tenía yo, que yo rompía reglas de ese foro y que por eso me hicieron eso (un moderador no borró el código que yo estaba haciendo), entónces como yo no estaba para aguantar a nadie, les dije que no me digan nada porque los iba a correr, sin embargo no les importó y empezaron tratarme mal, diciendome que soy el culpable que voy a romper reglas en los foros, que me hago el malo bla bla, como si fuese que me conocían, no porque yo rompa reglas, sino que hablaban de mi con una seguridad.

Entónces los corrí, bue, al otro día en la mañana cuando quiero ver mi foro, zas! me salta un error algo así como esto:

The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.

osea ese era un mensaje que aparecía como ese típico mensaje 500 (Internal Server error), osea no era más que un texto, jamás me pasó eso, pero ya olía lo que significaba, bue, voy a CPanel al Log de errores y zas!!!! ahí nomás encuentro, miren esto, lean lo que puede llegar a ser capaz un lammer, una persona en busca de hacer daño no? bue lo digo, en el CPanel veo un montón de denegaciones a un archivo de mi página web, el mismo es un mIRC comprimido (programa para chatear) que tenía yo en mi página para que los usuarios lo descarguen, el tipo lo que hizo fue esto:

1° Miró en toda o varios lugares de mi página el archivo más pesado, es decir con mayor tamaño, y si, ese era el más pesado, ya que pesaba más de 5 megas.
2° Eligió ese archivo en formato .zip y mediante un programa empezó a descargar MASIVAMENTE ese archivo en su pc, lo descargó cientas o miles de veces en cuestión de apenas minutos, el tipo tenía una conexión a internet muy buena y empezó a descargar ese archivo masivamente, esto lo hizo esa misma noche que los corrí, era un mexicano el pendejo, el tema que logró bajar cientos o miles de esos archivos en su pc hasta agotar completamente el ancho de banda que tenía mi shell, porque en ese tiempo tenía una shell, una porquería era así lo digo, no servía para nada, imaginensen, 2 GB mensual de transferencia, 400 MB de espacio en disco, 4 procesos máximo, etc... bueno como pueden imaginar, eso causó que tanto mi Foro como mi página web no puedan seguir funcionando, dado que ya no tenía más ancho de banda, osea me jodió unos días con eso hasta que volví a pagar otro mes y ahí se restableció el consumo mensual de ancho de banda.

El tipo hizo ese ataque la noche que yo los corrí y luego, no conforme a que todavía me quedaba ancho de banda, sigió al día siguiente y ahí lo consigió, me dejo sin página y sin foro un pendejo insolente, por eso ahora pago un poco más pero el servicio es diez mil veces mejor, y así uno va aprendiendo de esas cosas por experiencia propia.

Miren que simple, buscan una shell barata de alguna persona, usan un programa que trabaja con Multi hilos porque realmente trabaja con threads por eso bajaron tanto ese archivo en .zip en tan poco tiempo y dejan sin ancho de banda a un persona que ayuda a los demás, yo en este caso que tengo un Foro de Programación general, detesto esa gente.

En fin, hay que seguir con la seguridad a full, solo les quería comentar esto para que ustedes estén al tanto de este posible ataque, que para una persona que pague algo tan precario, lo puede perjudicar, esto va para todos los usuarios de SMF, también para el equipo, los traductores, para todos.

Saludos!!




Bueno respondiendole al usuario Pedroche, tendría que fijarse de alguna manera la IP de esa persona que le ha metido esos archivos en su servidor, aunque si usó una VPN o un Proxy Anónimo, será imposible saber, si entró por ftp (que no hay que descartar esa posibilidad), entónces deberías fijarte en el log de accesos por FTP, no se bien donde se encuentra eso, pero seguro hay un lugar, un archivo log donde se está registrando los accesos a tu hosting.

Dentro de unos días, voy a publicar un programa ejecutable creado en Python con interfaz (GUI) gráfica en wxPython que servirá para generar claves ALTAMENTE SEGURAS, realmente serán bastante fuertes y en el mismo programa se podrán configurar la longitud, números, números y letras, símbolos, mayúsculas y minúsculas mezcladas, etc..

Bien pueda voy a empezar con la creación de ese programa que ayudará a muchísima gente, eso sí, obviamente será un programa que NO usará internet ya que no envía las claves generadas a ningún lado, mejor si el programa es analizado por expertos de SMF para que corroboren lo que digo ;) además será un programa muy útil para cualquier persona, sea o no sea programador y aparte de eso se deberán guardar las claves en algún lado seguro, porque recordar esas claves es casi imposible, así que lo mejor es guardarlas en un lugar seguro.

Saludos!!

pedroche

#11
Hola amigo@s!

Ante todo os doy las gracias por el exfuerzo que estais realizando por ayudarme.

He leido antentamente vuestros mensajes, y de verdad que teneis mucha razon.

De todas formas, los técnicos de mi hosting me han dicho que estan investigando las posibles causas.
Yo creo que lo mas seguro haya sido por los permisos, tenia todas las carpetas en 777, creo que fue culpa mia que no las cambie en su tiempo.

No se que haré si editar el nuevo archivo index.template o dejar el antiguo, por que de verdad lo temo por el trabajo que lleva.
lo mismo me pasa con el index.spanisch aunque este me llevaria menos tiempo. Si he dejado el nuevo Display.template.
De todas formas, como dijo Suki, es muy dificil que esas carpetas introducidas haya sido por agujeros de los archivos.

También he pensado que por que no pudiera ser por algun malware que tenga en el PC?
De momento he pasado el malwarebytes y el AVG Internet security y no ha detectado nada, pero es que puede estar muy escondido.
Así pues estoy pensando en un formateo.
Voy a esperar respuesta de mi servidor de hosting a ver que me dicen

por cierto funy, llevas razon en lo de edit, ya lo he rectificado, aunque abriré el foro en un rato.

Muchas gracias de nuevo!

Saludos!






franklinrony

Quote from: pedroche on November 22, 2014, 04:12:41 AM
Hola amigo@s!

Ante todo os doy las gracias por el exfuerzo que estais realizando por ayudarme.

He leido antentamente vuestros mensajes, y de verdad que teneis mucha razon.

De todas formas, los técnicos de mi hosting me han dicho que estan investigando las posibles causas.
Yo creo que lo mas seguro haya sido por los permisos, tenia todas las carpetas en 777, creo que fue culpa mia que no las cambie en su tiempo.

No se que haré si editar el nuevo archivo index.template o dejar el antiguo, por que de verdad lo temo por el trabajo que lleva.
lo mismo me pasa con el index.spanisch aunque este me llevaria menos tiempo. Si he dejado el nuevo Display.template.
De todas formas, como dijo Suki, es muy dificil que esas carpetas introducidas haya sido por agujeros de los archivos.

También he pensado que por que no pudiera ser por algun malware que tenga en el PC?
De momento he pasado el malwarebytes y el AVG Internet security y no ha detectado nada, pero es que puede estar muy escondido.
Así pues estoy pensando en un formateo.
Voy a esperar respuesta de mi servidor de hosting a ver que me dicen

por cierto funy, llevas razon en lo de edit, ya lo he rectificado, aunque abriré el foro en un rato.

Muchas gracias de nuevo!

Saludos!
otro tip que te puedo dar. Para optimizar el tiempo viendo que hay que editar nuevamente,presumo son modificaciones propias y no de instalación de mods, utiliza un software para comparar la diferencias entre el archivo editado y el que te queda luego de la actualizar,con winmerge puedes hacerlo y te marca la diferencia entre dos archivos, y alli te guias donde copiar el codigo que ya tenias. Si es por que los mods no se terminan de instalar bien,yo lo que hacia es primero instalar los que editaban mas archivos y luego dejaba los mas sencillos,asi si era por problemas de conflicto entre mods al editar una misma linea, se invierte menos tiempo instalando los mods "pequeños".

Desconozco tu plan de respaldos,pero en mi experiencia te sugiero hacer respaldos de los archivos luego de hacer modifcaciones en los archivos y tener por lo menos los últimos tres respaldos y la bd hacer al menos un respaldo en el dia(eso dependera de la cantidad de temas que se publiquen a diario) puedes usar mysqldumper para ese propósito,que te hace automatico los respaldos si tienes acceso a los cronjobs e instalado perl.

Si usas filezilla,creo que estas se guardan en texto plano y si tienes algún malware a lo mejor y podria hacer eso de robarte las claves de acceso,en un tiempo eso fue comun, aun que igual no aclaras  si tu servidor lo administras tu o es compartido por que en la carpeta /var/log puedes ver los logs generados por apache,ftp,ssh,etc.

la moraleja de post es,hacer respaldos,revisar de vez en cuando los archivos del smf e instalar herramientas de prevencion de ataques en el servidor(si es posible)
http://twitter.com/franklinrony

Entra y aprende a ser un webmaster
www.sv-blog.com
--Si pides ayuda al menos agradece el soporte recibido----

pedroche

Gracias Frony por todo, eres un maestro, jeje.

-Primero decirte que si hago respaldos de vez en cuando,
-Para el ftp uso WS_FTP, me gusta mucho mas que Filezilla
-Me imagino que mi servidor ya tendra las herramientas adecuadas por la cuenta que le tiene, si no les estoy dando el coñazo, jeje.
- Los Mod los ódio, siempre tengo algun problema, prefiero hacerlo todo a mano, claro, a veces a mi manera.

Respecto al index.template nuevo (2.09), he copiado todo lo que tenia hecho en el antiguo(2.0) esta todo igual, pero tengo un problema que soy incapaz de arreglarlo, la pagina me sale cortada tal y como lo pongo en la imagen. He estado todo un dia entero pero no hay forma de juntarlos. En cambio con el antiguo si queda perfecto.


Sabes como puedo arreglarlo?

Con esto praticamente tendria todo el foro a la version 2.09 con todos los cambios que yo hice personalizados

Saludos!

franklinrony

pues a lo mejor la forma de como usaron los divs cambio de una version a otra y de alli que no te funcione,como te decia usa un programa para comparar archivos,pe winmerge,comparas los dos index.template y alli veras si solo es de agregar el codigo o hay mas cambios que debas considerar,de css no se mucho a lo mejor sea un salto de linea o que haya que poner un margin:0 en el css
http://twitter.com/franklinrony

Entra y aprende a ser un webmaster
www.sv-blog.com
--Si pides ayuda al menos agradece el soporte recibido----

franklinrony

probando en tu foro con el firebug, y dejando esta parte asi

.navigate_section {
padding: 0.5em;
margin: 0 0 0 0;
}

se ve como la imagen,pero igual fue un cambio al vuelo,asi que haz un respaldo antes de cualquier cambio  :laugh:
http://twitter.com/franklinrony

Entra y aprende a ser un webmaster
www.sv-blog.com
--Si pides ayuda al menos agradece el soporte recibido----

pedroche

Quote from: frony on November 23, 2014, 11:21:02 AM
probando en tu foro con el firebug, y dejando esta parte asi

.navigate_section {
padding: 0.5em;
margin: 0 0 0 0;
}

se ve como la imagen,pero igual fue un cambio al vuelo,asi que haz un respaldo antes de cualquier cambio  :laugh:

ERES UN CRACK FRONY!!!!

Efectivanete era de eso, faltaba un 0, lo tenia asi: 0 0 0,  y es así:  0 0 0 0

Llevo todo el dia con esto, repasando un monton de archivos, e incluso los css

No se como agradecerte todo el empeño que has puesto por ayudarme.

No tengo ni idea que son estos programas: pe winmerge, ni firebug pero bueno, cuando tenga tiempo ya le hechare un vistazo

Muchas gracias de nuevo!
Un Saludo!

franklinrony

ok me alegra de haber regresado y poder contribuir en tu problema. Entonces damos por cerrado el tema?
http://twitter.com/franklinrony

Entra y aprende a ser un webmaster
www.sv-blog.com
--Si pides ayuda al menos agradece el soporte recibido----

pedroche

Bueno, el tema principal era lo del agujero, pero de momento tendre que esperar a ver que me dicen en mi servidor.

Lo ultimo si, tema solucionado.

Ahora abrire un nuevo Post con otro pequeño problemilla, pero de menos importancia.

Un saludos, y gracias de nuevo

Advertisement: