Recién ayer me di cuenta que el problema que venía teniendo con los avatares se debia a un usuario Krisbarteo que al subir un avatar introdujo un codigo php malicioso.
A duras penas en diciembre instale el foro sola, tengo cero conocimientos y ahora me encuentro que este código se replego a tal punto que ocupo todo mi ancho de banda.
Lo que pago por el hosting es suficiente, así que solo me resta intentar reparar el foro el 1ero de Junio, cuando mi espacio vuelva a quedar a cero.
Qué consejos podrían darme ?, desde ya les agradezco, sin duda saben de qué se trata este ataque.
Quote from: Barenka on May 24, 2009, 09:17:40 AM
Recién ayer me di cuenta que el problema que venía teniendo con los avatares se debia a un usuario Krisbarteo que al subir un avatar introdujo un codigo php malicioso.
A duras penas en diciembre instale el foro sola, tengo cero conocimientos y ahora me encuentro que este código se replego a tal punto que ocupo todo mi ancho de banda.
Lo que pago por el hosting es suficiente, así que solo me resta intentar reparar el foro el 1ero de Junio, cuando mi espacio vuelva a quedar a cero.
Qué consejos podrían darme ?, desde ya les agradezco, sin duda saben de qué se trata este ataque.
Prevención:
Instala MOD Anti Bots, eso servirá y borrar ese usuario desde mysql.
si miras aqui veras que esta en muchos foros de smf que ni los duenos lo saven
http://www.google.es/search?hl=es&q=Krisbarteo&btnG=Buscar+con+Google&meta=&aq=f&oq=
infecta foros consume ancho de banda pero para que?? para que los infecta con que propósito?
en smf 1.1.9 esta solucionado?? y otra cosa.. . prohibir el registro de ese usuario tambien seria bueno? por ejemplo probir nombre deusuario con ese nombre, o simplmente registrarlo yo mismo. ..
Quote from: flager on May 24, 2009, 12:37:48 PM
en smf 1.1.9 esta solucionado?? y otra cosa.. . prohibir el registro de ese usuario tambien seria bueno? por ejemplo probir nombre deusuario con ese nombre, o simplmente registrarlo yo mismo. ..
Sería una buena opción, prohibir los dos nombres con cuales se registra.
Pero si todos los cambian el masivo va a evolucionar como podria pasar con la gripe porcina y al igual va aseguir haciendo daño... Me explico si todo prohiben ese registro de nombre el masivo va cambiar su fo9rma de ataque registrandose con otro nombre, por lo cual yo diria que smf deberia dar una buena respuesta a esto :P Alemnos que respondan si en la version smf 1.1.9 esta solucionado este bug. . .
Gracias a todos por sus respuestas.
Lo de bloquear el nombre de usuario no creo que resulte porque también entra como magicpromoción o algo así, creo que puede reproducirse con muchos nicks.
Esperare entonces al 1ero de junio para ver que puedo recuparar de mi foro.
yo instale el mod 'eres humano?',muy bueno...
no sé quien lo iso pero gracias xD
y alque lo tradujo ;D
Quote from: falillista on May 24, 2009, 01:21:29 PM
yo instale el mod 'eres humano?',muy bueno...
no sé quien lo iso pero gracias xD
y alque lo tradujo ;D
Traducción de la v2.0: http://www.simplemachines.org/community/index.php?topic=252307.msg2053165#msg2053165
Saludos!
instala la version de smf 1.1.9,borra los avatares de ese usuario y revisa los archivos css, por otro lado podrias también desactivar el subir avatares al servidor y revisa constantemente el log de errroes para ver en que medida se ha solucionado el error,al ser ataques programados se podria usar el mod que oculte la version de smf, yo he pensado hasta usar una imagen en lugar de texto en el copyright pero no se hasta que punto sea permitido
Esto ya es de conocimiento para el staff, por ahora no se han registrado ataques a SMF 1.1.9
Yo ya actualize, instale algunos mods antispammer, reserve los nombres de los hackers y le instale un antibot.
Con eso yo creo que sera suficiente.
yo instale 2 mods,para estar protegido,acabo de eliminar 3 o 4 bots q avian de la 1.1.8,en la 1.1.9 todo bien ^^
Si, yo pienso que la 1.1.9 ya arreglo el problema, por lo que dijo NIBOGO, que en SMF 1.1.9 aun no se han registrado ataques.
Yo actualize desde el PAQUETES,decia que todo bn..
pero un amigo dice queno que ase falta otra cosa ;S
esta asi bien? ;)
Lo mejor seria actualizar, instalar antibot, tales como el "Are you human?", o los puzzles.
E instalar el mod Stop Spammer y el mod reCAPTCHA.
Saludos
en efecto en el changelog sale la mencion de ese bug
SMF 1.1.9 ???
================================================================================
May 2009
--------------------------------------------------------------------------------
! un_preparsecode didn't put spaces back as they were (Subs-Post.php) [Bug 3109, 2202]
! Activate message may result error due to missing/extra math (Profile.php) [Bug 1430]
! Improve attachment sanitation for avatars. (Profile.php, Subs-Members.php)
! Improve attachment handling (Many files)
! Added more protection against IE's image XSS vulnerability - reported by Jacques Copeau (Display.php)
! Add a theme check to prevent usaage of invalid themes (Load.php)
! Remove uneeded html from package servers, only allowing BBC. (PackageGet.php)
! Token confirmation was flawed. (Security.php)
! Don't allow flash attachments to be shown as images - reported by Alejandro Rusell. (Display.php)
! Strings passed to install.php weren't properly sanitized - reported by Alejandro Rusell. (install.php)
ok..
mi version: 1.1.9
mods para antiperrys/bot: mod stop,are you human.
con eso basta?,saludos 8)
Quote from: Serakon on May 24, 2009, 12:31:46 PM
infecta foros consume ancho de banda pero para que?? para que los infecta con que propósito?
Para hacer SPAM, este sujeto gana dinero con eso. Así de simple :)
--
Quote from: .J. on May 24, 2009, 12:44:16 PM
Sería una buena opción, prohibir los dos nombres con cuales se registra.
Quote from: flager on May 24, 2009, 12:37:48 PM
...prohibir el registro de ese usuario tambien seria bueno? por ejemplo probir nombre deusuario con ese nombre, o simplmente registrarlo yo mismo. ..
Sí, ambas cosas sirven, pero igual tiene varios alias y nada impide que use otros, por lo que lo mejor sería estar acompañado de algunos buenos AntiBot.
--
Quote from: flager on May 24, 2009, 12:37:48 PM
en smf 1.1.9 esta solucionado?? y otra cosa.. .
Quote from: flager on May 24, 2009, 12:57:39 PM
... por lo cual yo diria que smf deberia dar una buena respuesta a esto :P Alemnos que respondan si en la version smf 1.1.9 esta solucionado este bug. . .
Justamente las últimas actualizaciones fueron de emergencia por esa razón (*), ahora en las nuevas versiones tales ataques en la forma que se produjeron son imposibles de realizar. Ahora es "totalmente" seguro permitir avatares y adjuntos. (Aunque los avatares y adjuntos "viejos" no tienen el cifrado nuevo, pero hasta donde se sabe ya no es posible la inyección porque todas los agujeros conocidos para eso fueron cerrados).
(*) fijense que salió la RC1-"1" en lugar de la RC2 porque la RC2 no estaba aún programada pero se tuvo que hacer este lanzamiento de emergencia.
--
Quote from: falillista on May 24, 2009, 03:10:06 PM
ok..
mi version: 1.1.9
mods para antiperrys/bot: mod stop,are you human.
con eso basta?,saludos 8)
Sí
--
Quote from: Barenka on May 24, 2009, 09:17:40 AM
Recién ayer me di cuenta que el problema que venía teniendo con los avatares se debia a un usuario Krisbarteo que al subir un avatar introdujo un codigo php malicioso.
A duras penas en diciembre instale el foro sola, tengo cero conocimientos y ahora me encuentro que este código se replego a tal punto que ocupo todo mi ancho de banda.
Lo que pago por el hosting es suficiente, así que solo me resta intentar reparar el foro el 1ero de Junio, cuando mi espacio vuelva a quedar a cero.
Qué consejos podrían darme ?, desde ya les agradezco, sin duda saben de qué se trata este ataque.
¿Además del Foro que otra cosa tienes en el host?
- Lo más práctico, es que hagas un respaldo de la DB del foro y lo que tengas.
- Podrías eliminar todos los avatares y adjuntos que tengas en el foro.
- Luego, borra todo lo que tengas en el host, y resube un foro limpio, instala y luego subes el backup.
Para este último paso puedes ver el tema de FAQ o pedir soporte por aquí que cualquiera te puede ayudar.
Lee esto:
http://www.nimiedad.com/2009/05/grave-vulnerabilidad-en-foros-smf.html
Saludos
Quote from: javipkt on May 24, 2009, 07:28:30 PM
Lee esto:
http://www.nimiedad.com/2009/05/grave-vulnerabilidad-en-foros-smf.html
Saludos
lo siento, pero no proporciona mas o mejor información que la que se ha proporcionado aqui.
puede que alla evolucionado? o es uno que usa el mismo nick por que otro de los nick que usa el infectador es "MagicOPromotion" pues se a registrao en mi foro y a posteado
http://foro.serakon.com/index.php?topic=929.0
mirar su contestación no muy bien explicada y parece que ta loco
pensaría que es un tonto si no es por que su ip "94.142.128.xxx"
Quote from: Serakon on May 25, 2009, 10:22:00 AM
puede que alla evolucionado? o es uno que usa el mismo nick por que otro de los nick que usa el infectador es "MagicOPromotion" pues se a registrao en mi foro y a posteado
http://foro.serakon.com/index.php?topic=929.0
mirar su contestación no muy bien explicada y parece que ta loco
pensaría que es un tonto si no es por que su ip "94.142.128.xxx"
Si me parece que ha "evolucionado" XD
Parece una respuesta automática, y en este caso se ve que el sujeto se ha trabajado la cuestión ::)
Y si es el otro caso, debe ser alguien haciéndose pasar o jugando una broma.
¿por que no reportarlo como spammers de todas todas? XD
--
Revisa si todos sus datos ya están en esta web (http://www.stopforumspam.com/) y si es así, por lo menos viene bien la información de que el spammer tiene más trucos bajo la manga.
si estan en esa web:
http://www.stopforumspam.com/search?q=94.142.128.140
impresionante, un dia los virus hablaran como si fueran personas
http://www.simplemachines.org/community/index.php?topic=312772.0
http://www.simplemachines.org/community/index.php?topic=312769.0
http://www.simplemachines.org/community/index.php?topic=310995.0
http://www.simplemachines.org/community/index.php?topic=310712.0
Lo posteo en este tema porque es uno de los tantos donde se ha tratado este asunto.
A todos los que han tenido este problema, además de actualizar para quedar protegido de futuros ataques, también toca la limpieza.
Hasta ahora lo mejor para limpiar, es el método que había dicho antes, borrar "TODO" lo que se tenga en el host y subir los archivos limpios y restaurar las DBs.
Ahora el Team de SMF ha realizado una utilidad para detectar y limpiar esta infección.
El tema con las instrucciones y la descarga de la utilidad es este:
http://www.simplemachines.org/community/index.php?topic=313201.0
Esta en inglés, y estas no son horas para hacer una traducción xD, pero no parece complicado de entender.
yo doy limpio pero tengo al troyano posteando por mi foro y paseandose, seria bueno que instalara el stop spam no?
y por cierto como se hace para borrar a los usuarios que lleven X dias inactivos?