Otsikko: Fallo critico de seguridad,smf 2.5,grupos y permisos de usarios comprometidos
Kirjoitti: papones - lokakuu 06, 2013, 01:40:46 IP
Kirjoitti: papones - lokakuu 06, 2013, 01:40:46 IP
Esto paso ayer,lo reporte en smf por privado a malboro y no a respondido aun
Creo que es bastante grabe,debido a que de repente un usuario sin permisos se hace con
permisos de moderación global e incluso de administración para cambiar de grupo y permisos
Las ips que salen son mias,asi que si las conoce google ,no pasa nada ,la del intruso de un movil ,
dinamica propiedad administrativa telefonica/movistar con subcontratacion de servicios para
las redes de telefonia movil de orange
Te dejo copi paste y también el análisis de hoy,también veras al que se metio
respondiendo en otro foro ,descubro un fallo me pongo de vip y luego de moderador
global y encima me banean
Se ves que es un fallo de smf,permisos,y grupos de usuarios
Me encontré a un admin metido dentro del grupo de moderadores glovales,a un vip también
mod global y en usuarios regulares ,hay una tabla de permisos de moderación global ,
repetida y con todos los permisos on e incluso otorga permisos de administración
a usuarios recién registrados,como el de cambiar los grupos y permisos a los usuarios que solo los tengo activos yo
ESTE ES UN QUOTE DEL NENE HABLANDO EN OTRO FORO
Ya le hubiera gustado a el,mira las horas de las capturas,
02:35 entro en el portal y veo a un nombre desconocido de rojo,
02:36 Log de erro Criticor intento de ingreso en administración
02:36:32 segundos,baneo completo por ,ip,cookies,server,mail etc,cambio el nick,la cuenta e mail,
el nombre del user,la pass y adiós a las 02:38
02:39 reviso donde a estado para estar seguro de no ser alucinación triple
Si en moderación,le a dado justo tiempo a pasar por delante de 4 post,nada mas
Analizo los grupos y me encuentro a un administrador en el grupo de moderadores globales,cosa
que es imposible
No Solo esta Manuel si no un vip conocido y vecino dentro del grupo de moderadores
Ademas me encuentro que de repente los usuarios regulares,los que no pertenecen a ningún grupo con permisos especiales,una duplicación de la tabla de moderación del foro,la que da los permisos de moderación,que mandan sobre cualquier otro
Asi que por arte de magia un user novato,de repente puede cambiar los grupos y permisos del foro,si no que también los de los grupos de usuarios
Hace tiempo que alguno se quejaba de que no podia editar los post,bueno esta claro que es un problema de smf y que ademas a ido a peor
Ya esta todo en su sitio,y esperando respuesta de smf y el parche que repare esto
Ya no pueden hacer nada,por que anule las tablas erroneas,pero vamos al jilipollas este,le dejo 4 minutos mas y algún estropicio me hace
Solo hay duplicación e inserción de permisos de moderación y administración en el grupo denominado,usuarios regulares sin permisos
De paso elimine al mod global que es vip y no mod g,a mi primo por no visitarnos desde febrero y a fantasmon mi tercer yo,con permisos de mod g
Que descubrió un fallloooo,los sesos y una patada en los huitos bien dada le daba yo
Si la puerta se a quedado abierta,no se entra y tampoco se llama,simplemente se ve ,se informa y prau
Que susto me dio el hijo de su mami.
Saludos y atentos a los permisos,grupos etc
Revisen todo por si acaso,gracias.
Creo que es bastante grabe,debido a que de repente un usuario sin permisos se hace con
permisos de moderación global e incluso de administración para cambiar de grupo y permisos
Las ips que salen son mias,asi que si las conoce google ,no pasa nada ,la del intruso de un movil ,
dinamica propiedad administrativa telefonica/movistar con subcontratacion de servicios para
las redes de telefonia movil de orange
Te dejo copi paste y también el análisis de hoy,también veras al que se metio
respondiendo en otro foro ,descubro un fallo me pongo de vip y luego de moderador
global y encima me banean
Se ves que es un fallo de smf,permisos,y grupos de usuarios
Me encontré a un admin metido dentro del grupo de moderadores glovales,a un vip también
mod global y en usuarios regulares ,hay una tabla de permisos de moderación global ,
repetida y con todos los permisos on e incluso otorga permisos de administración
a usuarios recién registrados,como el de cambiar los grupos y permisos a los usuarios que solo los tengo activos yo
ESTE ES UN QUOTE DEL NENE HABLANDO EN OTRO FORO
LainaaH olas..
Si, de hecho postea en el foro de lampi como sorprendido por el baneo:
título del msj: http://www.auditoriaswireless.net/ (http://www.auditoriaswireless.net/)
msj:LainaaOcure que anoche descubriendo un fallo de seguridad de su web me puse moderador y vip y lo que queria (borar cuentas ,mensajes que no lo he echo ) resula que ellos me han borado la cuenta en lugar de darme las gracias antes de exponer el fallo
.
Ya le hubiera gustado a el,mira las horas de las capturas,
02:35 entro en el portal y veo a un nombre desconocido de rojo,
02:36 Log de erro Criticor intento de ingreso en administración
02:36:32 segundos,baneo completo por ,ip,cookies,server,mail etc,cambio el nick,la cuenta e mail,
el nombre del user,la pass y adiós a las 02:38
02:39 reviso donde a estado para estar seguro de no ser alucinación triple
Si en moderación,le a dado justo tiempo a pasar por delante de 4 post,nada mas
Analizo los grupos y me encuentro a un administrador en el grupo de moderadores globales,cosa
que es imposible
No Solo esta Manuel si no un vip conocido y vecino dentro del grupo de moderadores
Ademas me encuentro que de repente los usuarios regulares,los que no pertenecen a ningún grupo con permisos especiales,una duplicación de la tabla de moderación del foro,la que da los permisos de moderación,que mandan sobre cualquier otro
Asi que por arte de magia un user novato,de repente puede cambiar los grupos y permisos del foro,si no que también los de los grupos de usuarios
Hace tiempo que alguno se quejaba de que no podia editar los post,bueno esta claro que es un problema de smf y que ademas a ido a peor
Ya esta todo en su sitio,y esperando respuesta de smf y el parche que repare esto
Ya no pueden hacer nada,por que anule las tablas erroneas,pero vamos al jilipollas este,le dejo 4 minutos mas y algún estropicio me hace
Solo hay duplicación e inserción de permisos de moderación y administración en el grupo denominado,usuarios regulares sin permisos
De paso elimine al mod global que es vip y no mod g,a mi primo por no visitarnos desde febrero y a fantasmon mi tercer yo,con permisos de mod g
Que descubrió un fallloooo,los sesos y una patada en los huitos bien dada le daba yo
Si la puerta se a quedado abierta,no se entra y tampoco se llama,simplemente se ve ,se informa y prau
Que susto me dio el hijo de su mami.
Saludos y atentos a los permisos,grupos etc
Revisen todo por si acaso,gracias.
Otsikko: Re: Fallo critico de seguridad,smf 2.5,grupos y permisos de usarios comprometidos
Kirjoitti: Diego Andrés - lokakuu 06, 2013, 01:48:21 IP
Kirjoitti: Diego Andrés - lokakuu 06, 2013, 01:48:21 IP
Relativamente no es un fallo con el sistema en sí, más bien el fallo tuvo que ver con los permisos con los que tus grupos contaban.
Trata de tener más cuidado con eso porque puede ser que tengas incluso un grupo de libre acceso con permisos erróneos y puedan conducir a un desastre el foro.
Lo más recomendable es que siempre tengas paciencia y seas observador a la hora de manejar los permisos, pues hay personas que serán observadoras a la hora de buscar algún fallo o una simple pasada.
Así habrá algunos que no te dañarán el foro, habrá otros que si.
Saludos!
Trata de tener más cuidado con eso porque puede ser que tengas incluso un grupo de libre acceso con permisos erróneos y puedan conducir a un desastre el foro.
Lo más recomendable es que siempre tengas paciencia y seas observador a la hora de manejar los permisos, pues hay personas que serán observadoras a la hora de buscar algún fallo o una simple pasada.
Así habrá algunos que no te dañarán el foro, habrá otros que si.
Saludos!
Otsikko: Re: Fallo critico de seguridad,smf 2.5,grupos y permisos de usarios comprometidos
Kirjoitti: papones - lokakuu 06, 2013, 03:19:32 IP
Kirjoitti: papones - lokakuu 06, 2013, 03:19:32 IP
Lainaus käyttäjältä: Diego Andrés - lokakuu 06, 2013, 01:48:21 IP
Relativamente no es un fallo con el sistema en sí, más bien el fallo tuvo que ver con los permisos con los que tus grupos contaban.
Trata de tener más cuidado con eso porque puede ser que tengas incluso un grupo de libre acceso con permisos erróneos y puedan conducir a un desastre el foro.
Lo más recomendable es que siempre tengas paciencia y seas observador a la hora de manejar los permisos, pues hay personas que serán observadoras a la hora de buscar algún fallo o una simple pasada.
Así habrá algunos que no te dañarán el foro, habrá otros que si.
Saludos!
No solo hace 5 meses deje las webs smf y el servidor off 4 dias,para dejar todo como nuevo ,después de 3 años seguidos del funcionamiento del servidor y la web principal y dejar todo en su sitio como el 1º dia,compruebo y tengo usuarios con diferentes permisos para que todo este correcto,en cada ajuste lo compruebo no solo una vez si no varias y en diferentes navegadores,
te aseguro que todo sucedió ayer de 2:35 a 2:38 am horas española
Es mas ayer me iva a la cama,cuando mande el pm a malboro comentándole lo que ocurrió,pero nuestra afición me lo impide,asi que aun no dormí
Me encontré un vecino con grupo de usuario vip dentro de moderadores globales,pero ademas también estaba mi 2º admin dentro del mismo,
en el registro de la ultima vez que uso el grupo,NUNCA,registrado en el 2010
También encontré por arte de magia,la tabla de opciones de moderación global del foro,con todas las casillas on,dentro de las opciones de usuarios regulares
Es mas desde la 140 asta las 2.35 que entre al portal y vi un tipo naranja de mod
Para que conste estube en otra de nuestras web,haciendo unos cambios y analizando unos proxys
De 1:40 a 2:35 no estoy ni siquiera en el cache de auditoriaswireless.net si no en auditoriaswireless.org
Para mas inri,después de analizar,servidor,dominios,errores,accesos,y registros de moderación y administración,
no hay ni un solo registro de administración,es mas en el registro dice que yo a las 2.34 horas cambie el grupo a ese señor ,cosa
que es imposible y seguido si consta a las 2:38 que elimine al señor del grupo y de la faz de la tierra
http://webcrackingandhacking.auditoriaswireless.org/index.php?topic=54.0
1507 SSL L1_L2 06/10/2013 01:40 GMT AWireless Tested
http://webcrackingandhacking.auditoriaswireless.org/index.php?topic=53.0
Última actualización: Dj_Admon - 06 de Octubre de 2013, 01:42:31 am
1116 SSL L1_L2 05/10/2013 3:06 GMT AWireless Tested
Última actualización: Dj_Admon - 05 de Octubre de 2013, 03:06:41 am
Es mas,se quejaban algunos usuarios nuevos por que no les dejo modificar un 1º tema,asta hace menos de 30 dias,ni un usuario regular ni un vip podían hacerlo en cambio
ayer,tenia de repente no solo los permisos de moderación global del foro si no losde admin,ya que solo yo tengo acceo al cambio de grupos,aprobaciones y permisos
Asi que después de 16 horas dándole mil vueltas,no hay ni un solo log,de intrusión,es mas revise los log de moderación de 46 dias atras y también los de administración,por si
algun otro usuario puedo probar el poder ,pues no ,no hay nada y el log me sigue diciendo que le puse de mod yo justo 1 minuto 46 segundo antes de log in de nuevo
Saludos
Koodi [Valitse]
Eliminado el usuario "manuel" del grupo "Moderador Global" 06 Octubre 2013, 20:21:16 papones Administrador
Paquete desinstalado: "Adk Display Moderators", version 1.0 06 Octubre 2013, 18:53:48 papones Administrador
Nuevo paquete instalado: "Adk Display Moderators", version 1.0 06 Octubre 2013, 04:35:49 papones Administrador
Eliminado el usuario "Ilmo" del grupo "Elite Desarrollador " 06 Octubre 2013, 02:50:00 papones Administrador
Eliminado el usuario "fantasmon" del grupo "Moderador Global" 06 Octubre 2013, 02:39:43 papones Administrador
Eliminado el usuario "huaixian" del grupo "Moderador Global" 06 Octubre 2013, 02:39:34 papones Administrador
Nuevo paquete instalado: "Ad Managment", version 3.1a 30 Septiembre 2013, 11:44:46 papones Administrador
Paquete desinstalado: "Ad Managment", version 3.1a 30 Septiembre 2013, 11:23:50 papones Administrador
Borrado el usuario "saycom" 29 Septiembre 2013, 03:32:15 papones Administrador
Editado el grupo "Aministrador WebCracking" 28 Septiembre 2013, 20:42:29 papones Administrador
Editado el grupo "Aministrador WebCracking" 28 Septiembre 2013, 20:42:05 papones Administrador
Editado el foro "Wordlist" 27 Septiembre 2013, 18:16:02 papones Administrador
Editado el foro "Proxys" 27 Septiembre 2013, 18:15:43 papones Administrador
Editado el foro "Tools" 27 Septiembre 2013, 18:15:18 papones Administrador 
INTRUDER ES EL NICK QUE CAMBIE AL USUARIO QUE REALIZO EL CAMBIO Y COMO VES,MIRA DENTRO DE QUE LOG ESTA,
antes de cambiarlo ponia mi nick,increible
Otsikko: Re: Fallo critico de seguridad,smf 2.5,grupos y permisos de usarios comprometidos
Kirjoitti: Diego Andrés - lokakuu 06, 2013, 03:28:39 IP
Kirjoitti: Diego Andrés - lokakuu 06, 2013, 03:28:39 IP
En ese caso lo más recomendable es que si aparece que has sido tú el que cambió el rango de esos usuarios, puede existir la posibilidad de que estén accesando a tu cuenta o a la de alguien más también.
Trata de revisar las ips de los usuarios que son posibles "intrusos" y también lo mejor será que actualices la contraseña tuya, y también que lo hagan los otros miembros de tu equipo.
Otra cosa que puedes observar es que si tienes cpanel, que no haya alguna ip rara que haya ingresado la última vez.
De otra lo mejor es que borres esos grupos que no tengan miembros activos en ellos, o de otra manera que hagas unos nuevos grupos con permisos más moderados.
También dentro de lo que te puedo recomendar es que rastrees a los usuarios que hayan podido abrir paso a que alguien más accediera a la administración pues pueden haber personas en tu equipo con coincidencias de ip con otra persona.
Trata de revisar las ips de los usuarios que son posibles "intrusos" y también lo mejor será que actualices la contraseña tuya, y también que lo hagan los otros miembros de tu equipo.
Otra cosa que puedes observar es que si tienes cpanel, que no haya alguna ip rara que haya ingresado la última vez.
De otra lo mejor es que borres esos grupos que no tengan miembros activos en ellos, o de otra manera que hagas unos nuevos grupos con permisos más moderados.
También dentro de lo que te puedo recomendar es que rastrees a los usuarios que hayan podido abrir paso a que alguien más accediera a la administración pues pueden haber personas en tu equipo con coincidencias de ip con otra persona.
Otsikko: Re: Fallo critico de seguridad,smf 2.5,grupos y permisos de usarios comprometidos
Kirjoitti: papones - lokakuu 06, 2013, 03:53:10 IP
Kirjoitti: papones - lokakuu 06, 2013, 03:53:10 IP
Si es lo 1º que hice,si no lo hiciese asi que ejemplos dariamos en nuestras web de auditorias ,aunque administradores cafres y despistados hay en todas partes
Elimine cookies generales de los 4 navegadores,datos de navegacion,registros privados de seguridad,cambien las pass,los emails,revise todos los grupos de usuarios,revise
todos los permisos,elimine a usuarios con permisos y no activos
Comprobé durante 2 horas que en los log del forumfirewall que no hubiera coincidencias de cookies ,entre users de distintas web en smf como pasaba antiguamente,
mire los log de los boot,users y asta algun hay va eso desde facebook jajjaa
Todo eso esta ok compañero,saludos
:D :D :D :D
Elimine cookies generales de los 4 navegadores,datos de navegacion,registros privados de seguridad,cambien las pass,los emails,revise todos los grupos de usuarios,revise
todos los permisos,elimine a usuarios con permisos y no activos
Comprobé durante 2 horas que en los log del forumfirewall que no hubiera coincidencias de cookies ,entre users de distintas web en smf como pasaba antiguamente,
mire los log de los boot,users y asta algun hay va eso desde facebook jajjaa
Todo eso esta ok compañero,saludos
Koodi [Valitse]
407 66.220.152.118 2013-10-06 15:45:30 GET /index.php?topic=5220.0%3BPHPSESSID%3Dkpsib61ctsnu6ie68q3qc5t8a4 HTTP/1.1 facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php) Hack: %3d!
320 69.171.242.118 2013-10-06 15:35:38 GET /index.php?topic=5128.0%3BPHPSESSID%3Dmg30m53vvlhc09glh8d8meqqs2 HTTP/1.1 facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php) Hack: %3d!
319 69.171.242.114 2013-10-06 15:35:31 GET /index.php?topic=5128.0%3BPHPSESSID%3D91j9jk2k7qpuohqs18r343hjl7 HTTP/1.1 facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php) Hack: %3d!
321 69.171.242.119 2013-10-06 15:35:43 GET /index.php?topic=5128.0%3BPHPSESSID%3Dvmlsd3h826juibkf5u8t8eiq72 HTTP/1.1 facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php) Hack: %3d!
320 69.171.242.118 2013-10-06 15:35:38 GET /index.php?topic=5128.0%3BPHPSESSID%3Dmg30m53vvlhc09glh8d8meqqs2 HTTP/1.1 facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php) Hack: %3d!
319 69.171.242.114 2013-10-06 15:35:31 GET /index.php?topic=5128.0%3BPHPSESSID%3D91j9jk2k7qpuohqs18r343hjl7 HTTP/1.1 facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php) Hack: %3d!
:D :D :D :D
Otsikko: Re: Fallo critico de seguridad,smf 2.5,grupos y permisos de usarios comprometidos
Kirjoitti: papones - lokakuu 11, 2013, 02:41:57 IP
Kirjoitti: papones - lokakuu 11, 2013, 02:41:57 IP
Tea solucionado,problema encontrado
Cuando repare la wep,server,bd etc,por lo que se ve los grupos de moderación global,adminwebcrackin,etc..
Tenia cambiado la opción de grupo en vez de restringido solo administradores pueden cambiar el grupo,se quedaron
en solicitud libre,asi que cualquier usuario,mirando en su perfil,se encontraba la opción membresia de grupo,de hay claro esta
los grupos cambiados a solicitud libre,les salian y se cambiaban con un solo click
Tema resuelto hoy 20:34,muchas gracias y saludos
PD:Cuidado con la configuración de los grupos,siempre la opcion restringida solo administradores bien señalada,gracias
Problema
Solucionado
Cuando repare la wep,server,bd etc,por lo que se ve los grupos de moderación global,adminwebcrackin,etc..
Tenia cambiado la opción de grupo en vez de restringido solo administradores pueden cambiar el grupo,se quedaron
en solicitud libre,asi que cualquier usuario,mirando en su perfil,se encontraba la opción membresia de grupo,de hay claro esta
los grupos cambiados a solicitud libre,les salian y se cambiaban con un solo click
Tema resuelto hoy 20:34,muchas gracias y saludos
PD:Cuidado con la configuración de los grupos,siempre la opcion restringida solo administradores bien señalada,gracias
Problema
Solucionado