Ayuda , enlaces en mi codigo fuente

[Aztlan]

Hola , pues hoy me dispuse a buscar mi foro en google para ver mi pocisión , pero me percate de que tenia una descripción en Ingles la cual no tenia yo conocimiento. Abri el codigo fuente y aparecen todos estos enlaces:

Code Select Expand

</head>
<body><div style="display:none"><!--27652773--><p>The issuer may issue a cheque in any valid  <a href="http://www.badaguild.com/index.php/?seli=74">what is financial spread betting</a>  for cashless payment for services, goods, pre-payments, and other fees, or for the purpose of withdrawing cash. <!--617728986--><p>The  <a href="http://www.meteorforum.net/forum/index.php/?gizu=65">harlows casino in greenville mississippi</a>  plans to boost operating profit this year by 17. <!--225462472--><p>The earnings transitory reduce the informativeness of earnings but not increase the incremental information content of  <a href="http://battlefront.ru/forum/index.php/?ecqo=66">slots games on line</a>  flows over earnings. <!--861642075--><p>In the next five-years time,  <a href="http://www.alr.lt/index.php/?tyuk=64">best casino guide</a>  payments, especially smart cards, are expected to be omnipresent. <!--402686472--><p>As you know, before the Internet bubble burst, people made loads of  <a href="http://www.neseliforum.net/index.php?caef=101">3 card poker payout</a>  on the Internet. <!--150615645--><p>Iceland is the only country where  <a href="http://www.ungaallergiker.se/forum/index.php/?kksb=131">muckleshoot casino hours</a>  are used more extensively than in Norway. <!--281539609--><p>The  <a href="http://www.streiflicht.net/parsefal/forum/index.php/?tzvq=163">city of kenosha</a>  analysis is the most concrete, practical part of the business plan, the section likely to arouse the greatest interest. <!--697389674--><p>it provides  <a href="http://www.dormibella.nl/forum/index.php/?cmnz=83">slingo quest free online</a>  ratios derived from the average value of the BS items recorded in the previous and current year, respectively. <!--574271284--><p>I was under 17 when I started working, and I had to ask parents for  <a href="http://asia-search.com/forum/index.php/?pper=144">treasury casino poker</a>  when I wanted to buy a computer or car. <!--546631259--><p>What is indicated in the aforementioned claims cannot be regarded as being obvious to a person skilled in the art, because it is not simply a matter of taking any drum at all and storing the  <a href="http://www.perci.com.br/action/viewallnews.php?gmd=3">names of the two men jack and fabrizzio play poker</a>  on it, but this must be done in a particular way in order for it to function. <!--860799143--><p>Unfortunately I cant answer that specifically because it will depend on the trading strategy that you use, the amount of leverage you plan on trading with, and the amount of  <a href="http://www.islamvebiz.com/forum/index.php/?rppc=93">free casino slots no downloads</a>  that you need to take out in profits. <!--810088178--><p>In order to clear a stage, you need to collect least given amount of  <a href="http://kctoys.co.th/webboard/index.php/?ibzy=126">borgata casino atlantic</a>  before time runs out. <!--654871076--><p>There are IT firms in the  <a href="http://tokyodv.com/forum/profile.php/?qwd=199">westward ho casino and</a>  sector that have not seen a slowdown in business. <!--348016681--><p>Credit Unions have joined together and created shared  <a href="http://socialdads.com/index.php/?bvvj=183">betting money making system</a>  Center locations around the country. <!--141796615--><p>Its purpose was to help create an integrated and operative  <a href="http://www.pcbsd.pl/forum/index.php/?rsyj=78">ma lottery numbers</a>  for books in Hungary. <!--395393870--><p>Rare approval instant  <a href="http://www.dropzones.org/index.php/?uowz=97">sports betting manuals</a>  payday fold no circle stud island free on line casino heads bet dozen play slots semi real case? <!--561443329--><p>Average monthly total  <a href="http://www.bigredkitty.net/forums/index.php/?ywtl=133">poker odd calculators</a>  earnings per regular employee in November 2006 were 292,867 yen increased by 0. <!--90382574--><p>The "account payables others" in 2006 include the EIB management commission, the audit fees, the accrual of closing  <a href="http://siemensxray.com/index.php/?cztz=156">miami lottery results</a>  audit fees and the accrual of the recovery fees due to EIB following the payment of the penalty fees due to the Fund. <!--984714189--><p>The  <a href="http://nissan.a-motors.kz/forum/index.php/?qokp=14">sands bethworks casino</a>  generated from the operations of a company, generally defined as revenues less all operating expenses, but calculated through a series of adjustments to net income. <!--590958680--><p>CHD is largest supplier of retail automation equipment such as POS systems, bar code readers and printers, electronic scales, electronic  <a href="http://minorleaguenotebook.com/2009/04/12/college-prospect-rundown-week-8?tlbn=33">casino ledyard connecticut</a>  registers, computers and software in Latvia. <!--530762501--><p>Also sometimes the term electronic  <a href="http://autaut357.org/forum/index.php/?nku=2">reel deal casino no</a>  is used to refer to the provider itself. <!--614083994--><p>You are watching  <a href="http://ericdill.fan-sites.org/?vlmb=23">2008 new jersey lottery</a>  Gifting 1up system by Timothy online. <!--260510605--><p>The performance of the  <a href="http://www.ehsportugal.com/forum/index.php/?dcup=169">poker academy prospector</a>  by other entities is subject to a manufacturer's or importers authorization. <!--206915735--><p>The  <a href="http://www.mario-gomez.info/foro/index.php/?agjp=132">seminole casino fl</a>  will enable easyJet to increase its fleet in France from six based aircraft to 20 and to double the number of passengers from 6 million in 2007 to 12 million in 2011. <!--685958225--><p>This agreement, as its name indicates it, describes the Terms and General and Particular Conditions that will command the use of the  <a href="http://clubsnyc.info/nyc-books.php/?jjb=1">full tilt poker online</a>  that offers BwTopRent in www. <!--445097567--><p>The other Israeli giants -- Amdocs (telecom billing software), Check Point Software (electronic firewalls) and Comverse Technology (voice recognition and call answering software) -- have suffered substantial declines in  <a href="http://www.pistolcucapse.ro/forum/index.php/?rmut=64">nasty casino com</a>  value since the tech peak. <!--122615167--><p>It ain't what we do, it's the way that we do it -- The value of values -- The power of people -- Leadership as orchestration --  <a href="http://cess1.org/foro_smf/index.php/?mmbc=14">kentucky lottery tickets</a>  love -- Improvisation -- Help! <!--915366888--><p>Your  <a href="http://bibleforum.info/index.php/?acit=95">scrabble bingo generator</a>  in our staff and students can make a powerful and immediate difference across the entire community. <!--774476875--><p>The core task of the Implementation Manager is to act as project leader for implementation processes and to secure a fast and accurate implementation for complex international Corporates and for the top Midcorporates with international Payments and  <a href="http://bewoners-stadseiland.nl/site/archives/category/malburgen-algemeen/kunst-en-cultuur/?ijoc=145">riverwind casino com</a>  Management (PCM) requirements. <!--950358698--><p>This is of benefit for both parties, buyers and sellers, because only an efficient and liquid stock  <a href="http://voices.intangible-reality.org/index.php/?kplq=29">newjersey lottery results</a>  is a secure place to trade shares. <!--469553435--><p>State Agencies and Cooperative  <a href="http://www.antidrug.org.ro/forum/index.php?ghbt=42">compare online betting</a>  partners should review each vendor's product/service and prices carefully and place orders in accordance with the terms and conditions of the contract. <!--64369430--><p>info 2002 master  <a href="http://www.aeracingclub.net/forums/index.php/?lkb=135">vancouver poker tournament</a>  ad memorable baseball moments. <!--415042850--><p>advance America - Offering quick and easy payday advance and  <a href="http://fantasyfootballforum.info/index.php/?dyee=136">parlay betting system</a>  . <!--303181598--><p>sergeants weapon in Iraq is  <a href="http://www.eavbuzz.net/forum/ads/www/delivery/ajs.php/?skjs=18">free slots no deposit required</a>  (CNN (usa)) - Mylder. <!--651537257--><p>As was his response to questions on whether  <a href="http://www.edulanka.com/bestwebs/?zpms=64">nationallotteryc o uk</a>  from the fund is assisting ALP candidates' campaigns. <!--295832813--><p>This includes the actual assets of the deceased, deemed assets, such as life  <a href="http://filipinoatheists.org/index.php/?keis=48">give me the winning lottery</a>  policies with a spouse as beneficiary, as well as so-called limited interest, such as usufruct. <!--993001204--><p>came to euros 33 million, taking into  <a href="http://webtertainment.tv/forum/index.php/?omsd=52">poker rules pdf</a>  reserves established for the restructuring programs announced in February, notably in the Energy and Telecom divisions. <!--381329367--><p>Just plug in your amounts for the day, and you will be alerted to any  <a href="http://www.rammstein-stripped.com/?vcd=2">greyhound betting explained</a>  discrepancies, which may be the result of theft, an accounting error, a mistake when charging a customer, or an overlooked transaction. <!--480000676--><p>Salesperson A suggested to him that if he would buy a flat in a certain new development, then he would be entitled to a  <a href="http://comicssouth.com/forum/index.php/?xtnb=96">tualip casino in</a>  incentive at 2% of the purchase price. <!--634485279--><p>Starting and building an RRSP will likely be one of the most important steps you take in your  <a href="http://www.andrianialimenti.it/forum/index.php/?skmc=54">fl lottery cash 3</a>  life. <!--203407918--><p>b) Loans and  <a href="http://moreaudemocrats.org/smf/index.php/?mkm=155">nevada casino fire</a>  in a subsidiary, affiliated company or associated firm have been grouped together. <!--609871807--><p>Create a worksheet or diary, or buy a commercial petty  <a href="http://forum.winter2010rentals.com/index.php/?nta=162">downloadable craps game</a>  book to record purchases and GST details. <!--201412479--><p>Grameen" literally means The  <a href="http://koflexonline.com/forum/index.php/?fttc=149">www mgm casino</a>  of the Villages in Bangla. <!--960711710--><p>Warlords using heroin  <a href="http://www.i-covers.net/en_forum.php/?jhg=138">cash cheating holdem online poker room</a>  to buy surface-to-air missiles - Middle East, World News - Independent. <!--637799726--><p>stock markets are expected to open higher Monday, as investors return to the  <a href="http://suntechwebsites.com/forum2/index.php/?nkjb=108">jackpotjoy com star</a>  following a series of volatile sessions. <!--920836332--><p>Each  <a href="http://www.puertopadre.com/ppalbums/report_file.php/?wvxf=84">how to play good poker</a>  I did was a little different than the others as far as work to be done, personnel needed, price, equipment, and so forth. <!--662333510--><p>How instant no fax  <a href="http://www.samuraithailand.com/board/index.php/?mypx=158">tunica ms casino map</a>  advance basic quads island lottery out garden roulette russa south parlay pair spread kostenlose online spiele poker high soft surrender. <!--919606209--><p>This 20-franc note is perhaps one of the most popular banknotes of the whole period of Belgian paper  <a href="http://www.carouselclub.net/?fgrn=160">reel deal slots pc</a>  history. <!--367463123--><p>Many of the best-paid private security contracts in Iraq are managed by a small group of British ex-soldiers who served in the Special Air  <a href="http://crtanijunaci.com/index.php/?pch=36">palms casino resort in las vegas</a>  (SAS), an elite regiment of commandos that is considered one of the best special force units in the world. <!--360754755--><p>include unemployment benefits, child allowance, maternity leave benefits, layette assistance, compensations for sick leave of 42 or more days, allowance for physical injury and nursing by other person, social welfare payments, compensation for the rehabilitation or employment of disabled persons, disability pensions (domestics or from abroad), scholarships or educational allowances,  <a href="http://forum.ubuntu.ru/index.php?xmim=77">blackjack at casino</a>  received from other persons for housing expenses. </div>

Pues busque en  index.template de mi tema y no aparecen dichas metatags , que obio son referencia a sitios extraños. Desconozco si algun paquete esta inyectando esa información en mi codigo fuente al momento solo tengo instalados estos:

Load Standard Language   
Thank-O-Matic   
Hide Tag Special   
Googlebot & Spiders Mod   
Aeva ~ Auto-Embed Video & Audio   
Member Color Link   
Country Flags   
Boton HIDE BBC

Mi sitio es hxxp:foro.raptitlan.com [nonactive] y me gustaria saber si alguien le ha pasado lo mismo , o sabria como detectar lo que pone ese codigo

[Aztlan]

Bueno les informo que ya solucione el problema , dichos codigos estaban guardados en:
Themes/default/images/buttons

con nombres extraños y eran bastantes como 1000 archivos , no eran archivos de texto pero al abrir la direccion mostraban los codigos y enlaces a paginas extrañas entre ellas de casinos.

De momento solo borre esos archivos y desaparecieron de mi codigo fuente pero desconozco que fue lo que ocasiono eso.

[M-DVD]

¿Alguno de tus usuarios se llama krisbarteo?

[Aztlan]

Si , acabo de buscar y krisbarteo aparece en mi lista de usuarios registrados.

Lo banee por si las dudas  , esta registrado desde hace unos 20 días , pero fue el? ha echo daños peores? alguna otra recomendación a tener? o precaución , respecto a el 

Saludos.

[M-DVD]

Si , acabo de buscar y krisbarteo aparece en mi lista de usuarios registrados.

Lo banee por si las dudas  , esta registrado desde hace unos 20 días , pero fue el? ha echo daños peores? alguna otra recomendación a tener? o precaución , respecto a el 

Saludos.

Sí, fue él. Es un hacker/spammer.

Sobre daños peores, hasta donde se sabe solo llena de links (para spam) archivos al azar que tengas tu host, incluso más allá del dir en que tengas smf si es que lo hay. Es decir, si en tu host, tienes un foro y tienes un blog, entonces también "infecta" al blog.

Sobre como limpiarlo, aún no he investigado sobre eso porque solo me puse a hacer un parche y luego no me he preocupado más por el tema.

Sobre como protegerse (que ya no sería tu caso, pero nunca se sabe), han sido efectivos los MODs:

- reCaptacha
- Are You Human y
- Stop Spammer

(este último, no porque sea mio, está garantizado que bloquea el registro a ese usuario y a otro de sus seudónimos).

PD: borra (y pásame por algún medio) el avatar que ese usuario subió al host en la carpeta attachments).

[kenet]

jajajaja M-DVD mira a quien encontre en mi foro.



se me registro el 10 de mayo.  el otro dia tuve que subir el foro de nuevo por que toque unas cosas y me costava menos subirlo que editarlo. jeje


lo unico viejo que me queda es la base de datos.

ayer instale el - Stop Spammer, aunque de la visita de nuetro amigo krisbarteo me entere hoy.

que me recomiendas hacer aparte de banearlo.

al subir todo nuevo no creo que tenga ningun archivo infectado.

tu que opinas?

[Aztlan]

Te acabo de enviar un mensaje con el avatar de ese usuario , tomare esas medidas que recomiendas para estar prevenido

[kenet]

yo lo tenia sin avatar por lo que parece

[cz99]

Podrias indicarme como buscaste el codigo? ese susodicho individuo lo tuve inscrito en mi foro cerca de 8 horas quizas un pco mas. No he observado ningun funcioamiento anomalo pero quisiera estar seguro para darle una revisada adicional.

Gracias.

[orero42]

Yo tambien lo tengo inscrito en mi foro, no tiene avatar ni ha posteado.

¿Como buscar este tipo de codigo? ¿En que afecta al foro?

Yo desde hace algun tiempo todos los mods, al intentar instalarlos me dan muchos herrores?¿Tiene algo que ver en los herrores este tipo de codigo?

[M-DVD]

A todos los que preguntan.

Este usuario al parecer es una peste. Si ha actuado, la mejor solución parece ser borrar todo en el host y subir un backup, tanto de todos los archivos como de DB (hasta donde se, solo hace un cambio "inofensivo" en la DB, pero no se si hace alguno peligroso) (inofensivo si no tiene el archivo que ha subido, con este archivo, sí es peligroso).

Pero esto de borrar todo es lo más práctico, supongo que habrá otras formas. Aún no me leo bien el tema donde está la gente tratando esto, solo me limité a hacer un parche.

Si lo tienen, primero que todo banearlo e instalar algún(os) AntiBot(s), y no permitir la subida de avatares hasta que esto esté arreglado.

Segundo, mirar si este usuario subió algún avatar. Si no lo ha hecho, entonces parece que no ha hecho nada y pueden estar más tranquilos. Otro Alias que tiene es MAgicO(y algo más).

jajajaja M-DVD mira a quien encontre en mi foro.



se me registro el 10 de mayo.  el otro dia tuve que subir el foro de nuevo por que toque unas cosas y me costava menos subirlo que editarlo. jeje


lo unico viejo que me queda es la base de datos.

ayer instale el - Stop Spammer, aunque de la visita de nuetro amigo krisbarteo me entere hoy.

que me recomiendas hacer aparte de banearlo.

al subir todo nuevo no creo que tenga ningun archivo infectado.

tu que opinas?

Si lo subiste todo limpio, y no hizo nada desde que subiste, entonces estás limpio, a menos que haya hecho un cambio en la DB diferente del que conozco (un cambio que sea peligroso).

[kenet]

estado revisando los archivo de mi foro, codigo de fuente, etc y esta todo limpio. esta tarde me pondre a mirar la base de datos a ver si encuentro algo extraño.

me tenias que ayudar com la BD ya que pocan veces le meti mano. saludos

[MarioH]

Te acabo de enviar un mensaje con el avatar de ese usuario , tomare esas medidas que recomiendas para estar prevenido

¿Me interesa mucho, lo puedes enviar de igual manera por favor?

Gracias

[M-DVD]

estado revisando los archivo de mi foro, codigo de fuente, etc y esta todo limpio. esta tarde me pondre a mirar la base de datos a ver si encuentro algo extraño.

me tenias que ayudar com la BD ya que pocan veces le meti mano. saludos

Pueden usar esto para encontrar el cambio que hace el usuario, hasta donde se, es en el único lugar que actúa.

SELECT *
FROM `XXX_themes`
WHERE `ID_MEMBER` = YYY

1.- Colocan el prefijo de tablas que les corresponda, y el ID del usuario krisbarteo o el que quieran.

2.- En la columna variable, deben haber nombres de variables, ninguna otra cosa.

3.- En la columna value, casi siempre serán 0 ó 1. Si ven URL o algo que no sea eso, entonces hay que revisar.

Solo deben ser URL "normales" y que apunten a lugares "normales". Para saber cual es un lugar "normal" vean como son las URL de su perfil para ese mismo value.

[Aztlan]

Bueno , yo descubrí de casualidad dichos codigos cuando busque mi sitio en google para ver mi pocisión y me percate que aparecian descripciones en ingles. Un sintoma es que los avatares no se ven , desaparecen poco a poco  yo pense que era error del servidor , reinstale y a las pocas horas seguia igual y asi lo deje unos días hasta que descubrí lo mencionado anteriormente con google.

Otro cosa en el codigo fuente inyecta un codigo encriptado , al principio lo confundi con el MOD Aeva ~ Auto-Embed Video & Audio pero al desencriptarlo aparece en que carpeta estan dichos codigos , eso lo ví aquí:
hxxp:www.nimiedad.com/2009/05/grave-vulnerabilidad-en-foros-smf.html [nonactive]

Ahí mismo se detalla un poco mas sobre este asunto.

Te acabo de enviar un mensaje con el avatar de ese usuario , tomare esas medidas que recomiendas para estar prevenido

¿Me interesa mucho, lo puedes enviar de igual manera por favor?

Gracias

En un momento te lo envio

[cz99]

Y si ya borre el usuario y no m e preocupe en tomar datos?

A mi me comenzaron a desaparecer avatares del foro, pero a Krisbarteo lo borre ya hace algunos dias.

[Aztlan]

Y si ya borre el usuario y no m e preocupe en tomar datos?

A mi me comenzaron a desaparecer avatares del foro, pero a Krisbarteo lo borre ya hace algunos dias.

si tus avatares estan desapareciendo son los sintomas , yo al momento de borrar los codigos aparecieron los avatares de nuevo. deberias checar tu codigo fuente.

Saludos.