Hackeo

[Sofía1986]

Hola a todos.. hoy un señor con nick Ray ha entrado en mi foro dejandome este mensaje:

Hola soy nuevo en el foro y estoy encantado con el y tengo muchas ganas de participar y aportar mi grano de arena, pero tengo un problema porque me da un error, mira entra aquí y mira el error que me da e intenta solucionarlo porque no me deja postear mensajes.

Gracias por anticipado


Ya otros usuarios me dijero que le iba lento o al postear decia que era usuario que le salia errores asi que le crei y entre en el link que me dejaba, a mi sorpresa me llevaba a un sitio donde me decia cuales eras los admi. Asi que me quito ami y a laotra persona de admi, modifico el foro y puso modo contruccion y sale esto: www.mascotasroedoras.com/smf ....dice que me ha hackeado cuando lo que ha hecho es engañarme...en fin espero que lo tome encuenta SMF y pueda buscar soluciones segura para modificaciones en las versionas porximas hacer algo...

Espero poder recuperar mi foro...

Atentamente
Sofía

[kenet]

pero tu foro se ve bien, lo unico el mensaje qu ete dejo.que te hizo,te quito de admi.

e estado mirando tu codigo de fuente y encontre esto

Code Select Expand

td valign="middle" align="center" height="60">
            <div id="smfFadeScroller" style="width: 90%; padding: 2px;"><b><html><br /><br /><head><br /><meta http-equiv="Content-Language" content="es"><br /><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"><br /><title>*HACKED BY REKO*</title><br /></head><br /></style><br /></head><body background="http://img130.imageshack.us/img130/2861/awaitmf8.gif"><br /><style type="text/css"><STYLE TYPE="text/css">p {align=justify} BODY{cursor: url(<a href="http://files.bum-files.com/Files/Cursors/page1/blue_lightning.ani" target="_blank">http://files.bum-files.com/Files/Cursors/page1/blue_lightning.ani</a>);} a {cursor: url(<a href="http://files.bum-files.com/Files/Cursors/page1/blue_lightning.ani" target="_blank">http://files.bum-files.com/Files/Cursors/page1/blue_lightning.ani</a>);} </style><b style="position:absolute;left:0px;top:90px;font-family:verdana;font-size:8pt;"> </a></b><br /><p>&nbsp;</p><br /><p>&nbsp;</p><br /><p><font size="7" color="#FFFFFF">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br />HACKED BY REKO</font></p><br /><p>&nbsp;</p><br /><p><font size="5" color="#FFFFFF">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br />Mejoren la seguridad de la web</font></p><br /><p><font size="5"><font color="#FFFFFF">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br />Contacten en </font><a href="mailto:[email protected]"><font color="#FFFFFF"><br />[email protected]</font></a></font></p><br /><p>&nbsp;</p><br /><p><font size="5" color="#FFFFFF">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br />Agradecimientos: Faku, Fast, Galix, etc...</font></p><br /><p>&nbsp;</p><br /><p><font size="7" color="#FFFFFF">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br /><a href="http://WWW.TOMAHACK.NET"><a href="[color=red]http://WWW.TOMAHACK.NET[/color]" target="_blank">WWW.TOMAHACK.NET</a></a></font></p><br /><br /><head><br /><title></title><br /><style> <br /><br /><body><br /><br /></body><br /><br /></html></b></div>

[elwizard]

¿Tenias mucho en el foro o poco? ¿Tienes copia de seguridad de tu base de datos?
Seguramente te pilló el Settings.php (que debes poner a 0644 en permisos chmod) o algo por el estilo.
De todas formas, la solución es muy rápida. Reestablece la base de datos y sube de nuevo los archivos de SMF, borrando los anteriores. Ten especial atención en el settings.php ya que seguramente (si el dispone de la información) deberás cambiar tu cuenta de acceso FTP y tu nombre usuario y clave para acceso a tu base de datos. Así tiene que empezar de 0. Y ten mucho cuidado con los permisos chmod, como los dejas.

[massy]

hola en mi foro tengo el mismo mp pero de un usuario llamado REK que me manda al mismo lugar .
Por el momento lo banne y ahora me voy a rebisar el foro habe si le hizo algo !!!!!!!!!.
saludos !!!!!!!!!!!!!!!!!!!
PD: no puse user ni pass donde lo pedia !!! y borre el mp

[M-DVD]

¿tienen una copia de la URL del lugar a donde el "los envía"?

[elwizard]

Si sería interesante ver quién/es es/son esos perlas espavilados.

[elwizard]

Esto tiene pinta de ser un exploit / SQL inyection. Pero se supone que las últimas versiones de SMF están curadas para estos sustos.

[HotJoint]

No pongas URL's tan peligrosas por favor, cualquier puede entrar y ya sabes que pasaria.... Estas ayudando a estos crackers a hacerse de las suyas.

Aqui el problema no ha sido SMF han sido los administradores que es muy diferente. SMF no tiene ningun bug de seguridad si un administrador hacer lo que han hecho... Lo siento pero es culpa suya no de SMF por lo que nose que es lo que quieren que reparen para proximas versiones.

Adios

[massy]

hola igual al paracer no me afecto en nada el foro (esta intacto ) ((hasta ahora)).

@HotJoint hola yo no digo que sea culpa de SMF ,lei el post y puse mi comentario para que si le pasa a alguno ni le responda .

PD: ya borre al post anterior

[elwizard]

Generalmente son pegas de chmod, pero ... yo no díria que no hay ningún código libre de exploits. Hay gente que cada día sorprende con algo nuevo (generalmente con algún código maligno) en fin. Saludos

[elwizard]

Termino de exploit:
http://es.wikipedia.org/wiki/Exploit
"Exploit (del inglés to exploit, explotar o aprovechar) es una pieza de software, un fragmento de datos, o una secuencia de comandos que se aprovecha un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informáticos, hardware, o algo electrónico (por lo general computarizado). Con frecuencia, esto incluye cosas tales como la violenta toma de control de un sistema de cómputo o permitir la escalada de privilegios o un ataque de denegación de servicio."
Una URL se considera una secuencia de comandos, cuando se está accediendo a un subprograma, como es este caso. El término exploit es muy generalizado.  Lo siento no estoy de acuerdo contigo.

En lo que si estoy de acuerdo es que es culpa (tal vez por desconocimiento) del admin y que ese tio es un lammer. En eso si que estoy de acuerdo.

[Senege]

Hola bueno, la solucion es simple mientras tengas acceso FTP y en la db no hay problema, respalda todo y vuelve a subir todo el foro de nuevo por ftp y con los permisos necesarios y usa la anterior db que tenias.
salu2

[M-DVD]

Un buen motivo para conocer la URL es que era buena forma de llegar a la verdad del misterio, y así fue  .

Ya que fue visto por la gente que debía, estuvo bien haberla quitado, ya que dejándola solo se iba a lograr que más "lammer" aprendieran tonterías.

[Sofía1986]

Perdona no era ray, era ese Rek, es que con los nervios..no me di cuenta.

Exactamente me paso eso... lo del enlace ...le crei prque ya un amigo me habia dicho que tenia problemas para postear.. y de ingenua pique me llevo a una zona donde veia que estaba los admi y yo y él tambien...

Una cosa si que digo yo fui a instala el 1.1.6 y me daba error no pude instalarlo actualmente tengo 1.1.5.
Ya el foro lo tengo, pero lo tengo en modo mantenimiento porque me modifico algunas cosas...

El post no lo puse para echarle la culpa a smf, a mi me encanta smf, lo hice para ayudar a otros que estuvieran en mi lugar.

Sofía

[Pedi que me borren]

Subi por ftp todos los archivos nuevos...y se acabo el problema....

[sneijder23]

El fallo fue que siendo el usuario te paso la url para que le dieras permisos de admin y una vez admin hizo y deshizo lo que quiso borrando themes,quitando otro admin y cambiando las configuraciones del servidor ya que ese texto que aparecia en el codigo fuente arriba citado estaba en el texto de mantenimiento,me alegro que lo hayas solucionado

,saludos.

[missing]

La cosa esta en que, entre los que han eliminado sus mensajes para no dar pistas a otros hachers, y los que se explican como si todos estuvieramos al cabo de la calle ... los que desconocemos como va el tema no nos enteramos de na'
Asi que luego venis diciendo .... " es que fue culpa del admin por desconocimiento ..." "es que tendrias que haber puesto esto o aquello ..."

Supongo que todos vds. nacieron con esto debajo del brazo y por ello no entienden que hay gente que aun intenta aprender ... pese a la poca informacion que a veces facilitan quienes si saben.
Es como si los programadores de smf dijeran ... "miren, he creado un progama fabuloso, ahora intenten adividar como lo hicimos haciendo vds. mismos sus pruebas"

Creo que quien sea capaz de hacer lo que le han hecho a la compañera Sofia1986 no necesita visitarnos aqui para que le informemos de como debe hacer ... hay paginas especializadas para ello que dan "pelos y señales". ¿porque nosotros no podemos hacer lo mismo para "controlarlos"?

En fin, que agradezco a Sofia1986 su interes en ponernos sobre aviso en este asunto.

[puccio]

Hace una media hora se registro el mismo suer Rek o algo asi y mando privado

Asi que a estar atentos

Saludos

[elwizard]

Hola elwizard,

"Exploit (del inglés to exploit, explotar o aprovechar) es una pieza de software, un fragmento de datos, o una secuencia de comandos que se aprovecha un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informáticos, hardware, o algo electrónico (por lo general computarizado). Con frecuencia, esto incluye cosas tales como la violenta toma de control de un sistema de cómputo o permitir la escalada de privilegios o un ataque de denegación de servicio."

Pues no entiendo por qué no estás deacuerdo en todo , si con la explicación que me has puesto me has dado la razón, ahí no se aprovechan de un error o fallo del sistema, sino de la ingenuidad o desconocimiento de la persona (en este caso administrador), porque el comportamiento es tal como debe ser, ya que eso no lo puede hacer el lammer, sino el administrador. Esto sería lo mismo de que te llamen por teléfono y te digan que son los del banco y tienes que darle los datos de tu cuenta y acceso, y vas y se los das.

Saludos.

Te he dado la razón, en lo que yo personalmente he me he visto de acuerdo contigo. No se me caen los anillos al hablarte que:
- la culpa (según pienso yo) ha sido del administrador/a.
- que el tio que lo ha hecho es un lammer. Realmente no sé que gana con eso. Más bien nada.
Esto es lo que estoy de acuerdo contigo, y me tendrás donde sea, apoyándote en esto, por que pienso y creo lo mismo que tú, en lo que te he dicho.
En lo único que difiero contigo, es en la definición  de exploit. Nada más que en eso. Yo sé perfectamente lo que es un exploit. Un exploit está categorizado de muchas formas. Es un término genérico.
Yo he programado y usado exploits, desde el típico fallo de $_POST/$_GET (hablo de phpnuke) hasta inyecciones SQL, creando programas PHP que van a un CMS y aprovechando fallos de MySQL en sus queries, creaban usuarios, borraban usuarios, hacian nuevos mensajes en el mensajero, y un sinfín de cosas más. En MKPortal (de la cual soy miembro internacional, lo puedes comprobar) tuvimos unas versiones (M 1.2 rc1 hasta M1.1.1) en las cuales tuvimos problemas con los exploits e inyecciones SQL, ya que por un fallo, cualquier guest podía crear/borrar noticias del portal, e incluso añadir nuevos mensages al urlo o incluso añadir descargas/borrar descargas en el área de descargas del portal. Pasamos muchas horas corrigiendo el core para evitar exploits e inyecciones SQL. No quiero darte la charla, simplemente decirte que sé de lo que hablo, lo poco que hablo aquí, y cuando hablo, hablo con un mínimo de propiedad.
Mira, te informo de más:
- el govierno Español me cerró dos webs por lo que ellos llaman "delitos informáticos".
- después de lo que me pasó, me dediqué a la buena enseñanza, es decir, como se dice en términos informáticos, pasar de hacker negro a blanco.
- Actualmente soy webmaster de una web reconocida de un portal; si lo puedo decir, se llama Desarrollo-MKPortal.org. Soy miembro del equipo (Dev Team y Advice Team) de MKPortal.it y Desarrollador de MKportal.es. Somos 7 personas en el mundo los que desarrollamos este portal (una de ellas soy yo), todos expertos en HTML, CSS, MYSQL y PHP. Lo puedes comprobar en http://www.mkportal.it y http://www.mkportal.es, o en mi web. Con esto no quiero decir nada más que, cuando hablo de un tema, es por que lo conozco, y si no, no hablo.
@fre3men: te invito a que nos conozcas, en las webs anteriores y juzges por ti mismo.

Acerca de que el post de Sofía1986, nadie hecha la culpa a SMF. Yo el que menos, por estos motivos:
- Llevo muchos años ayudando, dando soporte, y usando SMF.
- Soy Charter Member, es decir, he financiado con mi dinero el que este proyecto siga adelante, para bien de todos. Una pequeña cantidad de mis Euros para que mucha gente aproveche (como yo) de este bonito software. Eso nadie me lo va a discutir. Sólo tenéis que ver mi perfil.
- He tenido toda clase de discusiones sobre cual es el mejor foro: y siempre he dicho lo mismo; pagado; vbulletin, gratis SMF. Siempre he apostado por SMF, aún sabiendo que otros tenian cosas muy bonitas.
- Actualmente estoy ayudando en la traducción de Español y Catalán en el área de Idiomas de SMF en http://language.simplemachinesforum.org/. De momento soy el único. Me gustaría que alguien más se presentara voluntario/a para ayudarme en esta costosa faena.
Podéis apuntaros en:
http://www.simplemachines.org/community/index.php?topic=258872.0
Requisitos: conocer inglés y la lengua nativa (por ejemplo, en mi caso, Español y Catalán, lenguas propias mias). Cualquier duda que tengáis, me podéis enviar un PM, y gustosamente os explico como va.
- Aparte de lo anterior, soy la persona que ha desarrollado el código PHP para MKPortal para poder incluir el nuevo foro en nuestro portal. Todavía no he sacado al público la forma de poder incluir MKPortal con SMF 2, debido a que es la beta 4, es decir, no es la definitiva, y por tanto, por cada beta, tengo que estar revisando el código, los cambios, y pasarme un montón de horas delante de un editor de texto, para que el trabajo no sea estable. Espero que salga la versión SMF 2.0 final, para poder terminar mi faena, y ayudar a mis usuarios, y , como no, si puedo y hace falta, también hecharos una mano a vosotros.

Para terminar, si alguien necesita una ayuda, mi PM está abierto. Imagino que ya sabéis donde encontrarme. No guardo rencor a nadie (va por fre3men), sólamente me gusta ayudar, dentro de mis posiblilidades.

Por cierto: el idioma catalán va a un 60% traducido y el Español más o menos a un 50-60%. Reitero en que necesito ayuda. Condiciones: conocimiento medio o más de Inglés para poder traducir a idiomas nativos. Si eres Hispano, para ayudar en Spanish_latin, si eres Español, para ayudar en Spanish_es, y si además eres Catalán, para ayudar en Catalan_es.

Gracias y un saludo. Espero haber sido claro y sincero. Os espero.

[missing]

Hace una media hora se registro el mismo suer Rek o algo asi y mando privado

Asi que a estar atentos

Saludos

¿Seria posible facilitar la ip del fulano?