Han Hackeado mi Phpbb3

[fredi78]

Hola, instale a principios de mes esta versión "phpBB-3.0.6_Full_Es" http://www.alfonsadas.es/foro y hoy me he llevado la desagradable sorpresa de que me han hackeado el foro un tal GranRethory.
Me ha cambiado los datos de mi cuenta de administrador, han cambiado la cabecera del foro y se ha permitido la gracia de abrirse un hilo y mandarme un archivo adjunto con la vulnerabilidad.

El tema de la cabecer lo he cambiado a mano desde la base de datos, pero el usuario no consigo recuperarlo. Me he creado un usuario nuevo y le he puesto los valores user_type=3 y group_id=5 como el administrador, pero cuando me valido no me deja entrar al ACP. He probado poner la contraseña del nuevo usuario al administrador, pero no me valida.

La verdad es que estoy un poco perdido, pq con el cambio de contraseña esperaba que se solucionara, pero parece que no. No se si depende de algún valor de otra tabla o de algun fichero de configuración.

Os adjunto el fichero del tipo este, para que le podais echar un vistazo.

Muchas Gracias por vuestra atención.
URL: www.alfonsadas.es/foro
Versión phpBB: phpBB3 (3.0.6)
MODs Instalados: los que viene por defecto (si viene alguno) Yo no he instalado ninguno
Plantilla(s) usada(s): prosilver ó subsilver2 no lo recuerdo
Servidor: Linux de pago
Actualización desde otra versión: no
Conversión desde otro sistema de foros: no

[ahh72]

si tu foro es nuevo pues te recomiendo una instalacion por completo desde 0 pero descarga la ultima version del foro:

https://www.ohloh.net/p/phpbb-es/downlo ... ull_Es.zip

ademas pide a tu hosting de pago que te cambien todas las claves ya sea de usuario al registrarte y de la cuenta de ftp.

saludos

[memoadian]

Al ser tu foro tan nuevo eso sería lo mejor, la version que dices al parecer tenia fallos graves, pues sacaron la 3.0.7 muy rápido, y por cierto no veo el archivo que adjuntaste.

[angelismo]

Si tienes un backup de los archivos y la bd ,restauralo ,y despues actualiza a la ultima versión,phpbb 3.0.7.

[fredi78]

Os adjunto el fichero.

URL: www.alfonsadas.es/foro
Versión phpBB: phpBB3 (3.0.6)
MODs Instalados: los que viene por defecto (si viene alguno) Yo no he instalado ninguno
Plantilla(s) usada(s): prosilver ó subsilver2 no lo recuerdo
Servidor: Linux de pago
Actualización desde otra versión: no
Conversión desde otro sistema de foros: no

[HuanManwe]

... He probado poner la contraseña del nuevo usuario al administrador, pero no me valida..

¿Y cómo has hecho eso? No tienes más que cambiar el hash para el campo password en la línea para el administrador "original" en la tabla phpbb_users poniendo el hash de la contraseña que tiene el usuario creado por ti.
Luego cambia todos los ficheros del foro por los de una copia limpia y original del phpBB3 de la versión que tuvieras en ese momento (creo que dijiste la 3.0.6) exceptuando el archivo config.php que obviamente no debes modificar.

[engendro666]

descargate esto:

https://www.ohloh.net/p/supporttookit/d ... =1.0.0-PL1

descomprimilo y guarda la acrpeta stk en la raiz de tu foro.

Luego ve directo a la carpeta en tu navegador en tu caso seria asi:
http://www.alfonsadas.es/foro/stk/

te va a pedir que te identifiques como adinistrador (cosa que no puedes) ve mas abajo donde dice:

Código: Seleccionar todo

If you aren’t able to login to phpBB at all you can use the internal authentication method of the Support Toolkit. To use this method you must generate  a new password file. 

clickea en generate
en la proxima ventana veras esto:
The password that was generated for you is: xxxxxxxxx guarda el password que lo vas a usar en un rato.
Luego clickea en download the password file
no cierres la pagina, accede por ftp nuevamente a tu sitio y copia el archivo que descargaste dentro de la carpeta stk

Volve a la pagina que te dije que no cerraras y mira en este mensaje:

Código: Seleccionar todo

Once you have uploaded the password file to the correct location, click here to go back to the login page. 

esta abajo de todo hace click en "click here"

pega el password que te dio al principio, ahora estas logueado como "STK Emergency login"

vas a la pestaña "user/group tool" , en el menu de la izquierda clickea en change password, ingresas el nick de la cuenta que te quitaron y le pones el password que quieras.

Luego vas a "manage board founders"

te van a aparecer los fundadores del sitio, si hay alguno que no debiera estar lo seleccionas y clickeas en "demote founders"
Si faltara algun fundador o queres poner otro ingresas el nick abajo y click en "promote founder".

Con esto deberias haber recuperado tu cuenta y fundadores, acabo de hacer estos pasos mientras los escribia y funciona bien. Luego elimina el archivo que pusiste en la carpeta stk para generar el password.

Consejo: Cambia todas las claves del hosting base de datos, etc. Por cierto que hosting usas? respalda todos los archivos del ftp y trata de respaldar la base de datos de tanto en tanto. Luego ACTUALIZA A 3.0.7 PL

[fredi78]

Ya estoy aki de nuevo. He hecho lo que me ha indicado engendro666 y he conseguido recuperar el Foro. Ya lo he actualizado y aparentemente funciona todo perfectamente.

Muchas Gracias a todo y por supuesto estais invitados a unas cervecitas en las Fiestas de las Alfonsadas que celebramos en Calatayud: http://www.alfonsadas.es


URL: www.alfonsadas.es/foro
Versión phpBB: phpBB3 (3.0.7)
MODs Instalados: No
Plantilla(s) usada(s): defecto
Servidor: Linux, Pago
Actualización desde otra versión: ahora sí
Conversión desde otro sistema de foros: no

[engendro666]

me alegra que te halla servido

Off Topic:

estoy un poco lejos pero descorcho una por la invitacion

[memoadian]

esto lo deberáias poner en guias, es una opcion muy buena, para safarse de aquellos pseudohackers.

[engendro666]

en realidad nunca lo habia hecho pero sabia de esta funcion en la descripcion del stk cuando lo descargue asi que lo probe a medida que lo escribi luego veo de sacar algunas imagenes y agregarlo a las guias. Me acuerdo de hace tiempo haber olvidado mi contraseña y volverme loco con la bd para recuperarla termine haciendo un user nuevo y poniendolo como fundador desde la bd. Si hubiera tenido stk en ese momento como hubiera agradecido!

[fredi78]

Creo que canté victoria muy pronto. De nuevo este "tipo", me ha vuelto a Hackear el Foro. Como os comenté cambie todas las contraseñas y actualice a la versión 3.0.7. pero ahí lo tengo de vuelta.

No lo he probado, pero supongo que con lo que me sugeristéis la última vez podría recuperar el administrador, pero si luego a la semana voy a tener el mismo problema no adelanto nada.

Os vuelvo adjuntar el fichero que me mando la última vez, que supongo que habra vuelto a usar la misma puerta.
Antes de tocar nada espero vuestras sugerencias.

Muchas gracias.

URL: http://www.alfonsadas.es/foro
Versión phpBB: phpBB3 (3.0.7)
MODs Instalados: no
Plantilla(s) usada(s): defecto
Servidor: Linux de pago
Actualización desde otra versión: si, desde la 3.0.6.
Conversión desde otro sistema de foros: no

[HuanManwe]

ese archivo en si mismo es un script en php para hackear un foro phpBB3, pero para eso necesita acceso al ftp de tu foro. Es decir, que lo que debes cambiar es la contraseña del ftp, y quizá del acceso al panel de administración de tu servidor.

[fredi78]

Si no lo he entidido mal, este tio tiene mis datos ftp (q no se como coño los ha averiguado) y me copia este fichero en mi hosting lo ejecuta, se hace con el control de mi foro y luego borra el fichero.

Voy a cambiar otra vez todos los datos, pero tengo miedo de que este tio tenga camuflado este script en un fichero y lo ejecute cuando kiera.

[HuanManwe]

mira la fecha de última modificación de los ficheros, y mira los últimos, que podrían ser sospechosos.

Los datos de tu servidor podrían ser fáciles de averiguar si son simples. Por ejemplo una vez tuve ese problema en un servidor que había puesto como contraseña de mi usuario ftp mi nombre de usuario añadiendo los 2 últimos dígitos del año en el que me registré. Por ejemplo huanmanwe08, así que tuve que cambiarlo porque cualquier aspiratnte a hacker con un programa de generación de contraseñas podría dar con mi contraseña en pocos minutos, que es lo que finalmente pasó y tuve que cambiar la contraseña.