Me han hackeado el foroTema Solucionado

[jaros]

Bueno no se si la definicion del asunto es correcto, lo que me pasa es que hace unos dias que he observado que cuando le doy al boton de editar un mensaje ó mp se redirecciona o otra pagina que no tiene nada que ver conmigo... http://www.zonadd.net/ y quisiera saber que debo de hacer y si lo sabeis como coñ.... han hecho esto, para que no me vuelva a pasar.
Muchas gracias y un saludo

URL: http://www.dogmarti.com/foro/portal.php
Versión phpBB: phpBB3 (3.0.5)
MODs Instalados: Ninguno
Plantilla(s) usada(s): subsilver2
Servidor: Linux de pago
Actualización desde otra versión: actualizado de 3.0.4 a 3.0.5
Conversión desde otro sistema de foros:

[jakk]

accede al ftp y mira los archivos que tienen una fecha de edicion reciente, seguramente esos archivos les hayan editado algun código para que redireccione a esa pagina, eliminas dicho codigo de todos los archivos y cambiate el pass del ftp, aparte actualiza a la ultima version de phpbb3, la versión que estas usando es una version vulnerable

[jaros]

Gracias jakk, habia pensado un monton de cosas pero lo de mirar la fecha en los archivos no se me habia ocurrido, respecto a la contraseña ya la habia cambiado nada mas darme cuenta del tema.
Un saludo y ya te contaré si no me funciona.

[leviatan21]

Bueno no se si la definicion del asunto es correcto, lo que me pasa es que hace unos dias que he observado que cuando le doy al boton de editar un mensaje ó mp se redirecciona o otra pagina que no tiene nada que ver conmigo... http://www.zonadd.net/ y quisiera saber que debo de hacer y si lo sabeis como coñ.... han hecho esto, para que no me vuelva a pasar.
Muchas gracias y un saludo

URL: http://www.dogmarti.com/foro/portal.php
Versión phpBB: phpBB3 (3.0.5)
MODs Instalados: Ninguno
Plantilla(s) usada(s): subsilver2
Servidor: Linux de pago
Actualización desde otra versión: actualizado de 3.0.4 a 3.0.5
Conversión desde otro sistema de foros:

Una vez me pasó algo parecido en un servidor de aquí, Argentina ( no voy a dar nombres ), el servidor era muy casero y quienes lo manejaban no tenían mucha idea.
Resultó que dentro de las configuraciones de mi cuenta ( yo no tenía acceso a esa parte ), ellos tenían habilitado el acceso anónimo al FTP, y cualquiera con mínimos conocimientos tenia acceso a los archivos en mi servidor.

Tardé algunas semanas en descubrirlo, y casi a diario tenia que revisar los archivos en busca de cambios, eliminar todo lo que no correspondía.

Era tan malo el servidor que hasta habían instalado un sistema de envíos masivos de email en mi servidor, por lo cual se me había rotulado como spammer por varios sistemas.

Todo terminó a los 2 meses de contratar el servicio cuando tenía pago 1 año entero, limpiar el dominio de los bloqueos, me costó 2 años de arduo trabajo.

Conclusión : lo barato sale caro

[jaros]

Eso está claro leviatan21, pero da la casualidad que el servidor que gasto creo son bastantes profesionales ( Configbox) y nunca habia tenido un problema con ellos, mas bien si nos ponemos a pensar un poco es mucho mas culpa mia que del servidor, por que he dejado un poco abandonado el foro estaba liado con otra pagina y por no estar encima y actualizarlo cuando toca me la han metido dobla. De todas maneras lo de mirar la fecha en los archivos es un poco complejo por que como he ido cambiando cosas y no siempre el mismo dia me va a resultar muy dificil.
Si alguien supiera algun metodo mas rapido se lo agradeceria, he actualizado el foro a la 3.0.7 en modo local y aún asi se redirecciona a la put... pagina.
Gracias por contestar seguiré luchando.
Un saludo

[HuanManwe]

Usa un editor de texto plano para buscar el código malicioso. Ya sabes qué buscar porque te manda a otra página. Bien, busca el nombre de la página en los archivos de tu foro.

Además debes tener en cuenta que ese código normalmente se inserta a la misma hora, por lo que una vez encuentres un archivo infectado y veas el día y hora de su última modificación ya sabrás a qué hora (con una diferencia de pocos minutos) fueron editados los demás archivos.
Además debes saber que los archivos infectados son los terminados en .php, .htm y .html

[leviatan21]

Teniendo una copia en local, yo probaría algún programa de esos que comparan archivos, como el WinMerge, tiene la capacidad de comparar directorios completos.

[jaros]

Si HuanManwe esa era otra de las soluciones estoy archivo por archivo comparandolos con un programa parecido al UltraEdit, y mucha paciencia pero probaré tambien con el programa que me dice leviatan21 a ver si es mas rapido y certero. De todas maneras muchas gracias a todos y cuando lo tenga solucionado ya os contaré.
Un saludo.

[leviatan21]

Winmerge tiene la capacidad de comparar un directorio entero, cuando utilizas este método, crea una lista de fácil lectura con los nombres de los archivos y si tienen modificaciones o no

[ahh72]

a ver si alguien que sepa manejar el winmerge puede hacer una guia porque yo lo tengo instalado pero no lo comprendo muy bien como manejarlo

saludos

[jaros]

Ok he encontrado el problema, vale os explico un poco antes de llegar a la desesperación. En algunos casos, como es el mio el comparar directorios o archivos no es valido por que justamente el archivo que me redireccionaba no ha "cambiado" nada en absoluto, y lo de buscar la "url" de la pagina a la que me redirecciona como comentaba "HuanManwe" tampoco funciona por ese texto no existe en ninguno de mis archivos, los he mirado uno por uno con el PHP Editor (os imaginais el currazo que me he pegado), mas tarde decubrí un programa donde busca una cadena dentro de los archivos que hay en un directorio "FileSeek" es bastante bueno, pues nada la cadena no aparecia y vosotros direis como puede ser, muy facil. Yo estaba utilizando un mod que redimensionaba una imagen cuando la insertaban en el foro, pues hay está no se como lo hacen para redireccionar pero este es el codigo que he borrado y ya no me redirecciona;

<iframe src="http://www.redimg.net/redimg_form-v-4.php" scrolling="no" allowtransparency="true" frameborder="0" width="750" height="130"></iframe>

De todas maneras seguiré estudiando el porqué, aunque no estoy muy puesto en este tema, soy programador pero con Delphi esto es nuevo para mi. Por eso os pido un poquito de ayuda a ver si averiguais como lo hacen para que a los demás no les pase.
Bueno voy a actilizar el foro al 3.0.7 y ire mirando por aqui a ver si alguien ha encontrado una solución.

gracias a todos y un saludo.

[HuanManwe]

Algunas de las actualizaciones son solo de mejoras y corrección de errores, pero a veces son por problemas de seguridad. Si tenías una versión vulnerable y algún hacker ha usado un esploit para acceder a tu foro, o más probablemente un problema de seguridad del propio servidor de tu web entonces ha podido acceder a los ficheros y hacerte el cambio en el código.
Normalmente esto se hace con herramientas automáticas, así que no es una persona física la que se ha puesto a "trabajar" tu foro. Por lo tanto lo que debes hacer es limpiar todos los archivos infectados y cambiar la contraseña del usuario ftp por una muy compleja y larga. Así estarás más seguro.

[leviatan21]

Hola jaros :

Lo primero que se me ocurrió fue probar por que si tu iframe incluye la url

Código: Seleccionar todo

http://www.redimg.net/redimg_form-v-4.php

terminabas en

Código: Seleccionar todo

http://www.zonadd.net/

Por lo que directamente me fui a

Código: Seleccionar todo

http://www.redimg.net/redimg_form-v-4.php

y descubrí que esa dirección no existe más, por lo que termina llevándote a la otra.
Imagino que los responsables de ese servidor hicieron una re-dirección que termina estropeando tu foro...

Edito y aclaro :
El servidor http://www.redimg.net/ aún existe, pero deben haber cambiado el script redimg_form-v-4.php por otro.

[jaros]

Muchas gracias por la aclaración leviatan21, buscaré otro mod para redimensionar las imagenes.

Gracias y un saludo.

Nota: El foro lo tengo arreglado y actualizado pero todavia estoy comprobando por si hay algo mas.

[leviatan21]

El mejor "Ajustador de imágenes" que conozco es el ReImg Image Resize de DavidIQ