Hackeo De Foros

[Lenko]

Hola a todos:

Hace un par de dí?­as han hackeado el foro en phpbb de unos amigos que me han pedido ayuda. Ahora mismo ya estí?¡ todo arreglado y funcionando pero tengo curiosidad por ver si doy con el bug que lo ha permitido.

Os cuento: el foro tení?­a puesta la versií?³n 2.0.10, cuando los amigos detectaron el ataque al acceder les habí?­an puesto en la pí?¡gina principal del foro el siguiente mensaje:

FUCK YOU 0X1FE AND ALL PEOPLE IN UR CHANNEL FUCK BOTS, FUCK BOXTALK HOPE ALL U LAMERS GET BUSTED
SOON I OWN U ALL!!!
Credits to Aleks, sirh0t, nico (pussy licker) and phpbb

Tambií?©n tení?­an el mensaje en la pí?¡gina principal.

Cuando entrí?© en el servidor vi que les habí?­an sobreescrito el index.php del directorio del foro con el siguiente:

Código: Seleccionar todo

DEFACED BY Aleks...

los ... son el mensaje que puse mí?¡s arriba.

Tambií?©n les habí?­an creado tres ficheros ocultos en ese directorio que se llamaban: .nazi, .blackbox (vací?­o), .phpA y .theisland.

Los tres que no estaban vací?­os contení?­an listados enormes de direcciones de foros como las del siguiente ejemplo...

Código: Seleccionar todo

chk www.direccion1.lv/phorum/viewtopic.php?p=2066 >viewtopic ok
chk www.direccion2.de/mns/Forum/viewtopic.php?t=49 >bug viewtopic encontrado >exploitado!
chk www.direccion3.de/mns/Forum/viewtopic.php?p=59 >bug viewtopic encontrado >exploitado!
chk www.direccion4.ru/forum/viewtopic.php?t=4108 >viewtopic ok

(he quitado las direcciones reales para no perjudicar a nadie)

Tambií?©n habí?­an guardado el mismo fichero index.php en el directorio raí?­z del dominio (en este casi sin sobreescribir nada porque habí?­a un index.html).

Ya he quitado todo eso y he actualizado a la í?ºltima versií?³n del phpbb, pero me queda la duda de quí?© bug utilizaron, sobre todo para saber si puede haber algo mí?¡s afectado.

Tambií?©n me gustarí?­a saber si se ha utilizdo de alguna manera nuestro servidor para testear esas direcciones y si no porquí?© las han dejado allí?­. He visitado muchos de esos sitios y todos tienen versiones sin actualizar del phpbb (lo mí?¡s que he visto es la 2.0.7) pero no he visto ninguna noticia de que hayan sido hackeados.

Muchas gracias.

[ThE KuKa]

í?¿Dar con el BUG? La solucion es actualizar, darle mas vueltas al tema es "tonteria".

S@lu2

[Lenko]

Efectivamente, la solucií?³n para que funcione todo es actualizar, pero tambií?©n necesito saber:

a) si ademí?¡s de poder escribir (e incluso sobreescribir) archivos del servidor pudieron leer la informacií?³n que allí?­ habí?­a (incluso fuera del directorio raí?­z del servidor)
b) si se realizaron ataques a otros sitios desde el servidor de mis amigos
c) si pudieron alterar algo mí?¡s del servidor aparte de dejar esos ficheros

Para todo eso me vendrí?­a muy bien conocer de quí?© tipo de bug se valieron.

Muchas gracias nuevamente.

[ThE KuKa]

Para phpBB 2.0.10 habia esta vulnerabilidad en su dia...
http://secunia.com/advisories/13239/

S@lu2

[MarAng]

pero ay que poner en alerta a todos sobre el BUG del phpbb 2.0.19

así?­ que a desactivar el html.

[ThE KuKa]

Creo que todos estan al tanto de ese BUG menos phpBB (sitio oficial) que ni siquiera lo anuncia.

S@lu2