Problemas de seguridad en foros SMF 1.1.8

Iniciado por PinG, 2 Mayo 2009, 13:09 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

PinG

2 Mayo 2009, 13:09 PM
No se si esta en la categoría adecuada si algun moderador considera que no esta bien que lo cambie.

Hola tengo un foro smf 1.1.8 aparentemente igual que este, estan instalados y sin ningun plugin adicional, con el botoncito de youtube y poco más.

Pues me han saboteado 3 o 4 foros en mis webs poniendo una capa con enlaces a diversas páginas de spyware, porno, casinos, poker etc despues del <body> esa capa no se ve puesto que tiene un display none, el código es algo como esto

Código [Seleccionar]
<div style="display:none"><!--990141619--><p>Plus, you get all the great features found in  <a href="...web maliciosa...">lottery commission job</a>  Plus Deluxe. <!--46281390--><p>making it more cohesive and compelling than most of the other  <a  y mucho más.

Alguna solucion (reinstalar el foro seguramente sea lo mejor), pero lo que más me interesa, consejos, formas y mecanismos para evitar estos ataques y lograr un foro seguro como este.

Un saludo.

WHK

#1
3 Mayo 2009, 06:57 AM
Intenta buscar si eso aparece en tu base de datos o está escrito en tu platilla.

También te recomiendo que verifiques si alguien mas tiene acceso a tu servidor o no, observa los access_log del apache y trata de ver los ultimos accesos, talves alguien tiene una shell oculta.

De por si solo si smf 1.1.8 fuera vulnerable ya habrían ms foros afectados comenzando por este  :P y otros vecinos pero no ha sucedido asi que no creo que la falla esté en smf, lo mas probable es que alguien tiene acceso a tu base de datos o archivos.

Cambia el pass de tu user y verifica que no hayan mas usuarios con el rango de admin o cosas así, cambia el pass de tu ftp si puedes o de tu base de datos, con find y grep busca archivos infectados que contengan la palabra "c99", "r57", "eval(gzinflate", "system($_", etc etc.

Jubjub

#2
3 Mayo 2009, 11:39 AM
Quizas un mod vulnerable tambien tenga que ver :)
Jugando con Fósforoshacking con un tono diferente


.
porno

Data Seek3r

#3
3 Mayo 2009, 17:44 PM
Sip, o estas admitiendo html puro.

PinG

#4
4 Mayo 2009, 13:49 PM
Bien revisaaré todo eso, cambiareé todo tipo de contraseñas y a ver si es solo eso. Revisaré todos lo permisos también no vaya ser.

Saludos y gracias.

el-brujo

#5
4 Mayo 2009, 19:09 PM
si usas el botoncito de los vídeos youtube asegúrate de poner:

Código [Seleccionar]
allowScriptAccess="never"
Imprimir
Ir Arriba Páginas1
Acciones del Usuario