Fallo del foro

Started by panreyes, December 31, 2008, 12:57:28 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

panreyes

Falló el foro, lo recuperamos, pero no sabemos aún la razón (y a estas horas no m'apetece comerme los logs).


Prg

es verdad, hace unas horas no podía entrar, y ya me había asustado. pensé que era sólo yo , probé con varios navegadores y nada
bueno, al menos ya se solucionó. 

suerte al encontrar la razón :) , esperemos no sea nada grave, o algo transitorio. (nunca había pasado ¡vd?)
en humos puedes mover la camara con los cursores. es necesario para los niveles a partir del dos :)

SplinterGU

fue bastante grave... nos borraron toda la carpeta de los archivos del foro... pero la solucion fue muy simple...
Download Lastest BennuGD Release: http://www.bennugd.org/node/2

josebita

Jué.
En fin, espero que podais actualizar o arreglar el fallo sin que sea muy traumático...

SplinterGU

ya actualizamos... veremos que pasa en estos dias...
Download Lastest BennuGD Release: http://www.bennugd.org/node/2

Prg

 :-[ ojalá todo vaya bien.

Está raro, ¿quién la puede borrar?, y ¿por qué?, ojalá ya no suceda nada igual
en humos puedes mover la camara con los cursores. es necesario para los niveles a partir del dos :)

animanegra

#6
He visto por ahi esto:

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Simple Machines Forum (SMF) 1.1.6 Code Execution Exploit
http://milw0rm.com/exploits/6993

Simple Machines Forum <= 1.1.6 (LFI) Code Execution Exploit
http://milw0rm.com/exploits/7011

En ambos casos es posible causar la ejecución de códigos o subir directamente una shell como un r57 o un c99 aunque es necesario que el atacante pueda subir archivos adjunto en un post para poder ejecutar cualquiera de estos dos exploits donde uno se trata de un LFI y el otro de paquetes autoinstalables sin la verificación de un sesc.

En el primer exploit aparece lo siguiente:
Citar
$this->url->package = '../attachments/' . $this->url->package;
SMF te devolverá un error ya que filtra si alguien intenta escapar del directorio de paquetes, modificamos por lo siguiente:
Citar
$this->url->package = './../attachments/' . $this->url->package;
Solo verifica que los primeros tres carácteres no sean '../' asi que le anteponemos './' y ya.

También descubrí otro bypass que permite instalar paquetes sin verificar la extension del archivo, ahora dicen 'para que sirve?'... supongamos que nuestro foro objetivo solo deja subir archivos jpg, renombramos el paquete con la shell a *.jpg y listo, luego decimos las palabras mágicas..
http://127.0.0.1/foro/index.php?action=packages;sa=install2;package=... ...test.jpg
dentro de un xsrf ovbio hacia el admin y ya está instalado bypaseando el path antihacking  :P y la extensión del archivo.

Algo muy curioso es que después de tres dias nadie se haya dado cuenta, ni los de simplemachines ya que no hay parche ni post en la sección de bugs ni en ninguna otra comunidad.

No pierdan el tiempo, ya probé con foros amigos y no dejan subir nada  :P
El admin de este foro ya tomó las medidas necesarias para evitar catastrofes  :xD
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

No se que version teniais pero para la 1.1.6 como veis parece que existe fallo de ejecucion de codigo. Si la maquina sobre la que correis es linux ,supongo que ya lo habreis hecho pero si no, yo echaria un vistazo a los procesos que teneis y si teneis el servidor web corriendo con el usuario root, si no podeis reinstalar pasad al menos un chrootkit y un rkhunter. Mirar nuevos usuarios creados y procesos corriendo con dicho usuario y con el usuario donde corre apache. Si no pues lo equivalente en windows ^^.

Ultimamente hay un huevo de ataques de enumeracion y passwords por ssh. Si lo teneis configurado para entrar por password en lugar de por clave publica y privada yo echaria un vistazo a /var/log/auth.log (si es debian) vereis un monton de entradas del palo de:

<<<<<<<<<<<<
Invalid user matt from XX.XX.XX.XX
>>>>>>>>>>>>

Si una de esas da acceso pues al menos ya teneis la ip del fulano, de todas formas probablemente sea de otro ordenador infectado si es con este tipo de ataque. :S

A mi una vez me entraron y eso sirvio para que me volviese un jodido paranoico, como les pille en el proceso consegui passwords, usuarios e ips de los pipiolos que me entraron.

Muchos animos y espero que algo de lo que pongo aqui sirva de algo(aunque seguro que todo esto ya lo habeis mirao ^^). de todas formas convendria que quitaseis la version y tipo de foro que sale abajo. Es para evitar ,Aunque sea de una manera muy burda, google hacking y que los gusanos que hacen esto de forma automatica puedan acceder de forma muy sencilla.

PD: se me olvidaba hace relativamente poco pillaron lo de las claves con los aleatorios fallidos de debian. Desde la version woody hasta no me acuerdo cual. Si no estaba actualizado todo y se cambiaban la generacion de claves, generaba claves con las que era facil entrar. Si no teneis puestas claves de acceso en known host nada pero si no seria para mirar si os afectó o no ese problema, ya que si las claves estaban generadas antes de la fecha de actualizacion eran faciles de crackear.
"PoCoYo es dios!!"

syous

seria necesario actualizar el smf
Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://sodonline.net/
http://darknessage.ayudaprogramacion.net/
http://www.ayudaprogramacion.net/

Proyecto: MMORPG
Completado: 2%
Estado: En Desarrollo...

SplinterGU

ya no hay mas versiones para actualizar... a que otra version se supone deberia actualizar? ya tengo la ultima...
Download Lastest BennuGD Release: http://www.bennugd.org/node/2

SplinterGU

#9
animanegra, resumiendo, esta el foro actualmente vulnerable o no?
yo la verdad siempre veo todo muy tragico y tengo cero ganas de revisar codigo php... y cero ganas de volver a lidiar con problemas de perdida de informacion... ultimamente opte en la postura de cuando algo se pierde, se pierde, mala suerte...
podrias probar si esos hacks afectan al foro o no?
gracias
Download Lastest BennuGD Release: http://www.bennugd.org/node/2

animanegra

ahi va!! perdon no habia vuelto a mirar el foro.

Pues el fallo que sale ahi es de la 1.1.6 y habeis puesto la 1.1.7 en un principio no tenemos ese problema. Voy a buscar explots de la 1.1.7 y os comento. El tema era para que supieseis por donde os podrian haber entrado.

Lo que os comento de los procesos es simplemente porque normalmente si alguien entra en un sitio suele dejar una puerta trasera. Y lo del tema de ssh era para que miraseis porsiacaso no os habian entrado por el foro, si no por ssh.

No se que mas programas teneis por ahi corriendo, ten en cuenta que si hay un wiki (lo digo porque me suena que habia uno por ahi) si no esta en ulima version tambien es atacable. Cada sistema puesto ya sabeis, es una comida de cabeza. Busco ahora el tema de exploits en smf y si encuentro algo os comento.
"PoCoYo es dios!!"

animanegra

http://www.simplemachines.org/community/index.php?topic=280086.0

Lo unico que he encontrado es esto. Parece que la version esta adolece de algun fallo de sql injection segun comenta un supuesto hacker. Tengo por ahi una referencia a algun fuzzer. Si eso podemos probar si quereis para sacar el fallo (o os lo paso y lo testeais), parchearlo y reportarlo a los desarolladores(si no ya me instalare la version del foro en mi ordenador y os comento). Aunque no se, la verdad es que en el foro tampoco se fian demasiado (por no decir nada) del supuesto hacker que dice eso.

Los mensajes son del 26 de diciembre, asi que si hay algun fallo en esa version aun no han hecho parche.

Probablemente si que os hayan entrado por el smf 1.1.6 ya que llevaba desde noviembre (que es cuando salio el nuevo) sin actualizar. y el exploit era de muy facil ejecucion, mirad que son cuatro lineas de php que es cortar y pegar y listo.

De todas formas ya comentareis cuando mireis los logs a ver por donde os han entrado realmente.
"PoCoYo es dios!!"

syous

Quote from: SplinterGU on December 31, 2008, 10:32:19 AM
ya no hay mas versiones para actualizar... a que otra version se supone deberia actualizar? ya tengo la ultima...


cuando mire no estaba 1.1.7  sino la 1.1.3 ;D ;D ;D ;D
Un Saludo
EL dia que la humanidad aprenda a mirar y sentir con los ojos del alma, recuperara su humanidad
http://sodonline.net/
http://darknessage.ayudaprogramacion.net/
http://www.ayudaprogramacion.net/

Proyecto: MMORPG
Completado: 2%
Estado: En Desarrollo...

SplinterGU

actualice anoche a eso de las 23hs...
mire los logs que pude, lo extraño es que los logs despues de las 16hs estaban a 0 bytes... y el /var/... no tengo permisos para verlo, netstat no puedo ejecutarlo por la misma razon...
pueden haber entrado por el wiki, por eso a mi no me gusta tener en el mismo hosting varias cosas instaladas... voy a pensar un poco a ver como hacemos esto...
si podes decirme sobre el wiki te lo agradezco... antes por ejemplo, cuando administraba divsite me preocupaba mas por estas cosas, pero la verdad que ahora valoro el tiempo de forma diferente... y ya no me gusta perder tiempo en buscar vulnerabilidades, analizar logs, codigo y customizarlo para darle seguridad...
Download Lastest BennuGD Release: http://www.bennugd.org/node/2

animanegra

Pos del doku wiki parece que hubo el dia 15 una actualizacion que tapaba un agujero que permitia cross site scripting.

http://secunia.com/Advisories/33133/

La solucion simplemente parece que pasa por:

Solution:
Update to MediaWiki 1.13.3, 1.12.3 and 1.6.11

No se que version teneis del docu wiki pero bueno si os han podido entrar por ahi supongo que sera por alguno de estos fallicos.

Lo de los logs, es lo logico. Se suponge que es lo primero que se debe hacer para borrar huellas. Supongo que el .bash_history te lo habran vaciado tambien. :(. Mira a ver si tienes suerte y los de tu hosting tienen algun tipo de backup de los archivos de logs. Asi igual puedes conseguir pillar a quien te jodio todo. ¿Has probado mirando los logs de la base de datos? Me refiero a que igual el mysql (o el server que tengais) tiene habilitado el modo de guardar todas las consultas, si en el foro o en wiki recoge las ips de origen mediante el php puede que ahi tengas archivado desde que ip te hicieron el ataque.

A ver si hay suerte.
"PoCoYo es dios!!"