Falló el foro, lo recuperamos, pero no sabemos aún la razón (y a estas horas no m'apetece comerme los logs).
es verdad, hace unas horas no podía entrar, y ya me había asustado. pensé que era sólo yo , probé con varios navegadores y nada
bueno, al menos ya se solucionó.
suerte al encontrar la razón :) , esperemos no sea nada grave, o algo transitorio. (nunca había pasado ¡vd?)
fue bastante grave... nos borraron toda la carpeta de los archivos del foro... pero la solucion fue muy simple...
Jué.
En fin, espero que podais actualizar o arreglar el fallo sin que sea muy traumático...
ya actualizamos... veremos que pasa en estos dias...
:-[ ojalá todo vaya bien.
Está raro, ¿quién la puede borrar?, y ¿por qué?, ojalá ya no suceda nada igual
He visto por ahi esto:
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Simple Machines Forum (SMF) 1.1.6 Code Execution Exploit
http://milw0rm.com/exploits/6993
Simple Machines Forum <= 1.1.6 (LFI) Code Execution Exploit
http://milw0rm.com/exploits/7011
En ambos casos es posible causar la ejecución de códigos o subir directamente una shell como un r57 o un c99 aunque es necesario que el atacante pueda subir archivos adjunto en un post para poder ejecutar cualquiera de estos dos exploits donde uno se trata de un LFI y el otro de paquetes autoinstalables sin la verificación de un sesc.
En el primer exploit aparece lo siguiente:
Citar
$this->url->package = '../attachments/' . $this->url->package;
SMF te devolverá un error ya que filtra si alguien intenta escapar del directorio de paquetes, modificamos por lo siguiente:
Citar
$this->url->package = './../attachments/' . $this->url->package;
Solo verifica que los primeros tres carácteres no sean '../' asi que le anteponemos './' y ya.
También descubrí otro bypass que permite instalar paquetes sin verificar la extension del archivo, ahora dicen 'para que sirve?'... supongamos que nuestro foro objetivo solo deja subir archivos jpg, renombramos el paquete con la shell a *.jpg y listo, luego decimos las palabras mágicas..
http://127.0.0.1/foro/index.php?action=packages;sa=install2;package=... ...test.jpg
dentro de un xsrf ovbio hacia el admin y ya está instalado bypaseando el path antihacking :P y la extensión del archivo.
Algo muy curioso es que después de tres dias nadie se haya dado cuenta, ni los de simplemachines ya que no hay parche ni post en la sección de bugs ni en ninguna otra comunidad.
No pierdan el tiempo, ya probé con foros amigos y no dejan subir nada :P
El admin de este foro ya tomó las medidas necesarias para evitar catastrofes :xD
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
No se que version teniais pero para la 1.1.6 como veis parece que existe fallo de ejecucion de codigo. Si la maquina sobre la que correis es linux ,supongo que ya lo habreis hecho pero si no, yo echaria un vistazo a los procesos que teneis y si teneis el servidor web corriendo con el usuario root, si no podeis reinstalar pasad al menos un chrootkit y un rkhunter. Mirar nuevos usuarios creados y procesos corriendo con dicho usuario y con el usuario donde corre apache. Si no pues lo equivalente en windows ^^.
Ultimamente hay un huevo de ataques de enumeracion y passwords por ssh. Si lo teneis configurado para entrar por password en lugar de por clave publica y privada yo echaria un vistazo a /var/log/auth.log (si es debian) vereis un monton de entradas del palo de:
<<<<<<<<<<<<
Invalid user matt from XX.XX.XX.XX
>>>>>>>>>>>>
Si una de esas da acceso pues al menos ya teneis la ip del fulano, de todas formas probablemente sea de otro ordenador infectado si es con este tipo de ataque. :S
A mi una vez me entraron y eso sirvio para que me volviese un jodido paranoico, como les pille en el proceso consegui passwords, usuarios e ips de los pipiolos que me entraron.
Muchos animos y espero que algo de lo que pongo aqui sirva de algo(aunque seguro que todo esto ya lo habeis mirao ^^). de todas formas convendria que quitaseis la version y tipo de foro que sale abajo. Es para evitar ,Aunque sea de una manera muy burda, google hacking y que los gusanos que hacen esto de forma automatica puedan acceder de forma muy sencilla.
PD: se me olvidaba hace relativamente poco pillaron lo de las claves con los aleatorios fallidos de debian. Desde la version woody hasta no me acuerdo cual. Si no estaba actualizado todo y se cambiaban la generacion de claves, generaba claves con las que era facil entrar. Si no teneis puestas claves de acceso en known host nada pero si no seria para mirar si os afectó o no ese problema, ya que si las claves estaban generadas antes de la fecha de actualizacion eran faciles de crackear.
seria necesario actualizar el smf
ya no hay mas versiones para actualizar... a que otra version se supone deberia actualizar? ya tengo la ultima...
animanegra, resumiendo, esta el foro actualmente vulnerable o no?
yo la verdad siempre veo todo muy tragico y tengo cero ganas de revisar codigo php... y cero ganas de volver a lidiar con problemas de perdida de informacion... ultimamente opte en la postura de cuando algo se pierde, se pierde, mala suerte...
podrias probar si esos hacks afectan al foro o no?
gracias
ahi va!! perdon no habia vuelto a mirar el foro.
Pues el fallo que sale ahi es de la 1.1.6 y habeis puesto la 1.1.7 en un principio no tenemos ese problema. Voy a buscar explots de la 1.1.7 y os comento. El tema era para que supieseis por donde os podrian haber entrado.
Lo que os comento de los procesos es simplemente porque normalmente si alguien entra en un sitio suele dejar una puerta trasera. Y lo del tema de ssh era para que miraseis porsiacaso no os habian entrado por el foro, si no por ssh.
No se que mas programas teneis por ahi corriendo, ten en cuenta que si hay un wiki (lo digo porque me suena que habia uno por ahi) si no esta en ulima version tambien es atacable. Cada sistema puesto ya sabeis, es una comida de cabeza. Busco ahora el tema de exploits en smf y si encuentro algo os comento.
http://www.simplemachines.org/community/index.php?topic=280086.0
Lo unico que he encontrado es esto. Parece que la version esta adolece de algun fallo de sql injection segun comenta un supuesto hacker. Tengo por ahi una referencia a algun fuzzer. Si eso podemos probar si quereis para sacar el fallo (o os lo paso y lo testeais), parchearlo y reportarlo a los desarolladores(si no ya me instalare la version del foro en mi ordenador y os comento). Aunque no se, la verdad es que en el foro tampoco se fian demasiado (por no decir nada) del supuesto hacker que dice eso.
Los mensajes son del 26 de diciembre, asi que si hay algun fallo en esa version aun no han hecho parche.
Probablemente si que os hayan entrado por el smf 1.1.6 ya que llevaba desde noviembre (que es cuando salio el nuevo) sin actualizar. y el exploit era de muy facil ejecucion, mirad que son cuatro lineas de php que es cortar y pegar y listo.
De todas formas ya comentareis cuando mireis los logs a ver por donde os han entrado realmente.
Quote from: SplinterGU on December 31, 2008, 10:32:19 AM
ya no hay mas versiones para actualizar... a que otra version se supone deberia actualizar? ya tengo la ultima...
cuando mire no estaba 1.1.7 sino la 1.1.3 ;D ;D ;D ;D
actualice anoche a eso de las 23hs...
mire los logs que pude, lo extraño es que los logs despues de las 16hs estaban a 0 bytes... y el /var/... no tengo permisos para verlo, netstat no puedo ejecutarlo por la misma razon...
pueden haber entrado por el wiki, por eso a mi no me gusta tener en el mismo hosting varias cosas instaladas... voy a pensar un poco a ver como hacemos esto...
si podes decirme sobre el wiki te lo agradezco... antes por ejemplo, cuando administraba divsite me preocupaba mas por estas cosas, pero la verdad que ahora valoro el tiempo de forma diferente... y ya no me gusta perder tiempo en buscar vulnerabilidades, analizar logs, codigo y customizarlo para darle seguridad...
Pos del doku wiki parece que hubo el dia 15 una actualizacion que tapaba un agujero que permitia cross site scripting.
http://secunia.com/Advisories/33133/
La solucion simplemente parece que pasa por:
Solution:
Update to MediaWiki 1.13.3, 1.12.3 and 1.6.11
No se que version teneis del docu wiki pero bueno si os han podido entrar por ahi supongo que sera por alguno de estos fallicos.
Lo de los logs, es lo logico. Se suponge que es lo primero que se debe hacer para borrar huellas. Supongo que el .bash_history te lo habran vaciado tambien. :(. Mira a ver si tienes suerte y los de tu hosting tienen algun tipo de backup de los archivos de logs. Asi igual puedes conseguir pillar a quien te jodio todo. ¿Has probado mirando los logs de la base de datos? Me refiero a que igual el mysql (o el server que tengais) tiene habilitado el modo de guardar todas las consultas, si en el foro o en wiki recoge las ips de origen mediante el php puede que ahi tengas archivado desde que ip te hicieron el ataque.
A ver si hay suerte.
Por vagancia al final no se miró, pero puedo asegurar que como mucho llegaron a tocar ficheros del foro, ya que no tenían permisos para otra cosa. Lo que me parece raro es que no hayan tocado nada del SQL :?
Y ya está mirado. Un usuario llamado Palaryel inyectó código SQL en el registro, se hizo admin, y lo borró todo. No sé cuál era su objetivo, aparentemente sólo cargarse el foro.
Podéis encontrar más info buscando esto en google:
palaryel pal.sex@gmail.com
92.36.248.154
Bosnia and Herzegovina
Bihac
BH Telecom d.d. Sarajevo
Y ya he mandado un mensaje de abuso al operador.
si, lo se, lo primero es borrar los logs... pero no, el historico del bash no fue vaciado, lo que no dice que hayan borrado las entradas en las que interactuaron...
la verdad que no vi el log de la db...
sabes que cuando vi el registro ese lo iba a borrar porque tenia un mal presentimiento, pero bueno, lo deje... ahora lo baneo...
bueno, al querer borrar el usuario ya veo que no existe...
por otra parte, pido a todos que cambien sus contraseñas.
Una cosilla mas, hace relativamente poco salio un error en los Internet Explorer. Permitia insercion de codigo en la maquina cliente, y bueno hace nada, salio otro error parecido del mismo navegador. A veces los que hackean meten codigo en la pagina para que se ejecute en la maquina cliente y tener de esta forma mas equipos. Supongo que en general todos teneis el equipo parcheado y tal, y por lo que habeis dicho no os cambio las paginas si no, que solo se dedico a borrarlas. Si habeis vuelto a instalar todo ningun problema (Que es lo que comentasteis que habiais hecho). Es que me ha dado muy mal rollo el nombre del "pal.sex" ese. Y ese tipo de ataques se suelen hacer para poner servidores en maquinas clientes de cosas turbias(normalmente cosas ilegales para que a la policia le cueste mas encontrarlos). Y por el nombre me ha venido a la cabeza todo esto :S .
Los bugs que digo son:
http://secunia.com/advisories/33089/
y el otro mas viejo era este:
http://support.microsoft.com/kb/961051/es
Lo mas probable es que no haya pasado nada de este tipo, ademas supongo que el firewall o antivirus de alguien habria saltado ante el posible ataque.
bueno me alegra que hayais pillado otra vez el control del foro. ;-)
yo no uso linux... asi que eso no me afecta...
Igual no me explique bien esto ultimo. :S (Habitual en mi). El problema es de si usas el Internet Explorer como navegador. Osea te pueden llegar a meter codigo malicioso en tu maquina desde la que ejecutas el Internet Explorer solo al ver una pagina. Normalmente ,no se porque, lo insertan mediante un iframe insertado en la pagina. Por eso lo decia... De todas formas normalmente ejecutan un script que detecta versiones con fallos de los navegadores ya sean Firefox, Opera, Safari o IE. Una prevencion muy chorra suele ser cambiar el tag que envias del navegador que estas corriendo, solo con eso te evitas que muchos de estos sistemas detecten la vulnerabilidad de tu navegador porque lo basan en eso.