XOOPS España

Parece que fueron bastantes personas las que intentaron entrar en un ratito, uno se penso hasta que esto era un phpnuke por las rutas que lanzaba.

Una de las peores cosas es que la mayoria de los intentos de entrada eran usando ?GALLERY_BASEDIR= contra un servidor de theplanet que estaba ejecutando una lista de comandos desde perl. he probado todos y no he visto que ninguno de ninguna información y el gallery_basedir si alguien sabe de que modulo es pues que tenga cuidado ya que han intentado entrar por ese de diferentes formas.

Otro intento es usando la variable post.php?fil_config= pero tampoco he encontrado esa variable en el xoops, al menos no en el 2,3 que me he bajado.

Otro de injeccion sql a sido de este tipo, mi hexadecimal va un poco mal y aunque he probado todas las que han intentando en todas me dice que el tema no existe, si alguin controla de esto pues ya le pasare algunas que son largas de narices, no vaya a ser que tengan alguna utilidad oculta.

/modules/newbb/viewtopic.php?topic_id=-1+AND+2=0+UNION+ALL+SELECT+0x3065376332613738353864303833656636636535323337343330636466343033,0x3a3a7865512d312d7465643a3a-- (esta es muy cortita)

Han intentado tambien entrar por /modules/xt_conteudo (no se que modulo sera pero supongo que tendra alguna vulnerabilidad de ejecucion remota por que en esxoops no esta ese modulo y han intentado entrar tambien por ahi.

Ya a estas alturas localizo por el ftp que han entrado ya que estan modifciando los index.php.


Tue Aug 04 16:31:55 2009 0 (IP_RUSA) 6816 /home/esxoops/public_html/modules/mylinks/index.php b _ o r esxoops ftp 1 * c
Tue Aug 04 16:32:05 2009 6 (IP_RUSA) 177279 /home/esxoops/public_html/modules/mylinks/index.php b _ i r esxoops ftp 1 * c
Tue Aug 04 16:32:11 2009 0 (IP_RUSA) 5606 /home/esxoops/public_html/modules/wfdownloads/index.php b _ o r esxoops ftp 1 * c
Tue Aug 04 16:32:18 2009 5 (IP_RUSA) 176732 /home/esxoops/public_html/modules/wfdownloads/index.php b _ i r esxoops ftp 1 * c

etc etc etc.

Los ataques siguen, pero no he conseguido ver la relacion entre los intentos de ataque que aunque eran muchos, todos me han dado negativo y el que pudiera entrar el ruso por el ftp como pedro por su casa, por que los intenttos de entrar por web, seguian intentando entrar por otra media hora mas.

Los intentos de hackeo por web fueron, inglaterra (parece linea particular), USA (desde un server the the planet) USA (un servidor de Liquidweb), korea (tambien un server).

El que tenga ficheros index.php originales de los modulos de esxoops que me los envie please para corregir los que quedan corruptos.

Los de tu hosting, mas o menos se equivocan ya que he revisado y los cambios en los ficheros se hicieron por ftp, todavia no se como hicieron para sacar los datos del ftp ya que la direccion desde la que entran es una rusa, asi que no creo que fuera que ninguno del equipo tuviera su ordenador infectado.

Efectivamente lo que hacen es cambiar los index.php lo malo es que no tengo copias con esos limpios.

El hosting lo controlo yo y ha sido la unica pagina que ha sido afectada, asi que ha sido un ataque directo contra la web, o bien por que han adivinado alguna clave o bien por que han encontrado algun sitio abierto.

Pero sin saber cuando paso difcil de encontrar la puerta.

He corregido un poco el tema, que llevaba muchisimo tiempo sin pasar por la pagina, no se cuando hackeraron el index.php, no se quien tiene un backup de los ficheros para subirlos, he parcheado un poco para que no quede la pagina en blanco.

Ahora me voy pa la playa a aprovechar lo ultimo que queda de un dia bueno que vienen lluvias dicen.

Un saludo.

Fue una cagada mia, actualice el mysql y no revise que todo funcionara bien, y luego al de unas horas fallo y no me dijeron nada hasta el dia siguiente.

No conozco ese modulo, pero lo mas sencillo para ver por que no va seria.

Como te da error vete al admin y desactiva el modulo original a ver si asi te funciona la copia.

Si la copia te funciona cuando tienes el original arrancado es que tendra alguna funcion que se duplica en los dos modulos y le da error, habria que mirar el modulo para saber por que.

En resumen, haz esa prueba y dinos el resultado.

Revisa si la base de datos esta corrupta, con el phpmyadmin revisar tablas.

No se nada de pdas ni de como tiene que ser su formato pero supongo que sera diferente a verlo en una web normal, viendo el fichero pda.php de xoops veo que no carga la cabecera estandard, si no que una mas sencilla, prueba a modificar el fichero /raiz/pda.php

$sql = "SELECT storyid, title FROM ".$xoopsDB->prefix("stories")." WHERE published>0 AND published<".time()." ORDER BY published DESC";

por las correspondientes del foro que tienes, y las de

echo "".htmlspecialchars($title)."
";

para que se te ajusten al foro, a ver si asi te sale bien la cosa.

Hoy realizare el cambio de server a un nuevo centro de datos.

Posteare aqui cuando este movido el servidor para que asi no se pierdan posts etc.

Un saludo

Aitor Uskola

cambia el

define('XOOPS_DB_HOST', 'http://66.115.176.86/mysql');

por

define('XOOPS_DB_HOST', 'localhost');