Invadido XOOPS debader?

  • Identifique-se para criar novos tópicos neste fórum
  • Visitantes anônimos não podem postar neste fórum
Luciano  Ocasional De: Curitiba - Paraná - Brasil  Postagens: 32

amigos!
Com muita tristeza, comunico-vos que pelo visto, fui invadido em:
http://twentyfournights.ganhei.net/mrhot/modules/debaser/
Li algo a respeito de invasoes pelo debaser e como estava em busca de ajuda para incluir vídeo pelo debaser que até agora só descobri musica e radios.
Resolvi visitar o portal para tentar alguma coisa e deparei com a invasão.
Alguém pode me dizer se é por este módulo mesmo?
Não alterei nada, mesmo porque nem acesso como admin não foi possivel.
Um forte abraço.
No aguardo.
Virtual

Rmarx  Iniciante   Postagens: 0

Virtual escreveu:
Amigos!
Com muita tristeza, comunico-vos que pelo visto, fui invadido em:
http://twentyfournights.ganhei.net/mrhot/modules/debaser/
Li algo a respeito de invasoes pelo debaser e como estava em busca de ajuda para incluir vídeo pelo debaser que até agora só descobri musica e radios.
Resolvi visitar o portal para tentar alguma coisa e deparei com a invasão.
Alguém pode me dizer se é por este módulo mesmo?
Não alterei nada, mesmo porque nem acesso como admin não foi possivel.
Um forte abraço.
No aguardo.
Virtual

É irritante ver frases como:
"HACKED BY OSMANLI KARTALI

NO WAR

!STOP WAR!"
No war, não a guerra, é até legal o intuito de promover a "não guerra" mas o "OSMANLI KARTALI" deveria tentar transmitir sua menssagem de uma forma que não promovesse a gerra vitual.

Espero que o portal volte ao normal!

Luciano  Ocasional De: Curitiba - Paraná - Brasil  Postagens: 32

É irritante ver frases como:
"HACKED BY OSMANLI KARTALI

NO WAR

!STOP WAR!"
No war, não a guerra, é até legal o intuito de promover a "não guerra" mas o "OSMANLI KARTALI" deveria tentar transmitir sua menssagem de uma forma que não promovesse a gerra vitual.

Espero que o portal volte ao normal!

Ronaldo Marques e amigos!
Infelizmente esta lá ainda a frase dele.
Como devo proceder para que o portal volte ao normal?

No PHPNuke, quando isso ocorreu comigo por várias vezes no mesmo mês, resolvi parar com tudo e migrar para o XOOPS.
Aqui, é bem mais seguro e alguma falha houve, porque levou 1 ano para eu ser atacado de novo, agora no XOOPS.

Pelo que li, acredito na falha atribuida ao módulo debaser.
Fica aqui o meu apelo aos desenvolvedores buscarem uma resposta ao módulo.
Pra evitar e garantir, instalei o SmartMedia para fazer o que eu pretendia Video e deu certo corretamente no portal silvanahass.com serve também para responderem a diferença entre estes 2 módulos para videos.

Vamos em frente e sucesso a todos.
Abraços;
Virtual

Rmarx  Iniciante   Postagens: 0

Seu servidor tem backup?
Se tem solicite a restauração da data aterior ao ataque, essa é uma saída a ser usada.

Luciano  Ocasional De: Curitiba - Paraná - Brasil  Postagens: 32

Olá,!
Restaurei backup e gerou "Tela Branca da Morte".
Então como eu já possui um post antigo de 2004 no XBR, retornei em busca e por tentativa e erro, módulo por módulo, descobri que se trata de permissão na pasta templates_c que ao modificar para 770 o portal reaparece invadido, removo toda a pasta, crio ela de novo e permissão 755 o portal retorna com a Tela Branca, não consigo sair disso.
Onde é que este desgraçado deixou o bicho para autoinvadir?
Vou quebrando a cabeça até aparecer ajuda.
Obrigado pela dica, vamos em frente.
Virtual

Luciano  Ocasional De: Curitiba - Paraná - Brasil  Postagens: 32

Virtual escreveu:
!
Restaurei backup e gerou "Tela Branca da Morte".
Então como eu já possui um post antigo de 2004 no XBR, retornei em busca e por tentativa e erro, módulo por módulo, descobri que se trata de permissão na pasta templates_c que ao modificar para 770 o portal reaparece invadido, removo toda a pasta, crio ela de novo e permissão 755 o portal retorna com a Tela Branca, não consigo sair disso.
Onde é que este desgraçado deixou o bicho para autoinvadir?
Vou quebrando a cabeça até aparecer ajuda.
Obrigado pela dica, vamos em frente.
Virtual

Continuando sem solução.
Resposta do suporte de hospedagem:
Certamente foi invadido a mais de 3 dias, nosso backup também está assim, ele gera o que contem no portal e sobrepoe os antigos.

Agora só resta aqui no XOOPS não haver uma solução a não ser reinstalar XOOPS do zero.

Ultima ideia agora.
Quais tabelas do Bando de dados devo pesquisar para corrigir no braço?

Infelizmente o bkp do portal anterior não era automatico o bkp do banco de dados.

No aguardo;
Virtual

Rmarx  Iniciante   Postagens: 0

Já verificou no arquivo the.html?
"pode" ser que nele que esteja o script com o redirecionamento.

Luciano  Ocasional De: Curitiba - Paraná - Brasil  Postagens: 32

Já verificou no arquivo the.html?
"pode" ser que nele que esteja o script com o redirecionamento.

Oi Ronaldo Marques!
Obrigado pela dica, mas não localizei este arquivo em nenhuma pasta.

Descobri que o Desgraçado inseriu dentro das tabelas do xt-config toda a formatação do portal e o redirecionamento.

http://twentyfournights.ganhei.net/mrhot/index.php

Mas ainda resta uma duvida se ele conseguiu instalar algum cavalo de troia dentro do portal para ficar monitorando, porque em menos de 24 horas ele invadiu de novo e eu restaurei o BKP para rever se foi pelo Debaser mesmo que entrou, removi este módulo do portal para observar as próximas 24 horas se haverá invasão e por onde será desta vez.

Aguardo comentários e ajuda.
O módulo Protector estava instalado e não protegeu para este tipo de ataque.

Abraços;
Virtual

Gislaine  Ocasional   Postagens: 36

Neste caso pode ter ocorrido em um módulo que ele alterou alguma coisa e com um simples comando ele está recebendo as informações de acesso admin.

Eu aconselho rever as permissões, não seria 0770 e seim 0755 se o seu hospedeiro estiver bem configurado para templates_c, cache e uploads.

Agora outra possibilidade seria um acesso via outro domínio se ele objteve acesso via compartilhamento. Pode ser que ele capturou o servidor em si, aí não irá ser um problema no XOOPS e sim de comprometimento de seu servidor.

Aconselho utilizar logs do server e ficar monitorando isto.

Vá passando novidades por favor. XOOPS

Luciano  Ocasional De: Curitiba - Paraná - Brasil  Postagens: 32

Amiga Gisa_Iagami!
Segue a resposta do suporte de hospedagem, assim como a dica do amigo PedroBH para tentar uma solução.
Vamos em frente que será de grande utilidade para outros casos semelhantes.

Neste caso pode ter ocorrido em um módulo que ele alterou alguma coisa e com um simples comando ele está recebendo as informações de acesso admin.

Resposta do suporte:
Faça isso é o que já foi aconselhado.

Eu aconselho rever as permissões, não seria 0770 e seim 0755 se o seu hospedeiro estiver bem configurado para templates_c, cache e uploads.

Resposta do suporte:
Faça isso é o que já foi aconselhado.
Agora outra possibilidade seria um acesso via outro domínio se ele objteve acesso via compartilhamento. Pode ser que ele capturou o servidor em si, aí não irá ser um problema no XOOPS e sim de comprometimento de seu servidor.

Resposta do suporte:
Esta possibilidade está descatada.
Aconselho utilizar logs do server e ficar monitorando isto.

Vá passando novidades por favor. XOOPS

********
Agora vamos as dicas do PedroBH

No Backup anterior, Deve renomear as tabelas do XOOPS com prefixo xoops_ para por exemplo ns0a2p_ em seguida, acessar ao Banco de dados e remover as tabelas, restaurar o backup e testar para ver o comportamento dos módulos.
**********

Luciano.
http://twentyfournights.ganhei.net/mrhot/index.php

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/mrhot/public_html/mrhot/modules/protector/include/precheck.inc.php on line 28
******
Linha 28***
If( mysql_num_rows( $result ) < 5 ) return false ;
While( list( $key , $val ) = mysql_fetch_row( $result ) ) {
$conf[ $key ] = $val ;
******
Sobre este erro não posso te ajudar, porque não conheço a estrutura do seu portal, é problema de script, no server não foi feito qualquer alteração.

Alan.

Bom amigos.
Este é o relato em busca de solução.
Vamos por tentativas e erros até concluir e partir para uma proteção mais eficiente.
No aguardo de orientações, desde já agradeço a todos.
Sds.
Virtual

Gislaine  Ocasional   Postagens: 36

Posso estar enganado, mas quando tu refaz o prefixo das tabelas, deveria antes desativar no mainfile.php o protector e depois ativa-lo de novo. Não sei onde eu vi isto, rs XOOPS

Agora dentro do protector, me parece que tem uma opção onde você salva antes este prefixo e cria o outro e depois modifica.

Estou meio perdido nisto e me interesso pela solução também.
Alguém aí para dar uma força [pergunta]

  Pesquisa avançada






Entrada

Codinome:


Senha:





Perdeu a senha?  |Cadastre-se!


Quem nos visita
Há 50 visitantes neste momento... (25 na seção Fóruns)

Associados: 0
Anônimos: 50

outros...

Banner XOOPS Cube