21 Sites XOOPS hackeados

  • Identifique-se para criar novos tópicos neste fórum
  • Visitantes anônimos não podem postar neste fórum
pablobr  Iniciante   Postagens: 0

Ola.

Estou em um verdadeiro inferno astral. 21 portais usando XOOPS versão 2.0.13.2 foram invadidos hoje.

Segundo o administrador de sistema do meu servidor a invasao deu-se atraves do módulo xt-conteudo pelos arquivos:

Spaw_control.config.php
Toolbars.class.php
Lang.class.php

Todos os portais mostram somente o HEADER e o FOOTER do layout e nada mais de conteudo, nem mesmo alguma mensagem como por exemplo não estar conseguindo conexão com o Banco de Dados MySQL.
Verifiquei e todos os dados relativos a conteudo estão no MySQL intactos.

Alguém saberia me dizer como recuperar a funcionalidade, já que as providencias quanto a impedir novas invasoes.
Atraves do xt-conteudo pelo(s) hacker(s) já foram tomadas.

Tambem não consigo acessar como admim atraves do arquivo user.php porque ele me leva ao index.php onde somente tenho a parte do layout relativa ao cabeçalho e footer.

Se eu não tiver uma solução rapida terei que reinstalar todos os 21 portais e isto tambem não sei como fazer aproveitando o conteudo já existente porque creio que na nova instalação o sistema vai subscrever o db. Se eu criar um novo DB e depois tentar importar o backup dos dados tambem não vai dar certo porque não sei quais módulos estavam efetivamente instalados em cada caso.

Please ! alguma ideia ? alguém já passou por isto?

Agradeço, toda ajuda sera bem-vinda.

Abraco a todos.

Pablo

Valker Vacilão Silva  Iniciante De: Brasília - DF - Brasil  Postagens: 17

SPAW 1.x vulnerability? só para dar mais subsídios. Sigamos na pesquisa.

Pelo visto, parece que o problema é a versão velha do Spaw Editor incluído no xt_conteudo.

Mais:
My portal has been hacked! What do I do?

Valker Vacilão Silva  Iniciante De: Brasília - DF - Brasil  Postagens: 17

Pessoal,

TinyD > Pico.

Xt_conteudo > Mastop_Publish.

Detonem a pasta Spaw de seus portais e não usem esse editor nos módulos tinycontent, xt_conteudo e TinyD.

rafacl  Iniciante   Postagens: 2

Pois é estou precisando da ajuda de voçês, algumas semanas o portal está sendo atacado por algum cara que não t~em nada melhor para fazer, e sempre os ataques acontecem no fórum na descrição dos tópicos que o fórum possui abaixo segue uma imagem do problema, resalto que a versão do XOOPS é antiga e não a atual.


21 Portais XOOPS hackeados

rafacl  Iniciante   Postagens: 2



Peço que me ajudem a resolver este problema...

Valker Vacilão Silva  Iniciante De: Brasília - DF - Brasil  Postagens: 17

Agora é oficial:
Security : vulnerability in SPAW editor.

Relembrando que o mesmo vale para outros módulos baseados no tinycontent, como o xt_conteudo, tinyd ou talvez o content (alguém pode confirmar se ele também usa spaw?).

semdedo  Iniciante   Postagens: 1

bom... fui premiado essa semana com um ataque!

Mais exatamente no Tinycontent.

Agora é mudar tudo para o Pico ou algum outro módulo semelhante.

Alguma dica?

semdedo  Iniciante   Postagens: 1

Resta uma dúvida.

Supondo que um portal esteja pronto com seus conteudos no Tinycontent. Caso não seja necessário nenhuma outra alteração, seria só apagar a pasta "Spaw" ?

Valker Vacilão Silva  Iniciante De: Brasília - DF - Brasil  Postagens: 17

A vulnerabilidade é no Spaw (um editor integrado a alguns módulos XOOPS). Não há vulnerabilidade conhecida do editor do XOOPS ou outros como Koivi, FCKeditor, HTMLarea, etc.

Isso não interfere no conteúdo atual do portal, que está em HTML no Banco de Dados. Pode utilizar o TinyContent/TinyD, apagando o Spaw, ou migrar para um editor mais novo como sugeri na mensagem anterior.

shopp  Iniciante   Postagens: 0

A vulnerabilidade é no Spaw (um editor integrado a alguns módulos XOOPS). Não há vulnerabilidade conhecida do editor do XOOPS ou outros como Koivi, FCKeditor, HTMLarea, etc.

Isso não interfere no conteúdo atual do portal, que está em HTML no Banco de Dados. Pode utilizar o TinyContent/TinyD, apagando o Spaw, ou migrar para um editor mais novo como sugeri na mensagem anterior.

Como faço para ter esses editores acima , porque apaguei a pasta Spaw do xt_conteudo, mas sumiu tambem a area que edita/remove artigos.
Uso a versão 2.0.13-2 e 2.0.16

Obrigado

Valker Vacilão Silva  Iniciante De: Brasília - DF - Brasil  Postagens: 17

Me atrapalhei, onde lê-se "... ou migrar para um editor mais novo como sugeri na mensagem anterior.", leia-se "... ou migrar para um módulo com editor mais novo como sugeri na mensagem anterior."

Se o xt_conteudo só funciona com spaw, sugiro mudar para algum dos outros módulos, mais novos: Mastop_publish ou Pico.

Chronos  Iniciante   Postagens: 2

agora fiquei sismado, sou iniciante e gostaria de saber qual a versão do XOOPS conteudo que estão falando?
Meu XOOPS é 2.0.16 , e o XOOPS eh: 1.52, alguém já flw com o XOOPS total? eles que criaram o XOOPS conteudo!

Valker Vacilão Silva  Iniciante De: Brasília - DF - Brasil  Postagens: 17

Quem criou o xt_conteudo foi Fernando, ele mesmo recomenda outro módulo: Mastop Publish.

Se você verificar o endereço para os comentários no portal do GIJOE - PEAK XOOPS - (desenvolvedor do TinyD), ele também recomenda seu outro módulo (Pico - totalmente reescrito).

cesarfelip  Ocasional De: IbiporÒ - PR  Postagens: 34

Eu também tive o mesmo problema com alguns clientes, para minha sorte o servidor tinha o backup da maioria dos portais.

Um dos portais ainda não voltou para ar... a questão é acho que tivemos pouco aviso da falha nas comunidades nacionais.

Essa falha manja um pouco a imagem de cms seguro do XOOPS e dificulpa para nós como agencia ou profissionais defender a utilização do XOOPS.

Porém falhas acontecem, eu não vou trocar de cms por conta disso.

Mais que a falha foi grave foi!

Valker Vacilão Silva  Iniciante De: Brasília - DF - Brasil  Postagens: 17

O problema é a integração de scripts desenvolvidos por terceiros e nem sempre atualizados posteriormente. Isso é sempre um risco com módulos como o WordPress, MediaWiki, DokuWiki, Moodle4Xoops.

Módulos/Versões afetados por esse problema no Spaw Editor (fonte):
- TinyContent 1.5
- XFsection 1.07
- Cjay Content 3
- Horoscope.
- XOOPS Conteúdo 1.52
- WiwiMod 0.4

Valker Vacilão Silva  Iniciante De: Brasília - DF - Brasil  Postagens: 17

Mais buracos, como um queijo suiço:
Web security / vulnerability : multiple XOOPS modules were found estou attack SQL insert loopholes, Please check your attention estou whether the installation of these modules!

Jobs <= 2.4 (cid) SQL
WF-Links <= 1.03 (cid) SQL
Rha7 Downloads 1.0 (visit.php) SQL
WF-Snippets <= 1.02 (c) BLIND SQL
PopnupBlog <= 2.52 (postid) BLIND SQL
Zmagazine 1.0 (print.php) Remote SQL
XFsection <= 1.07 (articleid) BLIND SQL
WF-Section <= 1.01 (articleid) SQL
RM+Soft Gallery 1.0 BLIND SQL
MyAlbum-P <= 2.0 (cid) Remote SQL
Debaser <= 0.92 (genre.php) BLIND SQL
Camportail <= 1.1 (camid) Remote SQL
Kshop <= 1.17 (id) Remote SQL
Tiny Event <= 1.01 (id) Remote SQL
ECal <= 2.24 (display.php) Remote SQL
Tutoriais (viewcat.php) Remote SQL
Core (viewcat.php) Remote SQL
Library (viewcat.php) Remote SQL
Lykos Reviews 1.00 (index.php) SQL
Repository (viewcat.php) Remote SQL
MyAds Bug Fix <= 2.04jp (index.php) SQL
Friendfinder <= 3.3 (view.php id) SQL
Articles <= 1.03 (index.php cat_id) SQL
Articles <= 1.02 (print.php id) SQL
====
TinyContent <= 1.5 Remote File Inclusion

cesarfelip  Ocasional De: IbiporÒ - PR  Postagens: 34

E quem é que perde tempo invadindo os portais em xoops? O que eles ganham com isso?

Pelo que eu percebi não tem critério nenhum, basta o portal ser em XOOPS para ser alvo.

Valker Vacilão Silva  Iniciante De: Brasília - DF - Brasil  Postagens: 17

Alguns links relacionados:
vulnerability in SPAW editor
My portal has been hacked! What do I do? - português by google
XOOPS Multiple Module Spaw_Control.Class.PHP Remote File Include Vulnerability
SPAW Editor PHP Arbitrary File Inclusion Vulnerability

xt_contuedo is NOT safe
Open holes and hacked

Chronos escreveu:
Agora fiquei sismado, sou iniciante e gostaria de saber qual a versão do XOOPS conteudo que estão falando?

XT-Conteudo 1.52

Fernando escreveu, no xoops.org:
Mastop Publish was developed from zero and dont use the Spaw Editor, but TinyMCE.
XT-Conteudo was discontinued lot time ago.
How fix it? Change your xt-conteudo for Mastop Publish.
We will develop a upgrader soon.

Regards

bayma2  Iniciante   Postagens: 1

Bom, gente tem sido muito trabalhoso, tenho 3 portais em XOOPS sendo trilhatrilhas.com esta fora do ar no momento por mais um ataque é o terceiro consecutivo, já tinha feito todas as recomendações apaguei a pasta spaw atualizei a versão para a 2.0.16 instalei o protect mais recente, mais fui atacado de novo, e acredito ser esses mesmos caras (netboys), pior que não é um portal comercial, e a única coisa que me tem causado os ataques é trabalho. os outros dois portal que tenho aconteceram a mesma coisa só que aí tive apagar tudo mesmo e começar do zero, sequer instalei o módulo xt-conteúdo que acho que deve ser condenado, pelas falhas críticas de segurança.

Luis Miracco  Iniciante De: Curitiba - Paraná - Brasil  Postagens: 17

Pois é amigo,

Tenho alguns portais em XOOPS e também estou enfrentando problemas, e, ao que parece, terei de estar atento o tempo todo... um simples descuido pode ser fatal... mes passado (julho) tirei uns diazinhos de férias e tiraram um dos meus portais do ar.

Tomei todas as precauções de segurança sugeridas, (a tal pasta spaw do xt-conteudo, tinycontent, atualização de módulos etc.) e os problemas continuam.

Os problemas mais comuns que tenho percebido são:

- Inscrições fantasmas, sempre. Logo que detecto, apago;

- Comentários esquisitos nas 'noticias', mesmo que esse recurso esteja desabilitado;

- Meu servidor suspendeu já por duas vezes alguns domínios por estarem sendo utilizados de forma indevida, e o motivo: usaram o sistema para espalhar spans com virus, trojans, etc. Segundo o suporte técnico do meu host, foi uma vulnerabilidade no XOOPS.

Estou tomado de um sentimento de insegurança... por essas e outras, parece que, a qualquer momento tudo pode ir por água abaixo, e a sensação de ter entrado numa ROBADA ao ter escolhido o XOOPS.

Será?

Olô comunidade (em especial para o pessoal da Celepar, que é ligada ao Governo do Paraná que "Usa e Abusa do Software Livre" e promove a utilização do XOOPS, possui recursos e pode utilizá-lo, se quiser) o que pode ser feito?

A proposito, neste momento, aqui no xoopsBR, estou vendo no módulo de utilizadores: último cadastrado: "alexs1011" isso se parece muito com um dos invasores que tenho apagado, vejam ai.

De qualquer forma, estou a disposição para ajudar, dentro das minhas possibilidades e conhecimento (não sou um super mega master programador, nem me (d)formei na 'universidade'), sou auto-didata, o que aprendí foi fuçando.

E por último, uma sugestão (em especial também para o pessoal da Celepar): O Governo do Paraná deveria utilizar sua estrutura para aproximar técnicos e especialistas da comunidade de utilizadores e cidadãos interessados, com cursos, oficinas, workshops, etc.

Grato !

Ney Barbosa  Iniciante De: Salvador - BA - Brasil  Postagens: 1

Bom, pessoal.

Estou analisando a ferramenta e, como já venho de um outro CMS, onde os ataques se tornaram rotina, me veio a pergunta:

- CONTINUAREI EU A TRILHAR O MESMO CAMINHO E TER OS MESMOS PROBLEMAS DE OUTRORA?

Foram noites e noites sem dormir, buscando solução para conter a onda de ataques.

Me apresentaram o XOOPS, com a promessa de ser melhor em tudo com relação ao outro, inclusive em segurança e agora me deparo com este tópico.

Preocupa-me tal situação pois, além de portais pessoais, administro portal de cliente e, alguns que estão surgindo, estarei implantando em cima do XOOPS.

Com a palavra, por gentileza, os entendidos no assunto e, como citou, acima, nosso colega "luismiracc": "em especial para o pessoal da Celepar, que é ligada ao Governo do Paraná que "Usa e Abusa do Software Livre" e promove a utilização do XOOPS, possui recursos e pode utilizá-lo, se quiser".

Vamos ver no que dá!

Abraços a todo(as).

cleandes  Iniciante   Postagens: 0

É galera, infelizmente a situação esta complicada, na última semana um de meus portais em XOOPS foi hackado e colocaram dentro do serivodr uma rquivo de vídeo que fazia com o servidor trabalhasse muito, e toda hora meu servidor tirava o portal do ar, isso deu muita dor de cabeca, só fui descobrir quando percebi que o sistema que teria 20Mb, estava com 100Mb, então quando fui fazer um backup, descompactei o arquivo e deu erro na descompactação, nesse erro mostrou um arquivo doido de vídeo .xvid, só aí que fui perceber e então pude resolver o problema, ontem o mesmo portal foi atacado pelo tinycontent.
A situação esta complicada!

suico  Iniciante   Postagens: 18

Arrumou a questão do envio de emails?
http://xoops.org/modules/news/article.php?storyid=3801

BoOoT  Iniciante De: Moro Na Minha Casa  Postagens: 0

Mais ae é que esta o Xisss da questão.

Nada é 100% seguro e o XOOPS não foge a essa regra basica.
O que tem que se atentar é para Vulnerabilidades que são descobertas.

Quando isso acontece se o módulo não foi descontinuado (se foi tente localizar outro mod corrente semelhante)
Esse módulo é atualizado reparando a tal vulnerabilidade,mas se os admins.
Não ficarem espertos e atualizar a versão do XOOPS e dos mods.

O que vai acontecer é isso ae.

Eu não posso fazer comparações entre o XOOPS e outro cms.
Pois sempre utilizei XOOPS.. E RECOMENDO

  Pesquisa avançada






Entrada

Codinome:


Senha:





Perdeu a senha?  |Cadastre-se!


Quem nos visita
Há 41 visitantes neste momento... (21 na seção Fóruns)

Associados: 0
Anônimos: 41

outros...

Banner XOOPS Cube