Información Vulnerabilidad de xenforo..

totalityforums.net · 20 Julio 2015

Buenas, hago este post informativo ya que en el dia de ayer por la noche y en el dia de hoy mas de 5 webs españolas con xenforo an sido hackeadas de alguna manera entran en el panel de tu hosting,ftp da igual.. obtienen todos tus claves y entran como si nada.. tengo la version de xenforo 1.4.8 no se si debe tener algun fallo o de donde viene el problema.. espero que miren esto y revisen si es fallo de xenforo.. gracias

ProHackers · 20 Julio 2015

totalityforums.net dijo:
Buenas, hago este post informativo ya que en el dia de ayer por la noche y en el dia de hoy mas de 5 webs españolas con xenforo an sido hackeadas de alguna manera entran en el panel de tu hosting,ftp da igual.. obtienen todos tus claves y entran como si nada.. tengo la version de xenforo 1.4.8 no se si debe tener algun fallo o de donde viene el problema.. espero que miren esto y revisen si es fallo de xenforo.. gracias

Es sencillo, mira los logs, y veras la ruta des de donde han accedido y sus ips, si necesitas ayuda, no dudes en ponerte en contacto conmigo

Andros · 20 Julio 2015

Este tema me interesa especialmente, para estar al día con mi comunidad.

Empezemos por partes:

1. Estas en ftp o VPS?
2. Te vas www.miweb.loquesea/admin.php login y te vas a la parte de logs del panel de XF.
3. Revisa los logs a partir de la hora en la que sufriste el ataque.
4. Si has perdido información ponte en contacto con tu proveedor de hosting y pide backup de 24h antes a lo sucedido tanto de db como del dir donde tengas el foro (caso que tengas un vps). Si tienes hosting lo mismo, pero imagino que seguirás vendido porque los hostings tienen el problema de que no actualizan ni por saber morir.

totalityforums.net · 20 Julio 2015

a mi sus ips me dan exactamente igual.. yo lo que quiero es que mireis de donde puede salir el fallo porque igual que he caido yo puede caer hasta esta web.. yo considero que si tengo una licencia pagada estas cosas no me tendrian porque suceder.. a si van a comprar muchas licencias con estas garantias que dais...

luis · 20 Julio 2015

@totalityforums.net tienes que pensar un poco lo que dices y/o escribes, tienes el tema totalmente cambiado o lo que es lo mismo estás totalmente equivocado en tus afirmaciones hacia XenFacil.

XenFacil nada tiene que ver en o con XenForo.LTD. XenFacil es una web particular/personal creada por @lms para que compartamos o lo que se tercie entre usuarios de habla española/hispana que utilizamos o piensan utilizar el software de XenForo.LTD.

Dicho esto y como no le has o habéis comprado la o dicha licencia a XenFacil y si a XenForo.LTD, XenFacil o cualquiera usuario del staff no tiene ninguna obligación para contigo o tu licencia del software de XenForo y no tenemos nada que mirar. Si realmente crees o creéis que hay una vulnerabilidad en el software, (algo que personalmente dudo mucho) a quien tienes o tenéis que reportar/informar es a XenForo.LTD, en su foro de errores o a través del formulario de contacto de la página web de XenForo.

Al o para realizar dicho informe/reporte tendrás/tendréis que demostrar que la vulnerabilidad está en el software y no en vuestras instalaciones (Servidor, cPanel, etc.), complementos que tengas instalados de terceros, etc. Indico esto ya que dices que no te importan las IP's y demás, seguramente tendréis que facilitar/aportar algún tipo registro para confirmar vuestras afirmaciones o acusaciones...

Andros · 21 Julio 2015

totalityforums.net dijo:
a mi sus ips me dan exactamente igual.. yo lo que quiero es que mireis de donde puede salir el fallo porque igual que he caido yo puede caer hasta esta web.. yo considero que si tengo una licencia pagada estas cosas no me tendrian porque suceder.. a si van a comprar muchas licencias con estas garantias que dais...

Aparte de eso se necesitan más detalles

1. Usas VPS o Hosting?
2. Que plugins tienes instalados en xenforo?
3. Cuando y que horas te paso el ataque?
4. Las ips son importantes, fundamentales para denunciar el tema y más los logs para revisar por donde has tenido la entrada, es más sin ellos en xenforo.com que es el soporte oficial no te van a hacer ni caso.

Se necesita absolutamente toda la información de tu foro:

Hosting, que panel usas, si usas vps (de usarlo que tienes instalado que versiones de cada cosa), que tipo de xenforo tienes, que addons, que accesos has tenido con los logs del sistema etc porque sino no te podemos ayudar, falta descripción técnica a mansalva.

Por otro lado y como te indica @luis esto NO es soporte oficial de Xenforo es 1 fan club de usuarios de Xenforo si quieres verlo así en Español, el soporte oficial es www.xenforo.com/customers te metes ahi y abres 1 ticket o incidencia diciendo el asunto en inglés, pero te aseguro que sin descripciones técnicas no van a saber darte con el problema porque precisa de más detalles.

En informática no vale me han entrado que es? espero que no te sepa a mal pero sin mas detalles es imposible que te podamos ayudar aquí o allá

Yo estoy dispuesto a ayudarte como usuario de esta comunidad, pero necesito saber los detalles que te he pedido arriba para poder echarte 1 mano.

lms · 22 Julio 2015

totalityforums.net dijo:
entran en el panel de tu hosting,ftp da igual.. obtienen todos tus claves y entran como si nada.

Ten la completa seguridad de que no se trata de una vulnerabilidad de XenForo sino de algún tipo de vulnerabilidad de tu hosting y del software que usa y que son tu panel de control del host, el tipo de php que se ejecuta, los plugins de seguridad que tiene, etc.

Si te acceden al FTP es que tienen tus contraseñas de la BD y conociendo algo de programación sql te pueden hacer migas. Si te acceden a tu host como si fueras tú, solo podrás decir que no has sido tu por la IP del que ha entrado. Las IP importan.

Salud2

Andros · 22 Julio 2015

Efectivamente y como dice @lms si estas usando un hosting hazte la idea de que siempre serás vulnerable.

Los hosting tu no puedes actualizarlos en cuanto a software se refiere, dependen del proveedor al que tienes contratado el servicio cosa que no es lo mismo que si tienes un VPS, ya que este último lo administras tú y eres el responsable de su mantenimiento y instalaciones.

Los posibles ataques que hayas sufrido si tienes hosting son por los siguientes motivos:

Te han infectado la máquina con un keylogger stealer de manera que cuando has logeado a tu panel de hosting (Cpanel) comunmente, te han robado las credenciales y accedido haciendose pasar por tí.
Se han aprovechado de algún exploit de la versión que se esta empleando de Cpanel, para conseguir así tus credenciales de acceso una vez dentro del Cpanel estas vendido, no puedes hacer absolutamente nada puesto que acceden al panel de bds la bajan, la borran o lo que les de la gana.
Han accedido aprovechandose de algún otro fallo relacionado con el ftp del hosting, mas si estas usando este tipo de protocolo sin emplear SSH.
Se han aprovechado de algún tipo de inyección sqli sobre tu DB, para conseguir tus credenciales de acceso.
Han conseguido averiguar tu contraseña mediante ingeniería social si esta no era muy complicada.
Has sufrido algún tipo de phising con un correo fraudulento que si has aceptado, estas vendido.
Has instalado algún plugin en tu xenforo, que tenga un backdoor y por tanto malware malicioso por detrás ( de ahí que te preguntase cuales tienes instalado).
Se han aprovechado de un fallo en Xenforo (todo es posible se ve en los logs, pero hasta el día de hoy nadie ha logrado por ahora hackear un Xenforo por fallos de seguridad sobre el propio sistema, si hay falsos positivos te lo digo de primera mano porque en mi comunidad hemos testeado el tema y reportado 1 fallo de seguridad leve a Xenforo y no crítico) y te puedo asegurar que miramos el tema de forma continuada, aunque te repito esto NO es soporte oficial es: www.xenforo.com.
Te han capturado la Cookie de sesión si estabas en un pc compartido o dejado tu sesión abierta.

Fíjate si hay formas, me decanto por la segunda si tienes hosting se han aprovechado de algún software sin actualizar que tuviera tu hosting, han empleado un exploit y te han sacado los datos, ante eso estas vendido porque sino actualizan ese software podrán volver a entrar de la misma forma cuantas veces quieran.

Saludos.

ProHackers · 23 Julio 2015

Realmente, lo mejor seria primero descargar todo el contenido del sitio web, y pasarlo por un antivirus, realmente también influye mucho el hosting, por que por ejemplo hace meses sacaron un error en el kernel de seguridad de (Centos o linux) no recuerdo correctamente que sistema era. Lo mejor es que se lo comentes a tu proveedor de hosting, o bien, mires los logs, para ver des de donde accede cada persona.

También recordarte que no hay servidor seguro en este mundo, si vulneran "Ashley Madison" a día de hoy, es posible un foro. No obstante hay que tener mucho rencor para hacerlo y gastar tiempo en un foro.

Saludos y suerte

rykkardo8 · 28 Julio 2015

Hace dias enteros que mi xenforo no paran de atacarlo tengo la ultima version y cambian hasta el index de la pagina todos los complementos son comprados y mi descontento es mayusculo ya que he visto mas de 6 xenforos caer del mismo modo, el ataque es un deface que te cambia el index de la pagina y todo el foro la unica manera es tener backup para restablecerla sino adios a toda la informacion, alguna solucion a este conflicto?

rykkardo8 · 29 Julio 2015

He leido todo el tema a lo que se refieren, tengo varias paginas, entre ellas xenforo ,lo raro es que solo me fastidian el xenforo en si asi que no dudo en que xenforo tenga alguna vulnerabilidad porque he visto caer en estos dias varios xenforos, a las preguntas que haceis esta todo revisado por mis programadores uso un vps de gran capacidad y aun asi cambiamos base de datos contraseñas revisamos absolutamente todo y aun asi, por lo tanto... que sucede con xenforo?

luis · 29 Julio 2015

Sigo diciendo que dudo mucho que la causa de vuestro problema sea una vulnerabilidad en XenForo, aunque hace unos días hayan encontrado una y al poco rato han sacado un parche, más información aquí y aquí...

Mi pregunta para estas webs que decís que son atacadas es ¿Cual o cuales son los denominadores comunes de todas ellas? Posiblemente y lo más seguro es que sea algún complemento. Algo que siempre me ha llamado la atención de estas webs es que prácticamente son todas exactamente iguales, la originalidad brilla por su ausencia. Dicho esto algo de información por aquí acerca del desarrollador de algunos complementos que utilizáis de forma común, si hacéis una búsqueda en XenForo por el nombre de dicho desarrollador encontrareis muchísima más información...

@rykkardo8 antes de que sigas contestando a este tema o cualquier otro aquí en XenFacil, necesitas restaurar los créditos de la traducción que estás utilizando y si no quieres tener los derechos de autor pasa por [url='http://xenfacil.com/recursos/retirar-branding-o-propiedad-de-traducciones.46/']Retirar branding o propiedad de traducciones[/URL]. Si no realizas lo solicitado tu cuenta será restringida...

Andros · 30 Julio 2015

rykkardo8 dijo:
Hace dias enteros que mi xenforo no paran de atacarlo tengo la ultima version y cambian hasta el index de la pagina todos los complementos son comprados y mi descontento es mayusculo ya que he visto mas de 6 xenforos caer del mismo modo, el ataque es un deface que te cambia el index de la pagina y todo el foro la unica manera es tener backup para restablecerla sino adios a toda la informacion, alguna solucion a este conflicto?

Ese defacement tienes alguna idea si ha sido por algo que no tuvieras al día en tu vps ? estabas al día en todas las actualizaciones? imagino que has revisado de arriba a abajo los logs, has conseguido algo?

¿Habéis mirado los plugins y addons que tenéis instalados minuciosamente? el que sean de pago no justifica que esten exentos de fallos ni muchísimo menos. Yo intento usar los mínimos posibles, tengo los justos y huyo de ellos.

lms · 31 Julio 2015

La vulnerabilidad es de xenforo

Insertar CODE, HTML o PHP:

[+] Credits: snop.

[+] Domains: rabbitz.org


Vulnerability Type:
===================
XSS


Vendor:
===================
www.xenforo.com


Product:
=====================================================================
XenForo <= 1.4.9

A compelling community experience. Intuitive. Social. Engaging. Fast.
XenForo brings a fresh outlook to forum software.


Advisory Information:
====================================================

Reflected Cross Site Scripting Vulnerability:


Vulnerability Details:
=====================

No Useraccount required.
------------------------------------

vulnerable URL:
https://website/community/register/validate-field

vulnerable POST parameter:
'name='


Severity Level:
=========================================================
High

[IMG]https://secure.adnxs.com/seg?add=2735784&t=2?[/IMG]

ver esto.

Gracias @rykkardo8

Salud2

totalityforums.net · 1 Agosto 2015

yo ya dije que es vulnerabilidad de xenforo...

iorG19 · 1 Agosto 2015

totalityforums.net dijo:
a mi sus ips me dan exactamente igual.. yo lo que quiero es que mireis de donde puede salir el fallo porque igual que he caido yo puede caer hasta esta web.. yo considero que si tengo una licencia pagada estas cosas no me tendrian porque suceder.. a si van a comprar muchas licencias con estas garantias que dais...

a la hora de validar tu licencia en xenfacil y/o cualquier otro sitio web que te lo pida... esta información no se queda. tras la validación esa información se borra.

ningún dato que tenga que ver con tu licencia (como tu nombre de usuario , dominio, token, etc.) se queda en xenfacil.

lms · 1 Agosto 2015

GeorgioBBLover dijo:
tras la validación esa información se borra.

ningún dato que tenga que ver con tu licencia (como tu nombre de usuario , dominio, token, etc.) se queda en xenfacil.

Cierto, pero nadie hablaba de ello.

totalityforums.net dijo:
yo ya dije que es vulnerabilidad de xenforo...

Muy cierto. además, me demostraste por charla de donde venía. Gracias por haberlo indicado.

Lo han corregido en cuanto han tenido conocimiento de la misma. HAY QUE ACTUALIZAR.

Salud2

ProHackers · 2 Agosto 2015

No obstante me gusta xenforo por su diseño y comodidad, pero esto a la aplicaciones gratuitas como SMF y cosas así que también son desarrolladas por algunos miembros de xenforo, son mejores, menos fallos y mas estables.

Saludos.

iorG19 · 2 Agosto 2015

ProHackers dijo:
No obstante me gusta xenforo por su diseño y comodidad, pero esto a la aplicaciones gratuitas como SMF y cosas así que también son desarrolladas por algunos miembros de xenforo, son mejores, menos fallos y mas estables.

Saludos.

Eeeh ... mmmm ... ¿me estas comparando xF con SMF? ::banghead::

( matemáticamente ) No se pueden comparar. ¡nunca*! Las razones son "infinitas" y deberíamos esperar mínimo 5 años por parte de smf mientras xenforo se irían de vacaciones.

Hay que ver lo que ofrece cuándo salga la estable 2.1.x pero aún así es lo mismo comparar un BMW vs. Kia. Aunque tengan el mismo año de fabricación, no tienen la misma carrocería, ni el mismo motor, ni la misma durabilidad. Da igual cuanto te gastes en pintura, o en tunearlo, seguirá siendo un Kia. Pero eso si, el mantenimiento ( en todos los casos ) es más barato ) ! ::cigar::

rykkardo8 · 2 Agosto 2015

Me alegro que este corregida gracias a todos al menos se encontro de donde venia al momento de darme cuenta todos fueron muy rapidos y salio parche al momento.
Al final te quedas con eso de la rapidez de respuesta, y la calidad de la atencion.

¡Bienvenido a XenFácil!

¡Es gratis!

Información Vulnerabilidad de xenforo..

totalityforums.net

ProHackers

Andros

totalityforums.net

luis

Andros

lms

Andros

ProHackers

rykkardo8

rykkardo8

luis

Andros

lms

totalityforums.net

iorG19

lms

ProHackers

iorG19

rykkardo8

Sobre Nosotros

Productos

¿Dónde estamos?

¡Ayuda al sitio!