¿De qué trata la redirección a File2store.info?

Originally Posted by eliteguias

no es de vbulletin.... no es de vbseo.... entonces quien coño tiene la culpa?

en respuesta a: http://www.vbseo.com/f3/hacked-url12...tml#post332546

Hola Diego,

En primer instancia, te agradezco por el uso que harás de un lenguaje moderado de hoy en adelante.

De todos los reportes que hemos recibido por parte de los clientes de vBSEO que se han visto afectados (y de varios más que *nunca* utilizaron vBSEO en su foro), hay detalles que coinciden en la mayoría de los casos:

* Servidores con pobres directivas de seguridad
* Software desactualizado
* Uso de librerías desactualizadas (Opción "Use Remote YUI" en el panel de administración de vBulletin - Yahoo! User Interface Library)
* Existencia de un bug de seguridad con MySQL y el uso de bases de datos remotas
* Etc.

Muchos usuarios de vBulletin han pretendido culpar a vBSEO por este bug de seguridad presente en servidores web, puesto que uno de los plugins de vBSEO es el que se modifica para almacenar el código malicioso en la base de datos. Sin embargo, hay reportes que incluso indican que sitios web que ni siquiera ejecutan vBulletin se han visto afectados a causa de la redirección. Esto puedes confirmarlo en esta noticia: Google alerta a 20 mil sitios web que redirigen tráfico a páginas maliciosas - Computerworld

Además de ello, el problema con este asunto de seguridad va más allá, puesto que al momento de darse una redirección, se descarga al ordenador del usuario un troyano que se encarga de hacer casi permanente el problema; situación la cual está fuera de nuestro alcance (la mayoría de visitantes ni se dan cuenta del problema).

Ahora pasaré a explicar cada una de las causas mencionadas con anterioridad:

Servidores con pobres directivas de seguridad y software desactualizado: Esto se debe básicamente a que muchos usuarios, al momento de comprar hosting, no se toman el tiempo de realizar una auditoría de los posibles hoyos de seguridad que puedan existir en el servidor. El uso de software desactualizado como Apache, PHP, MySQL, entre otros; representa uno de los mayores riesgos de seguridad. Esto aunado al poco conocimiento en materia de seguridad y a la negación de la aplicación de consejos de seguridad básicos (acá otros más) en los foros de nuestros usuarios.

Cosas básicas que deben revisarse:

* Verificación de permisos asignados a los directorios y archivos que albergan el foro y cualquier otro software instalado: Es estrictamente necesario saber que en directorios con permisos 777, cualquiera tiene permitido escribir.
* Actualización de software: Mantenerse al tanto de ejecutar siempre las últimas versiones de vBulletin (quienes constantemente liberan parches de seguridad)/vBSEO. Además de Apache (o cualquier otro servidor web), PHP y MySQL.
* Instalación de protección antivirus y anti-spam en el servidor.


Uso de librerías desactualizadas: Una de las posibles causas del problema de seguridad que se expone en este tema es el uso de librerías YUI desactualizadas. Un cliente de vBulletin ha expuesto esta situación aquí, después de investigar a profundidad las posibles causas del problema: vBulletin Redirect Exploit - Admin Zone Forums

Y aquí se confirma ese exploit en las librerías YUI: YUI 2.8.2 Security Bulletin

Aquí exponen como poder actualizar la versión de YUI usada por vBulletin: Admin Zone Forums - View Single Post - vBulletin Redirect Exploit


Existencia de un bug de seguridad con MySQL y el uso de bases de datos remotas: djbaxter, uno de nuestros clientes, al haberse afectado por este problema de seguridad, recurrió a una compañía experta en seguridad que logró determinar otra posible causa del problema en servidores que ejecutan vBulletin y tienen una configuración específica. Él expone su caso en este mensaje: https://www.vbulletin.com/forum/show...=1#post2185388

Así que como puedes ver, hasta el momento *ninguna* de las posibles causas apunta a vBSEO como el culpable de este problema de seguridad.

Espero que esta información te resulte útil, y también para los demás clientes de habla española.

Pues ya he seguido todas esas recomendaciones y sigo con el problema igualmente

lo de los permisos sería interesante un post centrado con como había que dejar cada directorio y cuales habría que proteger con el .htaccess (y como protegerlos) ¿sólo los 777 o también los 775? Por que aquí se encuentran 1000 post cada uno con un trocito de información y en ninguno se da una solución definitiva. Tampoco la gente de mi servidor encontró solución a esto.

Si envías un ticket con detalles de acceso FTP, Admin CP y la contraseña del panel de control de vBSEO, podría realizar una auditoría y verificar los posibles hoyos de seguridad que permiten la inserción de este exploit.

Los datos del FTP está claro, el "Control Panel Password" también, pero el Admin CP a que te refieres con eso? Y el ticket lo vas a responder tú u otra persona? Lo digo por el idioma con el que me tenga que comunicar por allí.

El ticket puedes formularlo en el idioma de tu preferencia.

Con respecto a Admin CP, hacía referencia al panel de administración de vBulletin. Así mismo, me indicas por favor si accedes a los controles del servidor mediante algún panel de control, como cPanel.

Ya está enviado, estaré atento a este tema y a los tickets.

soluciones intentadas, empresa de hosting contactada y sin que detecten ningún problema, tickets de vbseo sin responder ( que no van a estar eternamente en el aire sin recibir respuesta.... tienen los datos de acceso y contraseñas de mi web)... y sigue el problema.

Estoy con el maldito mismo problema.

Ayer actualice a la ultima version de vbseo y el problema se resolvio. Hoy estoy otra vez igual desde hace media hora por lo que pienso que el problema si aue puede estar en el plugin de vbseo. Pero igual, nadie da una solucion al problema

Originally Posted by Andrés Durán Hewitt

Si envías un ticket con detalles de acceso FTP, Admin CP y la contraseña del panel de control de vBSEO, podría realizar una auditoría y verificar los posibles hoyos de seguridad que permiten la inserción de este exploit.

Hola Andrés. Hace tiempo sufrí este problema, implemente medidas de seguridad y durante un mes pareció que ya no ocurría, pero ahora ha vuelto. Puedo crear un ticket para que también realices una auditoría de mi foro?
A mi me redirige a:
"http://url123.info/f6b6d33f".

Gracias

Después de investigaciones intensivas llevadas a cabo por parte del personal de vBSEO y gracias a un reporte clave facilitado por TopAs, finalmente hemos descubierto el origen del bug de seguridad, y está relacionado directamente con una directiva de PHP llamada "register_globals".

Debido a que en Crawlability, Inc. nos importa la seguridad de los foros de nuestros clientes, Rafael se ha unido al personal de vBSEO como consultor en materia de seguridad, y ha elaborado un resumen de lo que facilitó la entrada del exploit a los foros de nuestros clientes (y de varios más que nunca han usado vBSEO). Pueden encontrar dicho resumen aquí: http://www.vbseo.com/blogs/andres-du...revenirlo-362/

Habiendo dicho esto, para resolver el problema por favor deshabiliten la directiva "register_globals" en el archivo de configuración de PHP (php.ini). Para aquellos que no tienen forma de modificarlo, por favor formulen la solicitud a sus proveedores de hosting.

Cualquier pregunta que ustedes puedan tener puede ser dirigida directamente a Rafael, él también habla español. O también, si lo desean, pueden formular un ticket y cualquiera de nosotros estará más que complacido de responder

Extiendo un agradecimiento muy especial a Luis (alias vbluis) por haber facilitado acceso a su servidor. Esta acción nos permitió poder comprobar que la causa del problema se debía en efecto a la directiva mencionada anteriormente.

Muchas gracias al equipo de vbSeo por su inestimable ayuda y en lo personal a Andrés Durán