Tema: Ataque al servidor de mundodvd

Gracias al aviso de algunos de vosotros hemos podido detectar un ataque hacker contra el servidor de mundodvd, que había efectuado modificaciones en la estructura de ficheros del foro para incluir un código malicioso ejecutable a través del navegador.

En estos momentos podemos decir que el problema ha sido solucionado, pero no abriremos el foro hasta que todo esté 100% revisado y controlado.

Lamento las molestias que el ataque pueda haberos ocasionado y os recomiendo que efectueis un análisis con el antivirus de vuestros equipos para descartar cualquier problema.

Cronología:

El ataque se inició el martes 17 a las 21:23h, momento en el que los intrusos lograron reventar la contraseña de acceso al dominio mundodvd (8 caracteres alfanuméricos por aquel entonces) para inyectar de forma automática un código malicioso en los ficheros js del foro que redirigía los accesos web a diversos dominios extranjeros de alto riesgo.

El miércoles 18 a las 7:30h comprobamos 2 avisos de usuarios del foro, alertando sobre una alarma en sus programas antivirus referente a la conexión con mundodvd, por lo que procedimos a revisar la estructura de la web en busca de códigos maliciosos. El código fuente de la web estaba limpio, pero al realizar algunas búsquedas en profundidad descubrimos que los citados scripts estaban incluidos en los archivos referentes a funciones internas (menús desplegables, acciones ejecutadas por el propio sistema del foro, etc.).

A las 08:30h habíamos detectado el problema y procedimos al cierre de la web, pero los códigos inyectados habían comprometido el funcionamiento interno del panel de administración de vbulletin y nos resultó imposible desactivar el foro hasta las 09:42h, momento en el que localizamos y todos los errores referentes al sistema interno de administración y procedimos a su modificación.

A partir de esa hora nos dedicamos en exclusiva a la detección de los códigos en superficie (en las páginas de inicio accesibles pese a que el foro estuviese cerrado) para evitar que todos los que intentabais conectar al foro tuvieseis problemas con los archivos infectados. Una vez solucionado ese punto, procedimos a revisar toda la estructura de la web, y pese a que es difícil explicar con palabras la magnitud del problema (miles de archivos modificados con diferentes cadenas y dominios), al mediodía podemos decir que el problema había sido resuelto y sólo quedaban algunos flecos ajenos al malware que revisar (incompatibilidades en la mayoría de plugins derivadas de los cambios realizados). Aprovechando el cierre de la web procedimos a la actualización de la versión vbulletin a la última 3.8.x estable para descartar posibles bugs e iniciamos un servicio de monitorización para comprobar que los intrusos no pudiesen acceder de nuevo al servidor.

Esta mañana hemos revisado los intentos abortados de acceso y toda la estructura de la web para garantizar que la entrada al foro vuelve a ser 100% segura, y ahora mismo estáis leyendo estas líneas porque pensamos que lo principal era manteneros informados sobre todo lo acontecido.

En el caso de que accedieseis a mundodvd.com en la noche/madrugada del martes al miércoles os recomendamos realizar un chequeo en profundidad de vuestros ordenadores a través de los programas antivirus que tengáis instalados para descartar posibles problemas. En general, casi todos los navegadores en sus últimas versiones incorporan filtros de seguridad que impiden este tipo de actividades, pero es aconsejable:

1. Actualizar el navegador web que utilicéis.
2. Actualizar todos los programas antivirus que tengáis instalados.
3. Tener el sistema operativo actualizado.
4. Realizar un test de vuestra máquina en profundidad.

Son pasos básicos que todos los usuarios deberíamos dar cada cierto tiempo, pero en casos en los que podríamos haber comprometido la seguridad de nuestros equipos considero necesario llevar a cabo todos los procesos citados.

Posibles herramientas antivirus:

Microsoft Security Essentials: http://www.microsoft.com/security_essentials/
AVG: http://free.avg.com/es-es/inicio (junto a http://linkscanner.avg.com/)
Avast: http://www.avast.com/es-ww/free-antivirus-download

NOD32: http://www.eset.es/productos/eset-nod32-antivirus

Lamentamos todas las molestias que el ataque haya podido ocasionaros y esperamos no tener que sufrir este tipo de ataques en el futuro.

Muchas gracias a todos por vuestro apoyo.

Jopé. ..

Pregunta desde la ignorancia, ¿Hay alguna posibilidad de saber quien ha sido el cabrón?

Iniciado por alvaroooo

Jopé. ..

Pregunta desde la ignorancia, ¿Hay alguna posibilidad de saber quien ha sido el cabrón?

Durante la madrugada del martes al miércoles tenemos accesos no autorizados desde muchas ip's (y países), por lo que es casi imposible detectar a los auténticos culpables (ojalá pudiésemos dar con ellos).

He intentado documentar todo lo acontecido para informaros a vosotros y por si sirve para los administradores de otras páginas, ya que al investigar sobre lo sucedido he visto que en los últimos días los ataques a foros y websites se ha intensificado considerablemente. Espero que puedan dar con algunos de esos sinvergüenzas.

Gracias a todos los que habeis trabajado en arreglar el foro y a todos los que dieron su apoyo

Vaya manera de joder al personal. Gracias por el curro que habéis hecho para que todo funcione bien otra vez.

Ok,entendido

Volvamos a la carga...

Estupendo de que se haya solucionado el problema,gracias a todos los moderadores y staff de este magnifico foro por la pronta rapidez en solucionar el problema y de que muchos podamos seguir disfrutando de tan estupendo sitio de intercambio de opiniones y conocimientos.un saludo

Iniciado por swearengen

Realizar un test de vuestra máquina en profundidad.

¿Sería alguien tan amable de decirme cómo se hace esto explicándolo como si fuera para idiotas?

A mi mientras navegaba por el foro el NOD32 me detecto un intento de acceso desde una pagina rusa, no recuerdo el nombre, pero si recuerdo perfectamente que era .ru. El NOD32 me bloqueaba continuamente esa direccion a la que intentaba acceder .

Voy a dejar esta noche el antivirus dando caña, y ya por la mañana le pasare varios programillas mas.

Que cabrones, no os podeis hacer una idea del daño y de las cosas que pueden llegar a hacer...

Saludos

Iniciado por Huw Morgan

¿Sería alguien tan amable de decirme cómo se hace esto explicándolo como si fuera para idiotas?

+1...

Y también sí sirve para Mac.


Thanks!!


PD: Hay varios emoticonos que aún no funcionan; ignoro sí me pasará sólo a mi...

Iniciado por Ribus

Y también sí sirve para Mac.

Me uno a la pregunta de Ribus. Entiendo que los que accedemos al foro a través de otros sistemas operativos (mac, linux, iOS, etc.) no tenemos de qué preocuparnos en este caso concreto, pero me gustaría estar seguro. Más vale prevenir que curar...

Saludos!!!

Iniciado por Huw Morgan

¿Sería alguien tan amable de decirme cómo se hace esto explicándolo como si fuera para idiotas?

Iniciado por Ribus

+1...

Y también sí sirve para Mac.


Thanks!!


PD: Hay varios emoticonos que aún no funcionan; ignoro sí me pasará sólo a mi...

Iniciado por dawson

Gracias por la información. Es bueno que habéis dado detalles de los hechos. Menos mal que el temporal ha amainado
Yo, con el AVG cuando entré la mañana de anteayer me detectó algo, y salí rápido. Eran las 8 y pico. Volví a entrar el mediodía y al parerceer habia una nota diciendo que estaba cerrado Mundodvd y que estaban solucionando este desmadre.

Edito: a mí también me pasa lo de que no se ven algunos emoticonos. Supongo que más adelante se verán. Vamos, digo yo

Iniciado por Sr. Barlow

Me uno a la pregunta de Ribus. Entiendo que los que accedemos al foro a través de otros sistemas operativos (mac, linux, iOS, etc.) no tenemos de qué preocuparnos en este caso concreto, pero me gustaría estar seguro. Más vale prevenir que curar...

Saludos!!!

Tenéis que actualizar al máximo vuestros antivirus y realizar un scan en profundidad de vuestros equipos (habitualmente permiten scan rápido o scan en profundidad). Los que tengáis Mac no habréis sufrido estos problemas.

El problema de los emoticonos está relacionado con todo esto. No es porque estuviesen modificados por los intrusos, pero sí tuvimos problemas con algunas de las rutas que habían sido modificadas. Estamos trabajando en ello y esperamos tener todo 100% operativo a lo largo de la semana que viene

Gracias por solucionar el problema.
No entiendo como hay tanta gentuza con ganas de hacer daño.
Ojalá los pilléis.

Como los demas, agradecer a los que se curran todo esto que el problema, por no decir putada, esté solucionada.
A mi, ayer por la mañana, cuando me intenté conectar al foro, me salto el AVG, pero pudo bloquear el ataque, después, ya no puede bajo ningun concepto acceder al mismo para dejar un aviso.

En fin, que muchas gracias de nuevo ;)

Mucha suerte con el tema y si necesitais ayuda, seguro que en el foro hay mucho experto!

¿Y se sabe qué clase de software malicioso se quería colar en nuestros ordenadores?
He chequeado en profundidad y no noto nada raro, ni nuevos archivos, ni conexión lenta, ni lentitud del sistema. ¿Qué se colaba?.

Lamento los problemas quehabéis tenido por culpa de una panda de indeseables

Buen trabajo, y gracias por solucionarlo tan pronto.

Muy buen trabajo, gracias

Iniciado por El Fanegas

¿Y se sabe qué clase de software malicioso se quería colar en nuestros ordenadores?
He chequeado en profundidad y no noto nada raro, ni nuevos archivos, ni conexión lenta, ni lentitud del sistema. ¿Qué se colaba?.

Desconocemos el final del proceso que ejecutaba el script, pero pensamos que podía tratarse de un troyano inyectado para controlar el equipo. Una herramienta de control remoto que podía ser utilizada posteriormente por el intruso o intrusos.

Iniciado por heroedeleyenda

Buenas, yo estuve entrando y el antivirus me decía que estaba siendo atacado desde la dirección ip tal y tal

es decir que entonces me puedo ahorrar un análisis del PC no? supuestamente el antivirus me lo detecto en el acto

en fin, me alegro de que lo hayáis solucionado todo, ahora a seguir posteando

Nunca está de más analizar en profunidad el equipo y asegurarse de que no haya entrado por otro sitio. En los tiempos que corren es absolutamente necesario estar protegidos frente a posibles amenazas.

Gracias a todos por vuestros mensajes de apoyo y vuestros agradecimientos

Yo he formateado esta mañana el PC y desde hace un buen rato estoy instalando los programas y demás (inicio, reinicio), que menudo coñazo que es. Alucino que haya gente que tenga unas ideas tan retorcidas sólo por hacer daño, que mundo este.

No se que cojo..es sacan de hacer estas cosas en este tipo de foros tan ilustrativos.

Iniciado por Kyle Reese

Yo he formateado esta mañana el PC y desde hace un buen rato estoy instalando los programas y demás (inicio, reinicio), que menudo coñazo que es. Alucino que haya gente que tenga unas ideas tan retorcidas sólo por hacer daño, que mundo este.

Kyle, querido amigo, ¿has tenido que formatear por el dichoso bichejo que atacó el foro?. Yo no he notado nada raro en mi ordenador. He escaneado con mi antivirus (G DATA) y no detecta nada. También he escaneado con software específico antispyware (Spyware Doctor, Malwarebytes y Spy Sweeper) y tampoco han visto nada raro.

Mi recomendación es la misma que ha hecho Swearengen, analizarlo aunque no hayáis notado nada raro.

Por cierto, y no es por ser alarmista pero hay ocasiones que los programas antivirus no detectan nada y resulta que el bichejo indeseable está oculto en el sistema. El otro día me pasó con el portatil de mi mujer que tenía el virús de la "doble apóstrofe". Es sencillo de saber que estás infectado porque al intentar escribir un acento aparecen dos apóstrofes. Lo intenté con todo el software recomendado para su eliminación y no había forma. Finalmente tuve que seguir los consejos de un foro antispyware, donde recomendaban el uso de la herramienta Combofix que no está precisamente indicada para un uso habitual por su enorme potencia y riesgo de dejar el equipo como la mojama.

Saludos, El Nota.

Iniciado por swearengen

Desconocemos el final del proceso que ejecutaba el script, pero pensamos que podía tratarse de un troyano inyectado para controlar el equipo. Una herramienta de control remoto que podía ser utilizada posteriormente por el intruso o intrusos.

Ante todo agradeceros a todos, administradores y foreros, todos, el trabajo que os habéis pegado y el apoyo que estáis dando con este hilo. No sabéis cuánto he echado de menos los ratillos que me paso en el foro, así que muchas gracias.

Dicho esto y advertido por el foro, al haber entrado al mismo la noche-madrugada del martes al miércoles (quién no), añado que le he pasado el Panda a mi equipo por si las moscas, y efectivamente ha localizado y eliminado 2 troyanos. En principio lo tengo limpio y no noto nada extraño en el equipo, pero seguiré el hilo para ver cómo va evolucionando todo.

Enhorabuena por el trabajo; saludos...

¡Rayos!... espero que no me haya tocado la china.
He escaneado con todo, Java, el system32, registro... y sale limpio, pero nunca se sabe.

Yo cuando volví a entrar, el foro iba mal, no se veía normal, se veía "mal", como mal cargado. Luego cuando volví a entrar ye estaba "precintado". Por mi seguridad(hace un mes que tuve diversos virus en el ordenador y me vi negro para quitarme el último, un rootkit), no se me haya vuelto a infectar.