Seguridad en vbulletin

Yo solo te diré una cosa, vbulletin dudo muchísimo que sea un sistema que hackearia cualquier lammer por lo que si te hackean o bien has cabreado a alguien o es que realmente hay un fallo de seguridad por lo cual por norma general la persona que lo hackea no lo hace con mala intencion, tal vez ni siquiera llege a hacerlo y reporta el bug.

Webs hackeadas que usaran vbulletin actualizado y legitimo no he visto ninguna, salvo ecepciones en las cuales la persona que ha hackeado tenia motivos personales.

Yo actualmente confio en vbulletin y en seguridad y no veo necesario el tomar mas precausiones de las necesarias ni volverme loco por la seguridad.

Ah y dudo muchisimo que obtengan la password del admin puesti que esta codificada y a no ser que utilizen fuerza bruta si no me equivoco a dia de hoy nadie ha roto el algoritmo md5.

Mi humilde opinion =)

Bueno, a mi me han hackeado mi foro, hace menos de 2 horas. Entraron por un bug en los permisos o algo asi. Solo puedo decir que hoy en dia no es confiable estar seguro, siempre hayque tener los ojos bien abiertos a cualquier cosa, y siempre andar sacando tu back up. Especialmente todos los dias...

hola. por supuesto que si se hackea. estos scrits estan echos muy bien y son nuevos. ya tengo reporte de mas de 25 forum que fueron hackeados en los ultimos 3 meses.
me disculpas pero no es como dices de autorizar a alguien o estar dentro o fuerza bruta. asi no funcionan los scrit de javascritp.
y lo del paswor lo sacan por la infecion que dejan en el index. ya lo explique en el resumen del hack. por microsoft.
esto crea un loader que se instala en la pc cuando entras al index. hay mucha inteligencia en el asunto. ya pondre algunos de estos recursos. lo malo es que alguien lo use aqui en contra de algun forum.
tengo mis dudas, de lo que puedan hacer.con esta informacion.
gracias

Creo que nada es seguro al 100%, por eso hay que estar atentos a los "bug" reportados en vBulletin.com y aplicar las correcciones o actualizaciones pertinentes.

Si por culpa de algo instalado en tu pc consiguen entrar a tu foro con permisos de administrador, no es falta de seguridad de vBulletin, es problema del usuario que no vigila que instala o se instala en su ordenador.

Vuelvo a insistir que dudo muchísimo que puedas obtener el password desencriptado, es decir, el password que tu introduces al loguearte, que es muy diferente de obtener el password encriptado.

Como dice mcloud no hay nada 100% y como ya dije, si mantienes vbulletin actualizado al dia y tienes dos dedos de cabeza las probabilidades de ser hackeado sin mas son ínfimas.

Ahora si eres un merluzo y de password usas tu fecha de nacimiento por ejemplo, o se han colado a traves de tu pc eso ya son errores del administrador y no de vbulletin.

De esos 25 foros que han hackeado, cuantos han reportado un bug en vbulletin? Por que hay mucho lammer que por suerte o por otros métodos consiguen hackear un foro y alardean de haber roto la seguridad de vbulletin, pero si después no reportan el bug, yo personalmente no me creeria que haya sido por un bug de vbulletin.

Hoy en día cualquiera es webmaster, y hay mucho incompetente en materia de seguridad, y yo soy uno de ellos, pero a diferencia de mi, muchos lo primero que hacen cuando les hackean, "es que la culpa la tiene vbulletin" cuando eso no es cierto.

How to avoid being damaged by the phpBB worm
As many of you will be aware, sites running phpBB have been dropping like flies over the past few days, due to a vulnerability in older versions of phpBB.

BBC news article

While vBulletin itself is not vulnerable to attack, if your vBulletin is installed on a shared server that also hosts vulnerable phpBB boards, you could find that your board suffers collateral damage from the phpBB attacks.

If the phpBB vulnerability is attacked, it will attempt to replace every .htm, .php and .asp file with a defaced version.

If your vBulletin could possibly be installed on a server also hosting vulnerable phpBB boards, we would recommend that you take a few moments to ensure that your script files are not globally writable.

On a unix/linux server, this would involve using 'chmod' to alter the file permissions for all .php, .htm and .asp files to 644.

File permissions can be set via most FTP clients, or if you have SSH access to your server, you can use the following commands:

Código:

 
 Code:
 
cd /path/to/your/vbulletin
 
chmod -R 644 *.php
chmod -R 644 *.htm
chmod -R 644 *.asp

hola. otra forma de asegurar nuestros forums.
gracias

Pero ya este problema es del Hosting y de PHPBB y no de vB.

hola. no se cual es la obsecion con vbuletin, yo estoy hablando de crear metodos de seguridad y defensa para nuestros forums , y se las han agarrado con con el vbulletin.
no se de donde,?
no existe ningun sistema infalible.
segun nuestra compañia. microsoft el problema es muy complejo y existe la brecha.
lo que pocos IT. conocen de este problema. por eso no quiero poner los codigos ya que se pueden aprovechar y crear algunos mejores, pero para joder los sistemas. ya saben nadie confia en nadie. y en la ultima orientacion profecional planteamos evitar poner en publico los codigos de los scripts y exploit por el deface de javascript.
ya que serian muy vulnerables los sitios con un codigo sin proteccion.
ya que hay que utilisar parches que anulen la ruptura por estos metodos.

el que conoce este tema sabe que es muy delicado y desconocido. ya que depende de la iniciativa y la imaginacion en la creacion de estos codigos.
les pondre un ejemplo. muy viejo ya , pero que todabia funciona en algunos url.:.../index.php?params=profile/view/'+union+select+0,username,0,0,0,0,0,0,0,0,0,0,0,0, password,0,0,0,0,0,0+from+members+where+id='1

......pues se van generando de manera logica y por combinaciones de caracteres y signos con un bomber para htlm o http.haciendo combinaciones en java y perla es mas mortifero y efectivo. asi se quiebra el codigo y sus respuestas se descriptan y nos da el pasword y su user.
pero aun mejor son los codigos con los cuales se incorporan o se dejan introducir una infeccion en el codigo original y se activan los proyanos con los exploit al dejarlos grabados en el codigo original del sitio. cualquier user que entre a esa web queda infestado.
esto lo usan mucho en los sitios de ****ografia.
bueno espero haberlos orientado un poco,
mi objetivo es crear un grupo de tecnicas y programas para aumentar la seguridad de nuestros forums, no me he quejado de la calidad del vbulletin. ningun programa es infalible.
gracias

Ese codigo no funcionaria ya que las cabeceras ninguna se encuentra en los archvios de vB. Por mas que existiera necesitarias contar con un security token vlaido, cosa que solamente se genera con aleatoriamente y se verifica en la base de datos, suponinedo de haber pasado todas estas trabas, ademas el password estara encriptado usando doblemente md5 y con un hash tambien generado aleatoriamente, suponinedo que tambien consigas el hash, la desencriptacion de md5 será mediante fuerza bruta, que puede tardar desde 24 horas hasta años.

Ademas el codigo si se inserta en la web que visitas, la unica manera de subirle al servidor es hackeando el servidor, si lo logran sigue siendo problema del servidor y no de vB.

Si hackean la pc del usuario, es problema del usuario y no de vB.

Es verdad que no hay un sistema infalible, pero hay factores que lo hace mas o menos.

habanero68, si hablamos de vbulletin es porque ese es el sitema de foros con el que tratamos en vBhispano.

No tiene sentido tratar aquí la seguridad de Windows, Linux, Apache, etc... que aunque pueden afectar a nuestros foros, tiene mas sentido tratarlo en otros sitios, ya que a muchos de los usuarios, mas que ayudarles, les confundiría aun más.

No es que el tema no sea interesante, pero has de comprender el por qué hablamos de vBulletin.

hola. estoy de acuerdo con todos. ballamos al tema de vbulletin. que es lo que nos interesa.
otro resumen. miren..
vBulletin Version

1. First and the foremost, upgrade to the latest stable vBulletin release. Don’t run beta releases on a live production environment. They are beta for a reason (they are under testing and may contain unconfirmed bugs and loopholes).
Secure Passwords

2. This is more of a generalized tip: Use a long, secure password for your administrator accounts. Best is to utilize both cases (upper case and lower case letters) as well as numbers. Also make sure your passwords don’t contain any word that can be ‘related’ to you in any way. Use absolute random Alphanumeric strings as passwords.
To generate such strings, you can utilize this online tool : GRC | Ultra High Security.
3. In addition, use different passwords for your different admin access accounts : Forum account, AdminCP password, hosting control panel (for eg, cPanel), database user, etc. So, in case one password is leaked, your other admin accounts would remain safe.
/includes/config.php Tips

4. Set yourself as an undeletable/unalterable user in the vBulletin’s config.php file (found in the /includes/ directory in forum root). Find the code shown below in your config file and replace 1 with your actual UserID.
$config['SpecialUsers']['undeletableusers'] = '1';5. Make sure that nobody has the ability to run database queries directly from the AdminCP. (Not even yourself !) You will rarely ever need to run DB queries from here. So you can blank out everything between the two quotes (’), as shown below :
$config['SpecialUsers']['canrunqueries'] = '';6. If you have multiple administrators on your Forum, then you can set yourself as the Super Administrator; and then control the permissions of other administrators (of what and what-not actions the other admins can perform). Here also, replace 1 with your own UserID.
$config['SpecialUsers']['superadministrators'] = '1';7. Whatever action an administrator performs in the Forum, is logged / written to the database; so it can be useful in keeping a track of what changes your other administrators and co-admins are making on your forum. So at max, only one person (ie YOU) may have the permission to prune the admin logs.
$config['SpecialUsers']['canpruneadminlog'] = '1';Rename Control Panels

8. By default, the Administrator and Moderator control panels are located at /admincp/ and /modcp/ respectively. Everybody knows that these are the default CP locations in vBulletin. So, it’s best to change these paths. You should rename /admincp/ to something like /my-area51/ . Similarly rename the /modcp/ directory too, via FTP.
And whatever changes you make to your CP directories, make sure you set them in the config.php file too. For example :
$config['Misc']['admincpdir'] = 'my-area51';$config['Misc']['modcpdir'] = 'the-mod-room';Critical Files

9. If you have ever used tools.php file to fix your broken vBulletin installation, or ImpEx to import threads/posts/users to your Forum; double-check and make sure they aren’t on your server anymore.
CHMOD 644

10. For those who are on a shared hosting environment, CHMOD all your PHP files’ permission to 644. You can do this easily via any FTP client. This would ensure that your files are writable by only other files under your hosting account; and not from any other hosting account on the same shared server.

la continuacion....
Securing your AdminCP

11. If you are using the Apache webserver, create a .htaccess file in your AdminCP directory, with the following content in it:
order deny,allowdeny from allallow from xxx.xxx.xxx.xxxReplace xxx.xxx.xxx.xxx in the above code with your actual IP address, like 122.168.8.149 If you are on a dynamic IP, put only the first two octets of your IP address, like: 122.168. (notice the dot at the end). To find out your IP address or range, go to WhatIsMyIP.com
If you have multiple administrators on your website, put an 'allow' entry in your .htaccess for each of the administrator; like this :
order deny,allowdeny from allallow from 122.168.8.149allow from 123.175.249.49allow from 123.176.245.45NOTE: When you ever need to give out your AdminCP login credentials in a support ticket, for example at vbulletin.com or vbseo.com; comment out all the lines in your .htaccess file in your AdminCP as shown below, by adding a hash (#) to the start of each line. (So the support staff can access and login to your AdminCP)
# order deny,allow# deny from all# allow from 122.168.8.149After you're done with the ticket, uncomment the lines to enable the IP restriction again.
12. Having a secure password for your Forum's admin account and IP protecting the AdminCP directory is sufficient. But still, if you (are paranoid and) want an added layer of security, consider password protecting your AdminCP and ModCP directories additionally via .htpasswd/.htaccess
Guide on how to do it can be found at JavaScriptKit.com
HTML in Posts

13. Never ever allow users to post raw HTML anywhere on your Forum. Since vBulletin lacks the functionality to enable or disable raw HTML input on a per-usergroup basis, it's better to keep this feature disabled.

• While adding or editing forums and sub-forums via the "Forum Manager", just make sure that the Allow HTML setting under the Enable / Disable Features section is set to No.
• Similarly, while adding or editing usergroups via the "Usergroup manager", make sure that the Allow HTML setting under the Signature Permissions section is set to No, too.

(Not to be confused with the 'Allow HTML BB Code' setting; which can be safely enabled.)
Hard-Delete Posts

14. There are two types of deletions in vBulletin: Soft-delete and hard-delete. Soft-delete effectively 'hides' the post from the users. Administrators and Moderators can still access and view that post, and can un-delete / restore the post if needed.
Whereas Hard-delete removes the post from the database, with almost no chance of recovery. To check and revoke the permission to hard-delete posts from a Moderator, go to:
AdminCP » Forums & Moderators » Show All Moderators
Click on the [Edit Permissions] link beside each Moderator or Super Moderator's name and check the Can Physically Delete Posts setting. (Make sure the 'No' option is selected)
Secure your PC

15. Keep your PC clean and free from any malware (Virus, Trojans, Spyware, Rootkits, etc.). Some are notorious for stealing important and sensitive information from your computer like account passwords (including your websites' FTP details); and infecting HTML & PHP files on your machine.

hola, espero que despues de leer estos detallados articulos me entiendan mejor todo esta relacionado y no importa el sistema o el lenguaje.

Information on the Gumblar Virus - vBulletin Community Forum

Gumblar .cn Exploit – 12 Facts About This Injected Script | Unmask Parasites. Blog.


espero que comprendan mejor...
gracias

Mas alla de lo interesante del tema, seria bueno que tengan en cuenta que esta es una comunidad Hispana y el idioma en que se postea es el Español. Traduzcan las cosas antes de postearlas por favor, de lo contraio centenares de usuarios no entenderan lo que se esta hablando y esa no es la idea.

Saludos

hola. como pueden ver si hay forma de poder flanquear el sistema . y esta informacion nos sirve para saber como poder defendernos.
gracias

1º Actualizar a la ultima version y no usar betas en webs en producción: Yo creo que esto es algo normal y que todo webmaster con dos dedos de cabeza haría, menos yo claro, que uan sigo con la 3.7.2 xD

2º Usar contgraseñas dificiles: Otra mas de pura logica, y no solo para vbulletin, sino para todo.

3º Diferentes contraseñas para las diferentes cuentas: Mas de lo mismo, pk si te sacan una contraseña, que solo sea esa.

4º, 5º, 6º y 7º Consejos sobre la confianza: Todos esos consejos solo sirven si no confias en otro admin por ejemplo, y yo no se vosotros, pero yo no doy acceso a cualquiera a mi web.

8º Cambiar de ruta la carpeta del admincp y el modcp: esto es util si te han robado la contraseña por que de lo contrario poco pueden hacer sabiendo la url.

9º blabala

bla

bla



Ya me canse de comentarlos xDD

En resumidas cuentas todos estos consejos que vienen a ser? Consejos basicos ante negligencias del administrador, razones por la cual se producen la mayoria de hackeos, por que "cualquiera" es "webmaster" y pasa lo que pasa, que no se tiene ni idea y se carece de sentido comun.

Aun sigo esperando razones de peso que demuestren que el sistema de foros vbulletin es inseguro por que hasta ahora solo se ha ratificado lo que ya sabia, que la estupidez humana no tiene limites. (es una forma de expresar, no vaya a pensar la gente que la llamo estupida...)