Ataques de SPAM

Weed Cleaner · 22 Enero 2023

¡Hola! Como muchos podréis ver, desde hace como 2 semanas se cuela bastante SPAM en el foro. No es algo común, ya que se trata de un ataque generalizado contra Xenforo, Vbulletin, php y otros servidores. Lo extraño y nadie sabe por qué, es que para estos ataques entran en cuentas de foreros. ¿Cómo lo hacen? Nadie lo sabe. Quizá sea una base de datos agregada y compilada a partir de innumerables infracciones a lo largo de los años, un bot puede buscar en Google nombres de usuario que coincidan con los nombres de usuario con contraseñas conocidas en esa base de datos. En este HILO quien quiera puede ver lo que sucede con más detalle y a las conclusiones que se están llegando. Mientras tanto intentamos solucionarlo con parches, que a veces funcionan y otras veces no.

La sugerencia que es que si podéis cambiéis la contraseña, aunque por lo visto los ataques se producen con cuentas con al menos dos años de inactividad. Y también se agradece si cualquier mensaje que veis, lo reportéis. Nos ayudará bastante.

Saludos y perdón por todo esto, es ajeno a nosotros y tan solo esperemos que encuentren una solución.

repele19 · 8 Febrero 2023

Weed Cleaner dijo:
¡Hola! Como muchos podréis ver, desde hace como 2 semanas se cuela bastante SPAM en el foro. No es algo común, ya que se trata de un ataque generalizado contra Xenforo, Vbulletin, php y otros servidores. Lo extraño y nadie sabe por qué, es que para estos ataques entran en cuentas de foreros. ¿Cómo lo hacen? Nadie lo sabe. Quizá sea una base de datos agregada y compilada a partir de innumerables infracciones a lo largo de los años, un bot puede buscar en Google nombres de usuario que coincidan con los nombres de usuario con contraseñas conocidas en esa base de datos. En este HILO quien quiera puede ver lo que sucede con más detalle y a las conclusiones que se están llegando. Mientras tanto intentamos solucionarlo con parches, que a veces funcionan y otras veces no.

La sugerencia que es que si podéis cambiéis la contraseña, aunque por lo visto los ataques se producen con cuentas con al menos dos años de inactividad. Y también se agradece si cualquier mensaje que veis, lo reportéis. Nos ayudará bastante.

Saludos y perdón por todo esto, es ajeno a nosotros y tan solo esperemos que encuentren una solución.

Lo peor de todo compañero, que miras la cuenta y tiene algunos mensajes de ayuda o preguntando por algo y de la noche a la mañana hace spam sin venir a cuento. No sé si puede ser un programa, puede ser alguna clase de spam en plan virus, pero es algo muy raro, también es verdad que últimamente se borran y llegan muchas denuncias por el Spam.

entheogenic · 14 Febrero 2023

Buenas compañeros,
y la larga lista de "miembros conectados", que el 50% son bots sin ningún mensaje en el foro, no le parece raro a nadie?
es que ni cuando el foro estaba a fuego había tantos "miembros conectados"
y lo raro es que a cualquier hora del dia/noche hay muchos de estos "miembros"

growpi · 15 Febrero 2023

repele19 dijo:
Lo peor de todo compañero, que miras la cuenta y tiene algunos mensajes de ayuda o preguntando por algo y de la noche a la mañana hace spam sin venir a cuento. No sé si puede ser un programa, puede ser alguna clase de spam en plan virus, pero es algo muy raro, también es verdad que últimamente se borran y llegan muchas denuncias por el Spam.

Entiendo que los emails de los usuarios no son publicos.
Aun asi es posible que hayan hackeado esta web y accedido a las bases de datos..

Luego esta gente accede a las bases datos publicas, para ver si las cuentas han sido hackeadas, y disponen de su contraseña.
Aqui se puede comprobar si un email esta en alguna base de datos, y por tanto su contraseña es publica.
Es muy recomendable comprobarlo, y si aparece en alguna, cambiar la contraseña:

Have I Been Pwned: Check if your email has been compromised in a data breach

Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.

haveibeenpwned.com

Y estas bases de datos son gracias a las pocas empresas que han reconocido que han sido hackeadas...
Lo que habra por ahi.

Weed Cleaner · 16 Febrero 2023

growpi dijo:
Entiendo que los emails de los usuarios no son publicos.
Aun asi es posible que hayan hackeado esta web y accedido a las bases de datos..

Luego esta gente accede a las bases datos publicas, para ver si las cuentas han sido hackeadas, y disponen de su contraseña.
Aqui se puede comprobar si un email esta en alguna base de datos, y por tanto su contraseña es publica.
Es muy recomendable comprobarlo, y si aparece en alguna, cambiar la contraseña:

Have I Been Pwned: Check if your email has been compromised in a data breach

Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.

haveibeenpwned.com

Y estas bases de datos son gracias a las pocas empresas que han reconocido que han sido hackeadas...
Lo que habra por ahi.

Puede ser, pero me extrañaría, ya comento en el primer mensaje que es algo que está sucediendo en muchos foros. Xenforo como este, Vbulletin y otros muchos. Y el modus operandi son siempre cuentas que llevan al menos unos dos años sin actividad y que tienen pocos mensajes. Quizá contraseñas débiles puede ser otra opción...

growpi · 16 Febrero 2023

Weed Cleaner dijo:
Puede ser, pero me extrañaría, ya comento en el primer mensaje que es algo que está sucediendo en muchos foros. Xenforo como este, Vbulletin y otros muchos. Y el modus operandi son siempre cuentas que llevan al menos unos dos años sin actividad y que tienen pocos mensajes. Quizá contraseñas débiles puede ser otra opción...

Si mirais en los logs, seguramente tengais intentos de acceso con usuarios o emails aleatorios o de diccionarios.
Tipo aaaaaa, aaaaab, aaaaac... etc, que tienen como fin, ver que usuarios/emails existen en este foro.

Acabo de probar a iniciar sesion con un usuario inventado:

Y el sistema me indica que dicho usuario no existe.
Es recomendable cambiar este mensaje por "El usuario o la contraseña introducidos, no son validos".

Con el tiempo acaban haciendose con usuarios/emails de este foro.

Luego comprueban esos usuarios/emails con bases de datos de usuarios que han sido hackeados.
Prueban con esa contraseña a ver si les deja entrar en el foro.

Seguramente tambien indexen paginas y saquen nombres de usuario de ahi.

Estoy describiendo un tipo de ataque, que no tiene porque ser el que esten haciendo.

Edito: los usuarios en realidad los tienen de la pagina de usuarios

lo que si podrian obtener es emails.

Miembro eliminado 210995 · 20 Febrero 2023

growpi dijo:
Si mirais en los logs, seguramente tengais intentos de acceso con usuarios o emails aleatorios o de diccionarios.
Tipo aaaaaa, aaaaab, aaaaac... etc, que tienen como fin, ver que usuarios/emails existen en este foro.

Acabo de probar a iniciar sesion con un usuario inventado:

Ver el adjunto 929182

Y el sistema me indica que dicho usuario no existe.
Es recomendable cambiar este mensaje por "El usuario o la contraseña introducidos, no son validos".

Con el tiempo acaban haciendose con usuarios/emails de este foro.

Luego comprueban esos usuarios/emails con bases de datos de usuarios que han sido hackeados.
Prueban con esa contraseña a ver si les deja entrar en el foro.

Seguramente tambien indexen paginas y saquen nombres de usuario de ahi.

Estoy describiendo un tipo de ataque, que no tiene porque ser el que esten haciendo.

Edito: los usuarios en realidad los tienen de la pagina de usuarios lo que si podrian obtener es emails.

te sales!

Buscar

Ataques de SPAM

Weed Cleaner

Cogollito

repele19

Moderador Global

entheogenic

Gran Cogollo

growpi

Gran Cogollo

Have I Been Pwned: Check if your email has been compromised in a data breach

Weed Cleaner

Cogollito

Have I Been Pwned: Check if your email has been compromised in a data breach

growpi

Gran Cogollo

Miembro eliminado 210995

Invitado