Bueno chicos, tengo tiempo sin conectarme aquí y aprovecho para saludar :)!
El error fue totalmente mio, no fue de programación, sino más bien de estupidez humana (nadie puede contra ella), y vengo y les cuento lo que les puede y no pasar, porque creo que hay muchas especulaciones acerca de lo sucedido y este post veo que no tiene un fin de 'informar' a los usuarios ;).
Enumero los errores que han cometido hasta ahora:
1- Las contraseñas están en SHA1 (Si fuece MD5 no te pudieces ni conectar al foro).
2- Además de que están en ese método de encriptación, no se encripta directamente la contraseña sino otros datos, para prohibir más los accesos de otros usuarios al obtener las mismas.
3- Habbos Foro al ser SMF, tiene la misma configuración.
4- En ese momento, había un error con los emails e IP's, LA MAYORÍA estaban mezclados.
5- Sí, fue RadeX no Hellsing (que se lo hayan pasado es otra cosa).
6- Así como nos pasó eso a nosotros, les puede pasar en cualquier momento a ustedes (les repito, tienen el mismo foro), y como ustedes no tienen las cuentas "Juntas" por decirlo así, como en Habstories, pueden obtener más datos de ustedes (así que cuidado con eso).
¿Qué les puede pasar?
Que los agregue un loco a su msn, o simplemente empiecen a recibir correos de Habbo, pidiendo que cambies tu contraseña. Habstories y Habbos (vale, a la final son los mismos usuarios), les recuerda que no los miren, directamente borrenlos porque pueden tener contenido malicioso, o bien, simplemente si caen en la trampa les quitan sus objetos en Habbo.
Y pues, de todos modos no somos los únicos que cometemos este tipo de errores ya que, hace un tiempo a Habbos le quitaron una lista de emails y ahora TODOS recibimos esos correos de Habbo pidiendo que cambien su contraseña (ya que aún los sigo recibiendo ;))
¡Saludoooooooooooooos!
cual es el afan de dar explicaciones si nisiquiera entiendes el error xD?
ahora explico como, cuando y porque saque esa info
1. fahd logro subir un shell en PHP para hackear la web gracias a radex pero ninguno de los dos sabia usarlo
2. me pidieron que bajara todos los archivos del servidor en un solo zip, luego de un rato aprendi a hacerlo
3. despues de bajar toda la info me puse a jugar en el sql y encontre esa database y la guarde por si la necesitaba
al final la necesite, la ordene y la subi xD
el unico error de la web es un uploader de fotos, en donde inyectaron el shell y lograron tenerlo en el host
y no hay ningun otro culpable aparte del weon que programo ese uploader XD
ah, y las passes de encriptan en SHA-1, y el algoritmo es sha1([user][pass])
si logras tener el user y vas encriptando el user + el pass con passes faciles como 123456 o abcdef
y comparas las strings puedes crakearlas todas, incluso puedes hacer un cracker facilmente
ami no me gusta darmelas de "juaker", solo ayude a un niño a consegir su jugete
incluso me nege varias veces a enseñarle a utilizar troyanos xD
ah, y con radex no hablo hace como 2 meses XD, asi ke no digan ke yo soy el ni ke el es yo :B
