Выпущены SMF 1.0.23, SMF 1.1.17 и SMF 2.0.3

Автор digger®, 17 декабря 2012, 19:30:51

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Mavn

Цитата: karavan от 22 декабря 2012, 16:00:43chilly86 точно та же картина.
Диспетчер задач -  Получение файлов с сайта Simple Machines
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

karavan

Цитата: Mavn от 22 декабря 2012, 17:16:02Диспетчер задач -  Получение файлов с сайта Simple Machines
Пробовал, не помогает.


Mavn

Цитата: karavan от 22 декабря 2012, 17:22:48Пробовал, не помогает.
на самом деле тут может быть две причины
либо сервак не подтаскивает эти файлы по каким то своим причинам либо сервак смф по каким то причинам файлы не отдает
просто подождите некоторое время все само разрешится :)
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

chilly86

Цитата: karavan от 22 декабря 2012, 17:22:48
Пробовал, не помогает.

аналогично :)
в принципе не парит... главное что обновился
to live is to die

karavan

Цитата: Mavn от 22 декабря 2012, 17:27:50просто подождите некоторое время все само разрешится :)
Ок.
Цитата: chilly86 от 22 декабря 2012, 17:29:05
аналогично :) в принципе не парит... главное что обновился
Согласен.

Slavegirl

Сегодня в полночь была взломана. Пока не знаю причину (админ сервера еще не разбирался), но думаю потому, что вовремя не обновилась. Была внедрена 1 строка в конец файла: "Themes/default/scripts/script.js", которая отправляла запросы на домены "you-have-cox.com, -net, -info". Хотя эти домены зарегистрированы только вчера, Касперский уже определил, что форум заражен, и домены им блокируются.

Если есть необходимость, могу выложить пример вредоносного кода, внедренного в "script.js".

kak2z

Цитата: Slavegirl от 26 декабря 2012, 10:19:20
Сегодня в полночь была взломана. Пока не знаю причину (админ сервера еще не разбирался), но думаю потому, что вовремя не обновилась. Была внедрена 1 строка в конец файла: "Themes/default/scripts/script.js", которая отправляла запросы на домены "you-have-cox.com, -net, -info". Хотя эти домены зарегистрированы только вчера, Касперский уже определил, что форум заражен, и домены им блокируются.

Если есть необходимость, могу выложить пример вредоносного кода, внедренного в "script.js".
помнится мне что это уже у Вас не первый случай взлома... может дело все таки в хостинге?? может он где то там дырявый.. ??
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Slavegirl

Нет, до этого взломов не было. Были проблемы с ресурсоемкими модами, которые ложили сервер.
Хостинг Лизвеб, VPS. Если что-то случается с сервером, то это исключительно наша вина, но никак не хостинга.

Обновилась до 2.0.3 через установку мода прямо из панели администрирования. Процесс прошел успешно, ошибок в логах нет.

Если изменили файл *.js, выходит, злоумышленник получил пароль на ФТП? Или существуют другие способы изменения кода файлов без паролей?

digger®

Цитата: Slavegirl от 26 декабря 2012, 11:07:14
Если изменили файл *.js, выходит, злоумышленник получил пароль на ФТП? Или существуют другие способы изменения кода файлов без паролей?
Ходит червяк по виндам, собирает пароли сохраненные в фтп клиентах. Следом проходит бот, заражает php/js файлы по фтп.
Уязвимости в движках.
Залитые шеллы.

Slavegirl

Форум взломали с помощью загруженного аватара GIF с программным кодом внутри. Червяк в системе - маловероятно (0,01%), на моем компьютере KIS с автообновлением. Второй администратор входит на сервер через MacOS.

Код в конце файла аватара:


$auth_pass = "";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","вредоносный код (образец могу выложить в личке)",".");?>


Это уязвимость SMF 2.0.2? На virustotal на аватар срабатывают только 3 антивируса из 36. Как защититься в будущем от подобного?

kak2z

Цитата: Slavegirl от 26 декабря 2012, 23:49:23
Форум взломали с помощью загруженного аватара GIF с программным кодом внутри. Червяк в системе - маловероятно (0,01%), на моем компьютере KIS с автообновлением. Второй администратор входит на сервер через MacOS.

Код в конце файла аватара:


$auth_pass = "";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","вредоносный код (образец могу выложить в личке)",".");?>


Это уязвимость SMF 2.0.2? На virustotal на аватар срабатывают только 3 антивируса из 36. Как защититься в будущем от подобного?

наверно пережимать аватары надо) я так и делаю)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Slavegirl

kak2z, спасибо!
Уже выяснилось, дыра была в nginx, обновление на 2.0.3 на уязвимость не повлияло. PHP-код внутри аватара давал доступ к файловому менеджеру.

karavan

Цитата: kak2z от 26 декабря 2012, 23:58:33наверно пережимать аватары надо) я так и делаю)
Расскажите подробнее, как так делать? Это выходит всем угрожает?

Istoric

Да.. как пережимать аватары?

Slavegirl

#65
Дыра очень опасная, и касается не только SMF, а практически любого ресурса.
Решение главного системного администратора:

Цитировать
Закрыть дыру можно добавив в php.ini cgi.fix_pathinfo = 0
по умолчанию он 1
и php пытается исправить путь к файлу если ему не правильно его дали

Прошу прощения, что вышеописанная информация (как только что выяснилось) не совсем касается данной темы.

Istoric

А как узнать вообще заражен форум или нет? Где посмотреть как проверить?

Mavn

Цитата: Slavegirl от 27 декабря 2012, 00:13:05Уже выяснилось, дыра была в nginx
проблема стара как мир http://habrahabr.ru/post/100961/
и вы еще говорите
Цитата: Slavegirl от 26 декабря 2012, 11:07:14Если что-то случается с сервером, то это исключительно наша вина, но никак не хостинга.
все говорит о том что админ сервака явно не ведает что творит
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Slavegirl

Спасибо за ссылку, уважаемый Администратор Mavn!

Как говорят, лучше учиться на чужих ошибках. Но все возможные проблемы невозможно охватить, иногда целых 2 года мало, чтобы о них узнать, пока самостоятельно с ними не столкнешься. Ресурс мой просто достаточно привлекательный, постоянно идут попытки взлома (перебор паролей на ФТП, SSH), вот и попались на крючок через незакрытую уязвимость (хотя и провисели на нем всего 6 часов).

Недавно наблюдала, как полмесяца назад форум на vBulletin моей же тематики с посещаемостью 300 тыс. / сутки целую неделю подряд каждый день ломался ребятами из CuraHack. Так что от подобных происшествий не застрахован абсолютно никто.

---------------

Просматривала файлы модификации апдейта 2.0.3 и заметила, что в некоторых местах были внесены изменения в запросы к БД. До конца не разобралась, эти изменения касаются только мер безопасности или также повышения производительности работы БД?

Istoric

Так а что все таки с пережатиями аватар?  Или это не всем надо?  Или от хостера зависит? Я запутался (

Жека

Цитата: karavan от 27 декабря 2012, 00:17:51Расскажите подробнее, как так делать?
В админке:

Вложения и аватары => Свойства аватаров: Загружаемые аватары

Обрабатывать потенциально опасные аватары

При выборе этой опции будет производиться попытка перекодирования загружаемых аватаров, для обеспечения более высокой безопасности.
Обратите внимание: после перекодирования все анимированные изображения станут статичными.
Данная функция работает только при наличии установленного GD-модуля на сервере.


Как видите, если включить её, то невозможно будет юзерам установить анимированны аватары, что для меня не приемлемо и поэтому эта опция на моём форуме выключена.

Еще там же интересная опция "Выполнять экстенсивную проверку загружаемых аватаров"

Slavegirl, если у вас сохранилась эта gif-ка, можете попробовать выставить эту галочку и попробовать поставить себе этот аватар.
Интересно, получится или нет :)

Slavegirl

#71
Цитата: Жека от 27 декабря 2012, 11:23:48Slavegirl, если у вас сохранилась эта gif-ка, можете попробовать выставить эту галочку и попробовать поставить себе этот аватар.
Интересно, получится или нет
Пробовала, эта опция на аватар не повлияла.

Все же считаю, что данная уязвимость не только в php/nginx, но и в SMF, так как движок форума при настройках по-умолчанию для аватаров допустил загрузку на сервер вредоносного кода.

Istoric

Цитата: Жека от 27 декабря 2012, 11:23:48
В админке:

Вложения и аватары => Свойства аватаров: Загружаемые аватары

Обрабатывать потенциально опасные аватары

При выборе этой опции будет производиться попытка перекодирования загружаемых аватаров, для обеспечения более высокой безопасности.
Обратите внимание: после перекодирования все анимированные изображения станут статичными.
Данная функция работает только при наличии установленного GD-модуля на сервере.


Как видите, если включить её, то невозможно будет юзерам установить анимированны аватары, что для меня не приемлемо и поэтому эта опция на моём форуме выключена.

Еще там же интересная опция "Выполнять экстенсивную проверку загружаемых аватаров"

Slavegirl, если у вас сохранилась эта gif-ка, можете попробовать выставить эту галочку и попробовать поставить себе этот аватар.
Интересно, получится или нет :)
Спасибо )) У меня оказывается уже галки стоят в нужных местах )

Жека

Цитата: Slavegirl от 27 декабря 2012, 11:35:15Пробовала, эта опция на аватар не повлияла.
Т.е. с выставленной галочкой "Выполнять экстенсивную проверку загружаемых аватаров" движок пропускает эту gif-ку?

А если выставить "Обрабатывать потенциально опасные аватары", то движок пережмет эту gif-ку и вредоносный код в конце исчезнет?

Slavegirl

Прошу прощения, перепутала в предыдущем ответе "Обрабатывать потенциально опасные аватары" с "Выполнять экстенсивную проверку загружаемых аватаров".

При включении последней аватар пережался в статический, вредоносный код исчез, после этого движок его пропустил на сервер. Но эта опция выключена по-умолчанию и не рекомендуется форумом.

kak2z

Цитата: karavan от 27 декабря 2012, 00:17:51
Расскажите подробнее, как так делать? Это выходит всем угрожает?

я вот так настроил

а в своих скриптах я вообще по умолчанию копирую загруженное изображение, пережимаю в jpg и сохраняю в файл..
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Жека

#76
Цитата: Mavn от 27 декабря 2012, 08:30:44проблема стара как мир http://habrahabr.ru/post/100961/
Mavn, как опытный админ, подскажи, плиз:

1) почему на шаред хостинге при выставлении в php.ini cgi.fix_pathinfo=0
phpinfo() всё равно показывает 1 и Local Value, и Master Value

2) если не юзать встроенное в SMF ЧПУ, то не проще ли закрыть эту узявимость в .htaccess, указав
AcceptPathInfo Off

Mavn

некоторые параметры конечному пользователю запрещено менять поэтому ваши параметры в php.ini могут игнорироваться.
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Xvost

Обновился с 2.0.2 до 2.0.3. Проблема в том, что обновлялся модом, ч/з Админку наличие обновления так и не было показано. Теперь в Админке:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.2
Кроме того, временами вылазит в логах ошибка, что не удалось получить какой-то там файл с сервера SMF.

В чём причина, где ошибка?

karavan

присоединяюсь к вопросу, точно та же ситуация.

kak2z

Глянул у себя.. Тоже присоединяюсь... только у меня все еще запущеннее
Цитировать
Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 1.1.17
обновлялся через админку
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

karavan

Мда, серьёзный вопрос, нужно бы решить его...

remingtone

ну так зайдите и проверьте, в чем именно проблема: ?action=admin;area=maintain;sa=routine;activity=version

kak2z

Цитата: okk от 07 января 2013, 00:09:33
ну так зайдите и проверьте, в чем именно проблема: ?action=admin;area=maintain;sa=routine;activity=version

да был я там... http://images.devs-on.net/Image/PXRKr1uODE8zb0cC-.png ничего там не сделаешь... только посмотреть можно
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

remingtone

где-то хвосты от единицы остались, ну или если она была когда-то очень давно - то это просто глюк или это уже 2.0.4 альфа какое-то :)

kak2z

Цитата: okk от 07 января 2013, 03:49:55
где-то хвосты от единицы остались, ну или если она была когда-то очень давно - то это просто глюк или это уже 2.0.4 альфа какое-то :)
не было никогда единицы
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

remingtone

см пункт 2. :) гюки сервака СМФ

Slavegirl

В Админке появилась запись

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.4

Выпущена уже новая версия?

kak2z

У меня на одном форуме так

Цитировать
Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.3
а на другом так

Цитировать
Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 1.1.18
мне кажется у них что то глючит)
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

Slavegirl

#89
Да нет, уже куча благодарных пользователей: http://www.simplemachines.org/community/index.php?topic=496403.0

Уже обновилась.

ChangeLog 2.0.4:

! Joshua's fix for validatePasswordFlood logic error (reported by Raz0r)
! Arantor fix for database error on lost connections
! Quick fix for Admin Password Reset vulnerability reported by Raz0r
! Directory traversal vulnerability in the function ViewFile (thanks yan.uniko.102 for reporting and Arantor for proposing the fix and Spuds for spotting the undefined variable)
! active users cannot change anymore the email from action activate without deactivation/confirmation (thanks BarteX for reporting the issueand suggesting a fix)
! Change language from the admin panel could allow XSS, path disclosure and code injection (thanks Jakub Galczyk for reporting the issue)
! Missing arguments in SSI functions called through ?ssi= generated error messages showing full server file path (thanks yan.uniko.102 for reporting it)
! Directory listing and editing of arbitrary files from the theme editing page in the admin panel

kak2z

ага... запустил получение данные с сервера СМФ - данные обновились и предложило обновить файлы - я и обновил) спасибо))
Если нужно что то исправить, обновить, переставить, настроить, сделать форум заново - пишите в ЛС)

karavan

Зато у меня всё не как у людей, запрос файлов с SMF не помогает:

ЦитироватьИнформация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.2
:facepalm:

На счет 2.0.4 подожду официального объявления, и что там нового, если можно, по русски?

Slavegirl

Эта штука меня испугала: http://raz0r.name/vulnerabilities/simple-machines-forum/
Решила обновиться, не дожидаясь появления новости об обновлении здесь.

А чем Вам тема на главном форуме не официальна?
http://www.simplemachines.org/community/index.php?topic=496403.0

karavan

Slavegirl пожалуй вы правы, тоже обновился.