Уязвимость в версии 1.1.5

Автор sh_iva, 06 июня 2008, 14:56:41

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

sh_iva

Имеется факт того, что рядовой пользователь смог стать "скрытым" администратором (в логах модерации имеется запись о пользователе со статусом НОВИЧЕК!!!)

По слухам, в списке он-лайн пользователей внизу главной страницы, он отображался серым цветом.
Это может быть встроенная дыра или это лишний скрипт, написанный моим предшественником?

При этом, по непроверенным данным, админскими полномочиями можно наделить любого пользователя - возможно ли это?

Mavn

Вы сами себе противоречите. Сначала говорите факт потом говорите слухи..
если есть факт то логи апача в студию где прописано как и чего получилось...
расследованиями слухов не занимаемся
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

sh_iva

Логи апача у провайдеров запросил.
Слухи - потому, что сам не видел, а со слов других людей.
Непроверенные данные о возможности наделить полномочиями любого пользователя - хвастливые заявления того, кто этим воспользовался...
Так что жду логи.  Очень надеюсь, что это просто вкладка моего предшественника, которую сможем обнаружить.
Не хотелось бы это обсуждать в открытую, через личку сможете помочь?

Mavn

1. Я тоже могу наделить кого угодно админскими правами :)... будучи админом форума
2. Логи само собой секретная инфа которая только через лс рассматривается. Только если честно меня больше интересует сама часть где все это делается потому как капаться в мегабайтных файлах логов не интересно :)
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

sh_iva

Я и есть админ форума.
Вчера наблюдал это своими глазами:
1. внизу страницы "в онлайне ...пользователей (1 - скрытый)"
2. администратору показывает скрытого пользователя со статусом админа, написанного курсивом.
3. пользователь получил статус администратора сам
как- не знаю, копаюсь в логах, пока ничего не нашел...
Скрытые пользователи - это что за инструмент?

dedmazai

Цитата: sh_iva от 04 ноября 1973, 20:17:12
Скрытые пользователи - это что за инструмент?
С такими вопросами в дедский сад.Посмотри в профиле.

npokypop

Есть случай когда обычный пользователь каким-то образом смог забанить другого пользователя.

Имя:                Примечания                     Причина
UW-malganys    QuickWarning Action          QuickWarning
Есть свой сайт или форум!
Заработай на нем $$$

sh_iva

Нашел закладку в одном из скриптов, оставленную предшественником:
после подключения к базе данных:
$query = "update smf_members set id_group=1 where (membername='...')
и вбито конкретное имя пользователя, который мгновенно становится админом

stasiki

Цитата: sh_iva от 01 июля 2008, 10:55:41
Нашел закладку в одном из скриптов, оставленную предшественником:
после подключения к базе данных:
$query = "update smf_members set id_group=1 where (membername='...')
и вбито конкретное имя пользователя, который мгновенно становится админом

Логи! Иначе это песня ни о чем, и разобраться в ней не представляется возможным. А по поводу вышесказанного, это все равно что сказать - это был мужик в бороде и черной шляпе, сам я его не видел, но он оставил палочку от эскимо которое ел...

Avdenago

Цитата: sh_iva от 06 июня 2008, 14:56:41
При этом, по непроверенным данным, админскими полномочиями можно наделить любого пользователя - возможно ли это?


Возможно. Как легально, так и при помощи заранее подготовленной "калитки". Сверьте ваши файлы форума с оригиналом. - вначале хотя бы не кода, а вообще количество файлов.

Кроме того, уже вроде писалось, можно оставить в самих файлах код - который при вызове присвоет нужному пользователю админские права...

oldcopy

Если есть подозрение на закладку, лучше переустановить  форум не трогая базу, может оказаться муторно, если стоит много модов или ручных правок, зато будете уверены в безопасности.
AUT VIAM INVENIAM AUT FACIAM <или найду дорогу или проложу ее сам (лат.)>

fancar

#11
SMF 1.1.6 20.04.08, 21:56:14
A patch has been released fixing a few bugs and addressing a security vulnerability. We urge all forum administrators to upgrade to SMF 1.1.6—simply visit the package manager to install the patch.

CAXAPA

Здравствуйте,
Вы не поверите, но мой форум, что называется, "хакнул" некий Necromancer, причем, видимо он пролез и на весь сайт, т.к. заменил главную страницу (форум только часть). Правда, у меня стояла старая версия 1.1.3. Сейчас я срочно проапгрейдилась до версии 1.1.6.
Но и тут проблема: некоторые файлы в папке Sources остались разных старых версий. На SMF форуме советуют (вот тут: http://www.simplemachines.org/community/index.php?topic=197525.0) им поставить CHMOD 777, но я теперь как-то не решаюсь, после такого наезда.
Посоветуйте, пожалуйста, как быть?

Я веду сайт "Русский Париж" (http://www.russianparis.com), я не особый спец во всех этих делах, и такой взлом переживаю впервые.

Спасибо заранее.

fancar

видимо права на некоторых файлах были на запись для всех. Там в админке есть с помощью FTP  chmod... перед обновлением ставишь все на запись, после обновления ставь минимальное количество файлов на запись и все.

CAXAPA

Спасибо!
Т.е. после обновления я cmod как раньше делаю, так?

а вообще у кого-то случалось, чтобы SMF форум хакеры полностью укладывали?
и какое тут лучшее лекарство - наверное, своевременные обновления?
Thx еще раз.

Mavn

Хехе от того что вы выставите chmod 777 будет только хуже и это никак не изменит версию файлов!
Разная версия файлов связана с тем что далеко не все файлы нуждаются в обновлении и если стоит в одном файле версия 1.1.6 а в другом 1.1.4 то это еще ничего не значит, просто файл со старой версией не нуждается в обновлении.

Если вы не собираетесь и дальше изменять файлы при помощи модификаций то выставляйте chmod 644.

Основная проблема администраторов в том что далеко не всегда ставят обновления для форума, как результат ломаные форумы, обновляйтесь вовремя и проблем будет гораздо меньше.
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

fancar

и права на запись смотри у скриптов

Mavn

Цитата: fancar от 17 сентября 2008, 23:27:11
и права на запись смотри у скриптов
Хехе а chmod это разве не права на запись?
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

fancar

change mode - изменить режим файла.
я линуксоид. не сцы.
Если какие то файлы не обновились, значит дело было в правах, надо +r. Вот что я хотел сказать. Че к словам придираться. я не как не думал, что человек будет жаловаться что что то не обновилось, если просто файл в новой версии не изменялся. В админке ж даже красным выделены изменяемые файлы. Сахара наверное это имела ввиду  wallbash