взлом, вставка ссылок

Автор somediff, 10 мая 2009, 13:44:35

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

somediff

У меня стоит версия 1.1.6, на днях обнаружил что после тега <body> на всех моих страницах появился скрытый блок с ссылками, такого плана

<div style="display:none"><!--998032567--><p>Public health  <a href="http://www.esncagliari.it/eventonazionale/?cjup=63">sports gambling rules</a>  for all inhabitants (based in residency) operated by municipalities. <!--255822492--><p>As a unit of measurement,  <a href="http://childlikegod.com/volsung/index.php/?vwcw=0">free bingo on line</a>.....</div>

Оказалось что на сайт загрузили бэкдор или что-то в этом роде, с названием файла style.css.php спрятали его подальше. А затем в каждый мой php файл был вставлен код такого вида

<?php eval(base64_decode('ZXZhbChiYXNlNjRfZGVjb2R...

этот код и вызывал этот бекдор и в конечном итоге вставлял ссылки.

Я прошелся по этим ссылкам, оказалось что там почти везде стоит smf forum причем на многих версии 1.1.8 тобишь последней.

Таким образом я так понимаю что официальных патчей нет. Но я, к сожалению, не смог получить логи доступа, поэтому не знаю где уязвимость. Может кто-то сталкивался?


CedarMill

I love SMF and Joomla!

somediff

Смотрел поиск, подобного хака не нашел..
Доступ хранится в текстовом файле, в фтп клиентах не хранится, я сам сразу подумал на это. Плюс хостеры утверждают что по логам фтп никаких левых соединений не было, только с моего IP. Единственный вариант что ломанули самого хостера, но он не признается.

То что на всех сайтах, что участвуют в этой кросслинковой системе присутствует смф форум - заставляет грешить именно на него. Кроме того у меня на сайте ничего другого опен сорс нет. И вирусов быть не должно на компе, бд всегда обновлена, уровень защиты максимальный, при этом я довольно продвинутый юзер и всегда соблюдаю веб гигиену :)

somediff

еще правда на момент взлома стояло register_globals On

Drakonsa

Как вы думаете, почему разработчики выпускают новые версии форума?

somediff

Цитата: Drakonsa от 10 мая 2009, 15:25:51
Как вы думаете, почему разработчики выпускают новые версии форума?

Это кому вопрос? :)

Drakonsa


somediff

Цитата: Drakonsa от 10 мая 2009, 15:36:11
Конечно же вам.
Из различных соображений. В том числе добавляя новую функциональность, и исправляя ошибки, в том числе и безопасности.

Только какое отношение имеет ваш "ироничный" вопрос к моему?

somediff

Нашел http://www.simplemachines.org/community/index.php?topic=307717.20
У кого на форуме есть юзер krisbarteo можете обнаружить весьма не приятные вещи.

somediff

Просмотрел свои папку с аваторками, оказалось что три аваторки содержат php код. Кому интересно сделайте поиск по аваторкам на предмет <?php

Кстати в приведенной тебе идет большое обсуждение, но официального ответа я не нашел.

CedarMill

Цитата: somediff от 10 мая 2009, 20:47:19
Просмотрел свои папку с аваторками, оказалось что три аваторки содержат php код. Кому интересно сделайте поиск по аваторкам на предмет <?php

:o

somediff, напиши пожалуйста, как можно проверить большое количество аватар, на предмет <?php
?
I love SMF and Joomla!

somediff

Цитата: CedarMill от 10 мая 2009, 21:13:44
:o

somediff, напиши пожалуйста, как можно проверить большое количество аватар, на предмет <?php
?

Любой утилитой позволяющей искать по группе файлов,  я например сделал это через Total Commander
alt+f7 и там вводим строку в поле "с текстом"

Drakonsa

Цитата: somediff от 10 мая 2009, 15:43:49
Из различных соображений. В том числе добавляя новую функциональность, и исправляя ошибки, в том числе и безопасности.

Только какое отношение имеет ваш "ироничный" вопрос к моему?
http://www.simplemachines.ru/index.php/topic,5359.0.html 1.1.6
PatchNote 1.1.7
Цитировать
Simple Machines announces the release of SMF 1.1.7

This release is a security-only update which addresses a few recently discovered security issues in SMF 1.1.6 and older

http://www.simplemachines.ru/index.php/topic,5901.0.html 1.1.7
PatchNote 1.1.8
Цитировать
Simple Machines announces the release of SMF 1.1.8, which addresses a few vulnerabilities found in 1.1.7. We would like to encourage all users to upgrade as soon as possible.

Те патчи, которые вы исчите есть ничто иное как обновленная версия форума, которая делаеться буквально за минуту.

somediff

Цитата: Drakonsa от 11 мая 2009, 03:25:50
http://www.simplemachines.ru/index.php/topic,5359.0.html 1.1.6
PatchNote 1.1.7
http://www.simplemachines.ru/index.php/topic,5901.0.html 1.1.7
PatchNote 1.1.8
Те патчи, которые вы исчите есть ничто иное как обновленная версия форума, которая делаеться буквально за минуту.
Drakonsa если бы вы решили таки почитать тему на которую я дал ссылку, то увидели бы что у многих там версия 1.1.8. Следовательно официального патча нет. Тема о которой я говорю была открыта 1го мая, сейчас в топе раздела и содержит 117 ответов, наверное это о чем то говорит?

Drakonsa

Цитата: somediff от 11 мая 2009, 12:51:02
Drakonsa если бы вы решили таки почитать тему на которую я дал ссылку, то увидели бы что у многих там версия 1.1.8. Следовательно официального патча нет. Тема о которой я говорю была открыта 1го мая, сейчас в топе раздела и содержит 117 ответов, наверное это о чем то говорит?
Но т.к. у вас не 1.1.8, то это к Вам никак не относиться.

somediff

Цитата: Drakonsa от 11 мая 2009, 15:36:57
Но т.к. у вас не 1.1.8, то это к Вам никак не относиться.
Интересно на каких основаниях вы делаете такой вывод? Думаете что если версия 1.1.6 то в ней только эти две уязвимости о которых вы написали?
Мои аргументы следующие:

1. Из-за уязвимости на форуме у меня в html коде после тега <body> появился блок со скрытыми ссылками. Я стал заходить на сайты по этим ссылкам, возьмем к примеру сайт http://www.esncagliari.it/forum/, он приведен в моем первом сообщении (только не стоит ходить конкретно по той ссылке что в первом сообщении). Итак мы видим - smf 1.1.8, при этом логично что так как ссылка на этот сайт появилась у меня, то была использована одинаковая уязвимость. Это первый довод за то что уязвимость есть у 1.1.8 и 1.1.6

2. Имеется тема http://www.simplemachines.org/community/index.php?topic=307717.0. В первом сообщении описывается идентичное моему поведение хакера. Далее уже на первой странице несколько людей пишут что у них аналогичная проблема и при этом версия 1.1.8, многие упоминают  пользователя с ником krisbarteo. На протяжении всего топика еще другие люди утверждают о аналогичной уязвимости 1.1.8. При этом даже код эксплойта совпадает с моим. Тогда как ссылки что вы привели описывают совсем другое поведение эксплойта. Это второй повод в пользу уязвимости версии 1.1.8 и 1.1.6
http://www.simplemachines.org/community/index.php?topic=307717.msg2040193#msg2040193
http://www.simplemachines.org/community/index.php?topic=307717.msg2039807#msg2039807
http://www.simplemachines.org/community/index.php?topic=307717.msg2040182#msg2040182

Ваши аргументы? Или вы занимаетесь гаданием на кофейной гуще?

Drakonsa

Цитата: somediff от 11 мая 2009, 16:17:20
Интересно на каких основаниях вы делаете такой вывод? Думаете что если версия 1.1.6 то в ней только эти две уязвимости о которых вы написали?
Мои аргументы следующие:

1. Из-за уязвимости на форуме у меня в html коде после тега <body> появился блок со скрытыми ссылками. Я стал заходить на сайты по этим ссылкам, возьмем к примеру сайт http://www.esncagliari.it/forum/, он приведен в моем первом сообщении (только не стоит ходить конкретно по той ссылке что в первом сообщении). Итак мы видим - smf 1.1.8, при этом логично что так как ссылка на этот сайт появилась у меня, то была использована одинаковая уязвимость. Это первый довод за то что уязвимость есть у 1.1.8 и 1.1.6

2. Имеется тема http://www.simplemachines.org/community/index.php?topic=307717.0. В первом сообщении описывается идентичное моему поведение хакера. Далее уже на первой странице несколько людей пишут что у них аналогичная проблема и при этом версия 1.1.8, многие упоминают  пользователя с ником krisbarteo. На протяжении всего топика еще другие люди утверждают о аналогичной уязвимости 1.1.8. При этом даже код эксплойта совпадает с моим. Тогда как ссылки что вы привели описывают совсем другое поведение эксплойта. Это второй повод в пользу уязвимости версии 1.1.8 и 1.1.6
http://www.simplemachines.org/community/index.php?topic=307717.msg2040193#msg2040193
http://www.simplemachines.org/community/index.php?topic=307717.msg2039807#msg2039807
http://www.simplemachines.org/community/index.php?topic=307717.msg2040182#msg2040182

Ваши аргументы? Или вы занимаетесь гаданием на кофейной гуще?
Начнем с того, что даже если этот эксплоит и существует, чего крайне не хотелось бы, то Вашему 1.1.6 всеравно с ним быть. А в продолжении, первые проблемы появились около недели назад, зная разработчиков SMF то апдейт выпускаеться через 1-2 дня после нахождения проблемы.
Если захотеть, то и в phpinfo можно найти уязвимость ©digger
И если честно я не нахожу смысла в том, что вы тут мне пытаетесь что-то доказать...

P.S. Мне на карму пофик :)

somediff

ЦитироватьНачнем с того, что даже если этот эксплоит и существует, чего крайне не хотелось бы, то Вашему 1.1.6 всеравно с ним быть. А в продолжении, первые проблемы появились около недели назад, зная разработчиков SMF то апдейт выпускаеться через 1-2 дня после нахождения проблемы.

И из этого следует что проблема 1.1.6 не касается (как вы написали ранее) или что? :) (Можете не отвечать)

Цитата: Drakonsa от 11 мая 2009, 18:25:10
Если захотеть, то и в phpinfo можно найти уязвимость ©digger
И если честно я не нахожу смысла в том, что вы тут мне пытаетесь что-то доказать...

Эмм, я как бы создал топик, вы в нем отписались. Мы стали вести дискуссию, в которой я аргументировано указал на вашу неправоту, а теперь вы мне пишите что я вам что-то пытаюсь доказать.  Не писали бы, ничего бы и не доказывал.

ЦитироватьP.S. Мне на карму пофик :)
Карма ведь не только для вас, я вам поставил минус потому что не люблю когда люди публично утверждают то чего не знают либо то в чем не уверены (и при этом не уточняют что не уверены), это ведь сбивает других с толку. В дальнейшем постараюсь удержаться от дискуссии  с вами :) так как видимо вы попросту любите болтать.

Теперь по теме, появился следующий топик http://www.simplemachines.org/community/index.php?topic=309717.0
В котором некто именующий себя Spam Specialist дает общие рекомендации о том как избежать этой уязвимости, до появления официального патча. Топик начинается со слов:
ЦитироватьConsidering the recent mass attack on SMF forums over the past week, and seeing as I, myself, have helped many users to get their sites back, I am posting this so you can prevent being attacked.

Кстати ветка 2.0 вроде как не содержит уязвимости.

somediff

Что-то все начали оффтопить )
А по сабжу вот:

ЦитироватьIt's unfortunately not so easy to release a security patch as you thought,the DEVs are working hard on this issue and don't forget we're all volunteers here,also you should just have patience and follow the temporary suggestions
http://www.simplemachines.org/community/index.php?topic=309741.msg2055785#msg2055785


Mavn

на сколько я знаю заливка производится средствами загрузки аватар. Советуем выключить загрузку аватар на сервак.
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

somediff

Цитата: Mavn от 13 мая 2009, 06:36:33
на сколько я знаю заливка производится средствами загрузки аватар. Советуем выключить загрузку аватар на сервак.
Верно, зарубежное комьюнити так и советует. Плюс отключить вложения. Пока не выйдет официальный патч.
Кроме того установить модули которые уменьшат количество регистраций хакеров и спамеров
Stop Spammer
reCAPTCHA for SMF

Топик с советами http://www.simplemachines.org/community/index.php?topic=309717.0

somediff

Цитата: somediff от 13 мая 2009, 10:28:19
Верно, зарубежное комьюнити так и советует. Плюс отключить вложения. Пока не выйдет официальный патч.
Кроме того установить модули которые уменьшат количество регистраций хакеров и спамеров
Stop Spammer
reCAPTCHA for SMF

Топик с советами http://www.simplemachines.org/community/index.php?topic=309717.0
Я правда отключил аваторы и вложения только для пользователей с количеством сообщений меньше 3ех

Mavn

Цитата: Alexander II от 13 мая 2009, 08:09:01
Ага, запретить аватары, запретить постить и вообще сделать всем форум рид-онли =) Это не выход.
мне все равно какие выводы вы делаете! Я дал рекомендации до выхода патча что нужно сделать, так что сарказм ваш не к месту.

Цитата: BIOHAZARD от 13 мая 2009, 10:43:36
зачем же так радикально, есть же [censored]д
другое дело, что у некоторых даже фильтрации типов вложений на сайте нет, потому как они не знают, что это вообще такое :о)
и чего толку от [censored]да если шелл уже залит на хост? что мне помешает при помощи шела поменять [censored]д??

somediff
появились мысли редактируйте сообщение, флудить в чате будете!
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Yworld_garry

Решения лучшего чем приведено выше, насчёт отключения загрузки аватар нет пока и не будет пока не выпустят патч.
Отключать или нет дело каждого.
Польза принесена, внимание сообщества обращено, дальнейшее обсуждение пока нет решения просто флуд.
Ну не избежать ни одному популярному ресурсу взлома или иных подобных действий. В данном случаи есть вот такая уязвимость, которая будет закрыта.
А если под заказ, то вы ни чего не сможете сделать против взлома. В данном случаи это не самая страшная дырка имеющая решение на первое время.
Готовым нужно быть всегда.
1 Иметь бекап файлов системы
2 Дамп базы(по возможности ежедневный). Собственно на приличных хостингах так и есть. Но можно и самому.
3 Поддерживать гигиену компа своего.
4 Не поднимать и не поддаваться паники

При выполнении этих условий спокойствие гарантировано. Как в данном случаи, перезалить файлы, найти гадость и временно отключить загрузку авиков.
Даже при более серьёзном взломе с залитыми хитрыми шеллами, поможет всё выше перечисленное, с более тщательной проверкой сервера на предмет всякого рода гадости.
Время восстановления сводится к минимуму, потери так же минимальные. На посещаемых проектах это возможно какое то количество постов за день ( что не заметно большим проектам). Малым или молодым вообще ерунда, только польза в приобретении опыта.

PS
Существуют не писанные правила любых форумов и тем более сообществ. Нарушать их не следует и тем более спорить с администрацией. Но во первых это не корректно, во вторых если есть претензии в личку.
Не надо всё принимать в штыки, есть правила о которых вам сообщили.
Дальнейшие посты не по теме флуд и искусственное нагнетание конфликта. Расслабтесь и постарайтесь сами дать решение этой траблы народу, вот тогда будет честь и хвала. Паника не нужна, так как это абсолютно рядовой случай не несущий в себе мего криминала.