взлом, вставка ссылок

[somediff]

У меня стоит версия 1.1.6, на днях обнаружил что после тега <body> на всех моих страницах появился скрытый блок с ссылками, такого плана

<div style="display:none"><!--998032567--><p>Public health  <a href="http://www.esncagliari.it/eventonazionale/?cjup=63">sports gambling rules</a>  for all inhabitants (based in residency) operated by municipalities. <!--255822492--><p>As a unit of measurement,  <a href="http://childlikegod.com/volsung/index.php/?vwcw=0">free bingo on line</a>.....</div>

Оказалось что на сайт загрузили бэкдор или что-то в этом роде, с названием файла style.css.php спрятали его подальше. А затем в каждый мой php файл был вставлен код такого вида

<?php eval(base64_decode('ZXZhbChiYXNlNjRfZGVjb2R...

этот код и вызывал этот бекдор и в конечном итоге вставлял ссылки.

Я прошелся по этим ссылкам, оказалось что там почти везде стоит smf forum причем на многих версии 1.1.8 тобишь последней.

Таким образом я так понимаю что официальных патчей нет. Но я, к сожалению, не смог получить логи доступа, поэтому не знаю где уязвимость. Может кто-то сталкивался?

[CedarMill]

Имхо, Проблема не в SMF форуме.

somediff, где хранится, пароль на доступ к фтп?

в тему сабжа:
Помогите взломали форум!!!!!
Угроза взлома. Помогите!
Как обнаружить вирус-троян на сайте?
Поговорим о главном - безопасности!
Откат базы данных. Ломанули хостинг?
Форум атакован и заражен вирусом.

поиск рулит...

[somediff]

Смотрел поиск, подобного хака не нашел..
Доступ хранится в текстовом файле, в фтп клиентах не хранится, я сам сразу подумал на это. Плюс хостеры утверждают что по логам фтп никаких левых соединений не было, только с моего IP. Единственный вариант что ломанули самого хостера, но он не признается.

То что на всех сайтах, что участвуют в этой кросслинковой системе присутствует смф форум - заставляет грешить именно на него. Кроме того у меня на сайте ничего другого опен сорс нет. И вирусов быть не должно на компе, бд всегда обновлена, уровень защиты максимальный, при этом я довольно продвинутый юзер и всегда соблюдаю веб гигиену

[somediff]

еще правда на момент взлома стояло register_globals On

[Drakonsa]

Как вы думаете, почему разработчики выпускают новые версии форума?

[somediff]

Как вы думаете, почему разработчики выпускают новые версии форума?

Это кому вопрос?

[Drakonsa]

Это кому вопрос?

Конечно же вам.

[somediff]

Конечно же вам.

Из различных соображений. В том числе добавляя новую функциональность, и исправляя ошибки, в том числе и безопасности.

Только какое отношение имеет ваш "ироничный" вопрос к моему?

[somediff]

Нашел http://www.simplemachines.org/community/index.php?topic=307717.20
У кого на форуме есть юзер krisbarteo можете обнаружить весьма не приятные вещи.

[somediff]

Просмотрел свои папку с аваторками, оказалось что три аваторки содержат php код. Кому интересно сделайте поиск по аваторкам на предмет <?php

Кстати в приведенной тебе идет большое обсуждение, но официального ответа я не нашел.

[CedarMill]

Просмотрел свои папку с аваторками, оказалось что три аваторки содержат php код. Кому интересно сделайте поиск по аваторкам на предмет <?php

somediff, напиши пожалуйста, как можно проверить большое количество аватар, на предмет <?php
?

[somediff]

somediff, напиши пожалуйста, как можно проверить большое количество аватар, на предмет <?php
?

Любой утилитой позволяющей искать по группе файлов,  я например сделал это через Total Commander
alt+f7 и там вводим строку в поле "с текстом"

[Drakonsa]

Из различных соображений. В том числе добавляя новую функциональность, и исправляя ошибки, в том числе и безопасности.

Только какое отношение имеет ваш "ироничный" вопрос к моему?

http://www.simplemachines.ru/index.php/topic,5359.0.html 1.1.6
PatchNote 1.1.7

Simple Machines announces the release of SMF 1.1.7

This release is a security-only update which addresses a few recently discovered security issues in SMF 1.1.6 and older

http://www.simplemachines.ru/index.php/topic,5901.0.html 1.1.7
PatchNote 1.1.8

Simple Machines announces the release of SMF 1.1.8, which addresses a few vulnerabilities found in 1.1.7. We would like to encourage all users to upgrade as soon as possible.

Те патчи, которые вы исчите есть ничто иное как обновленная версия форума, которая делаеться буквально за минуту.

[somediff]

http://www.simplemachines.ru/index.php/topic,5359.0.html 1.1.6
PatchNote 1.1.7
http://www.simplemachines.ru/index.php/topic,5901.0.html 1.1.7
PatchNote 1.1.8
Те патчи, которые вы исчите есть ничто иное как обновленная версия форума, которая делаеться буквально за минуту.

Drakonsa если бы вы решили таки почитать тему на которую я дал ссылку, то увидели бы что у многих там версия 1.1.8. Следовательно официального патча нет. Тема о которой я говорю была открыта 1го мая, сейчас в топе раздела и содержит 117 ответов, наверное это о чем то говорит?

[Drakonsa]

Drakonsa если бы вы решили таки почитать тему на которую я дал ссылку, то увидели бы что у многих там версия 1.1.8. Следовательно официального патча нет. Тема о которой я говорю была открыта 1го мая, сейчас в топе раздела и содержит 117 ответов, наверное это о чем то говорит?

Но т.к. у вас не 1.1.8, то это к Вам никак не относиться.

[somediff]

Но т.к. у вас не 1.1.8, то это к Вам никак не относиться.

Интересно на каких основаниях вы делаете такой вывод? Думаете что если версия 1.1.6 то в ней только эти две уязвимости о которых вы написали?
Мои аргументы следующие:

1. Из-за уязвимости на форуме у меня в html коде после тега <body> появился блок со скрытыми ссылками. Я стал заходить на сайты по этим ссылкам, возьмем к примеру сайт http://www.esncagliari.it/forum/, он приведен в моем первом сообщении (только не стоит ходить конкретно по той ссылке что в первом сообщении). Итак мы видим - smf 1.1.8, при этом логично что так как ссылка на этот сайт появилась у меня, то была использована одинаковая уязвимость. Это первый довод за то что уязвимость есть у 1.1.8 и 1.1.6

2. Имеется тема http://www.simplemachines.org/community/index.php?topic=307717.0. В первом сообщении описывается идентичное моему поведение хакера. Далее уже на первой странице несколько людей пишут что у них аналогичная проблема и при этом версия 1.1.8, многие упоминают  пользователя с ником krisbarteo. На протяжении всего топика еще другие люди утверждают о аналогичной уязвимости 1.1.8. При этом даже код эксплойта совпадает с моим. Тогда как ссылки что вы привели описывают совсем другое поведение эксплойта. Это второй повод в пользу уязвимости версии 1.1.8 и 1.1.6
http://www.simplemachines.org/community/index.php?topic=307717.msg2040193#msg2040193
http://www.simplemachines.org/community/index.php?topic=307717.msg2039807#msg2039807
http://www.simplemachines.org/community/index.php?topic=307717.msg2040182#msg2040182

Ваши аргументы? Или вы занимаетесь гаданием на кофейной гуще?

[Drakonsa]

Интересно на каких основаниях вы делаете такой вывод? Думаете что если версия 1.1.6 то в ней только эти две уязвимости о которых вы написали?
Мои аргументы следующие:

1. Из-за уязвимости на форуме у меня в html коде после тега <body> появился блок со скрытыми ссылками. Я стал заходить на сайты по этим ссылкам, возьмем к примеру сайт http://www.esncagliari.it/forum/, он приведен в моем первом сообщении (только не стоит ходить конкретно по той ссылке что в первом сообщении). Итак мы видим - smf 1.1.8, при этом логично что так как ссылка на этот сайт появилась у меня, то была использована одинаковая уязвимость. Это первый довод за то что уязвимость есть у 1.1.8 и 1.1.6

2. Имеется тема http://www.simplemachines.org/community/index.php?topic=307717.0. В первом сообщении описывается идентичное моему поведение хакера. Далее уже на первой странице несколько людей пишут что у них аналогичная проблема и при этом версия 1.1.8, многие упоминают  пользователя с ником krisbarteo. На протяжении всего топика еще другие люди утверждают о аналогичной уязвимости 1.1.8. При этом даже код эксплойта совпадает с моим. Тогда как ссылки что вы привели описывают совсем другое поведение эксплойта. Это второй повод в пользу уязвимости версии 1.1.8 и 1.1.6
http://www.simplemachines.org/community/index.php?topic=307717.msg2040193#msg2040193
http://www.simplemachines.org/community/index.php?topic=307717.msg2039807#msg2039807
http://www.simplemachines.org/community/index.php?topic=307717.msg2040182#msg2040182

Ваши аргументы? Или вы занимаетесь гаданием на кофейной гуще?

Начнем с того, что даже если этот эксплоит и существует, чего крайне не хотелось бы, то Вашему 1.1.6 всеравно с ним быть. А в продолжении, первые проблемы появились около недели назад, зная разработчиков SMF то апдейт выпускаеться через 1-2 дня после нахождения проблемы.
Если захотеть, то и в phpinfo можно найти уязвимость ©digger
И если честно я не нахожу смысла в том, что вы тут мне пытаетесь что-то доказать...

P.S. Мне на карму пофик

[somediff]

Начнем с того, что даже если этот эксплоит и существует, чего крайне не хотелось бы, то Вашему 1.1.6 всеравно с ним быть. А в продолжении, первые проблемы появились около недели назад, зная разработчиков SMF то апдейт выпускаеться через 1-2 дня после нахождения проблемы.

И из этого следует что проблема 1.1.6 не касается (как вы написали ранее) или что? (Можете не отвечать)

Если захотеть, то и в phpinfo можно найти уязвимость ©digger
И если честно я не нахожу смысла в том, что вы тут мне пытаетесь что-то доказать...

Эмм, я как бы создал топик, вы в нем отписались. Мы стали вести дискуссию, в которой я аргументировано указал на вашу неправоту, а теперь вы мне пишите что я вам что-то пытаюсь доказать.  Не писали бы, ничего бы и не доказывал.

P.S. Мне на карму пофик

Карма ведь не только для вас, я вам поставил минус потому что не люблю когда люди публично утверждают то чего не знают либо то в чем не уверены (и при этом не уточняют что не уверены), это ведь сбивает других с толку. В дальнейшем постараюсь удержаться от дискуссии  с вами так как видимо вы попросту любите болтать.

Теперь по теме, появился следующий топик http://www.simplemachines.org/community/index.php?topic=309717.0
В котором некто именующий себя Spam Specialist дает общие рекомендации о том как избежать этой уязвимости, до появления официального патча. Топик начинается со слов:

Considering the recent mass attack on SMF forums over the past week, and seeing as I, myself, have helped many users to get their sites back, I am posting this so you can prevent being attacked.

Кстати ветка 2.0 вроде как не содержит уязвимости.

[somediff]

Что-то все начали оффтопить )
А по сабжу вот:

It's unfortunately not so easy to release a security patch as you thought,the DEVs are working hard on this issue and don't forget we're all volunteers here,also you should just have patience and follow the temporary suggestions

http://www.simplemachines.org/community/index.php?topic=309741.msg2055785#msg2055785

[Mavn]

на сколько я знаю заливка производится средствами загрузки аватар. Советуем выключить загрузку аватар на сервак.

[somediff]

на сколько я знаю заливка производится средствами загрузки аватар. Советуем выключить загрузку аватар на сервак.

Верно, зарубежное комьюнити так и советует. Плюс отключить вложения. Пока не выйдет официальный патч.
Кроме того установить модули которые уменьшат количество регистраций хакеров и спамеров
Stop Spammer
reCAPTCHA for SMF

Топик с советами http://www.simplemachines.org/community/index.php?topic=309717.0

[somediff]

Верно, зарубежное комьюнити так и советует. Плюс отключить вложения. Пока не выйдет официальный патч.
Кроме того установить модули которые уменьшат количество регистраций хакеров и спамеров
Stop Spammer
reCAPTCHA for SMF

Топик с советами http://www.simplemachines.org/community/index.php?topic=309717.0

Я правда отключил аваторы и вложения только для пользователей с количеством сообщений меньше 3ех

[Mavn]

Ага, запретить аватары, запретить постить и вообще сделать всем форум рид-онли =) Это не выход.

мне все равно какие выводы вы делаете! Я дал рекомендации до выхода патча что нужно сделать, так что сарказм ваш не к месту.

зачем же так радикально, есть же [censored]д
другое дело, что у некоторых даже фильтрации типов вложений на сайте нет, потому как они не знают, что это вообще такое :о)

и чего толку от [censored]да если шелл уже залит на хост? что мне помешает при помощи шела поменять [censored]д??

somediff
появились мысли редактируйте сообщение, флудить в чате будете!

[Yworld_garry]

Решения лучшего чем приведено выше, насчёт отключения загрузки аватар нет пока и не будет пока не выпустят патч.
Отключать или нет дело каждого.
Польза принесена, внимание сообщества обращено, дальнейшее обсуждение пока нет решения просто флуд.
Ну не избежать ни одному популярному ресурсу взлома или иных подобных действий. В данном случаи есть вот такая уязвимость, которая будет закрыта.
А если под заказ, то вы ни чего не сможете сделать против взлома. В данном случаи это не самая страшная дырка имеющая решение на первое время.
Готовым нужно быть всегда.
1 Иметь бекап файлов системы
2 Дамп базы(по возможности ежедневный). Собственно на приличных хостингах так и есть. Но можно и самому.
3 Поддерживать гигиену компа своего.
4 Не поднимать и не поддаваться паники

При выполнении этих условий спокойствие гарантировано. Как в данном случаи, перезалить файлы, найти гадость и временно отключить загрузку авиков.
Даже при более серьёзном взломе с залитыми хитрыми шеллами, поможет всё выше перечисленное, с более тщательной проверкой сервера на предмет всякого рода гадости.
Время восстановления сводится к минимуму, потери так же минимальные. На посещаемых проектах это возможно какое то количество постов за день ( что не заметно большим проектам). Малым или молодым вообще ерунда, только польза в приобретении опыта.

PS
Существуют не писанные правила любых форумов и тем более сообществ. Нарушать их не следует и тем более спорить с администрацией. Но во первых это не корректно, во вторых если есть претензии в личку.
Не надо всё принимать в штыки, есть правила о которых вам сообщили.
Дальнейшие посты не по теме флуд и искусственное нагнетание конфликта. Расслабтесь и постарайтесь сами дать решение этой траблы народу, вот тогда будет честь и хвала. Паника не нужна, так как это абсолютно рядовой случай не несущий в себе мего криминала.