Уязвимость в версии 1.1.5

[sh_iva]

Имеется факт того, что рядовой пользователь смог стать "скрытым" администратором (в логах модерации имеется запись о пользователе со статусом НОВИЧЕК!!!)

По слухам, в списке он-лайн пользователей внизу главной страницы, он отображался серым цветом.
Это может быть встроенная дыра или это лишний скрипт, написанный моим предшественником?

При этом, по непроверенным данным, админскими полномочиями можно наделить любого пользователя - возможно ли это?

[Mavn]

Вы сами себе противоречите. Сначала говорите факт потом говорите слухи..
если есть факт то логи апача в студию где прописано как и чего получилось...
расследованиями слухов не занимаемся

[sh_iva]

Логи апача у провайдеров запросил.
Слухи - потому, что сам не видел, а со слов других людей.
Непроверенные данные о возможности наделить полномочиями любого пользователя - хвастливые заявления того, кто этим воспользовался...
Так что жду логи.  Очень надеюсь, что это просто вкладка моего предшественника, которую сможем обнаружить.
Не хотелось бы это обсуждать в открытую, через личку сможете помочь?

[Mavn]

1. Я тоже могу наделить кого угодно админскими правами ... будучи админом форума
2. Логи само собой секретная инфа которая только через лс рассматривается. Только если честно меня больше интересует сама часть где все это делается потому как капаться в мегабайтных файлах логов не интересно

[sh_iva]

Я и есть админ форума.
Вчера наблюдал это своими глазами:
1. внизу страницы "в онлайне ...пользователей (1 - скрытый)"
2. администратору показывает скрытого пользователя со статусом админа, написанного курсивом.
3. пользователь получил статус администратора сам
как- не знаю, копаюсь в логах, пока ничего не нашел...
Скрытые пользователи - это что за инструмент?

[dedmazai]

Скрытые пользователи - это что за инструмент?

С такими вопросами в дедский сад.Посмотри в профиле.

[npokypop]

Есть случай когда обычный пользователь каким-то образом смог забанить другого пользователя.

Имя:                Примечания                     Причина
UW-malganys    QuickWarning Action          QuickWarning

[sh_iva]

Нашел закладку в одном из скриптов, оставленную предшественником:
после подключения к базе данных:
$query = "update smf_members set id_group=1 where (membername='...')
и вбито конкретное имя пользователя, который мгновенно становится админом

[stasiki]

Нашел закладку в одном из скриптов, оставленную предшественником:
после подключения к базе данных:
$query = "update smf_members set id_group=1 where (membername='...')
и вбито конкретное имя пользователя, который мгновенно становится админом

Логи! Иначе это песня ни о чем, и разобраться в ней не представляется возможным. А по поводу вышесказанного, это все равно что сказать - это был мужик в бороде и черной шляпе, сам я его не видел, но он оставил палочку от эскимо которое ел...

[Avdenago]

При этом, по непроверенным данным, админскими полномочиями можно наделить любого пользователя - возможно ли это?

Возможно. Как легально, так и при помощи заранее подготовленной "калитки". Сверьте ваши файлы форума с оригиналом. - вначале хотя бы не кода, а вообще количество файлов.

Кроме того, уже вроде писалось, можно оставить в самих файлах код - который при вызове присвоет нужному пользователю админские права...

[oldcopy]

Если есть подозрение на закладку, лучше переустановить  форум не трогая базу, может оказаться муторно, если стоит много модов или ручных правок, зато будете уверены в безопасности.

[fancar]

SMF 1.1.6 20.04.08, 21:56:14
A patch has been released fixing a few bugs and addressing a security vulnerability. We urge all forum administrators to upgrade to SMF 1.1.6—simply visit the package manager to install the patch.

[CAXAPA]

Здравствуйте,
Вы не поверите, но мой форум, что называется, "хакнул" некий Necromancer, причем, видимо он пролез и на весь сайт, т.к. заменил главную страницу (форум только часть). Правда, у меня стояла старая версия 1.1.3. Сейчас я срочно проапгрейдилась до версии 1.1.6.
Но и тут проблема: некоторые файлы в папке Sources остались разных старых версий. На SMF форуме советуют (вот тут: http://www.simplemachines.org/community/index.php?topic=197525.0) им поставить CHMOD 777, но я теперь как-то не решаюсь, после такого наезда.
Посоветуйте, пожалуйста, как быть?

Я веду сайт "Русский Париж" (http://www.russianparis.com), я не особый спец во всех этих делах, и такой взлом переживаю впервые.

Спасибо заранее.

[fancar]

видимо права на некоторых файлах были на запись для всех. Там в админке есть с помощью FTP  chmod... перед обновлением ставишь все на запись, после обновления ставь минимальное количество файлов на запись и все.

[CAXAPA]

Спасибо!
Т.е. после обновления я cmod как раньше делаю, так?

а вообще у кого-то случалось, чтобы SMF форум хакеры полностью укладывали?
и какое тут лучшее лекарство - наверное, своевременные обновления?
Thx еще раз.

[Mavn]

Хехе от того что вы выставите chmod 777 будет только хуже и это никак не изменит версию файлов!
Разная версия файлов связана с тем что далеко не все файлы нуждаются в обновлении и если стоит в одном файле версия 1.1.6 а в другом 1.1.4 то это еще ничего не значит, просто файл со старой версией не нуждается в обновлении.

Если вы не собираетесь и дальше изменять файлы при помощи модификаций то выставляйте chmod 644.

Основная проблема администраторов в том что далеко не всегда ставят обновления для форума, как результат ломаные форумы, обновляйтесь вовремя и проблем будет гораздо меньше.

[fancar]

и права на запись смотри у скриптов

[Mavn]

и права на запись смотри у скриптов

Хехе а chmod это разве не права на запись?

[fancar]

change mode - изменить режим файла.
я линуксоид. не сцы.
Если какие то файлы не обновились, значит дело было в правах, надо +r. Вот что я хотел сказать. Че к словам придираться. я не как не думал, что человек будет жаловаться что что то не обновилось, если просто файл в новой версии не изменялся. В админке ж даже красным выделены изменяемые файлы. Сахара наверное это имела ввиду