Выпущены SMF 1.0.23, SMF 1.1.17 и SMF 2.0.3

[Mavn]

chilly86 точно та же картина.

Диспетчер задач -  Получение файлов с сайта Simple Machines

[karavan]

Диспетчер задач -  Получение файлов с сайта Simple Machines

Пробовал, не помогает.

[remingtone]

да вот ответ

[Mavn]

Пробовал, не помогает.

на самом деле тут может быть две причины
либо сервак не подтаскивает эти файлы по каким то своим причинам либо сервак смф по каким то причинам файлы не отдает
просто подождите некоторое время все само разрешится

[chilly86]

Пробовал, не помогает.

аналогично
в принципе не парит... главное что обновился

[karavan]

просто подождите некоторое время все само разрешится

Ок.

аналогично в принципе не парит... главное что обновился

Согласен.

[Slavegirl]

Сегодня в полночь была взломана. Пока не знаю причину (админ сервера еще не разбирался), но думаю потому, что вовремя не обновилась. Была внедрена 1 строка в конец файла: "Themes/default/scripts/script.js", которая отправляла запросы на домены "you-have-cox.com, -net, -info". Хотя эти домены зарегистрированы только вчера, Касперский уже определил, что форум заражен, и домены им блокируются.

Если есть необходимость, могу выложить пример вредоносного кода, внедренного в "script.js".

[kak2z]

Сегодня в полночь была взломана. Пока не знаю причину (админ сервера еще не разбирался), но думаю потому, что вовремя не обновилась. Была внедрена 1 строка в конец файла: "Themes/default/scripts/script.js", которая отправляла запросы на домены "you-have-cox.com, -net, -info". Хотя эти домены зарегистрированы только вчера, Касперский уже определил, что форум заражен, и домены им блокируются.

Если есть необходимость, могу выложить пример вредоносного кода, внедренного в "script.js".

помнится мне что это уже у Вас не первый случай взлома... может дело все таки в хостинге?? может он где то там дырявый.. ??

[Slavegirl]

Нет, до этого взломов не было. Были проблемы с ресурсоемкими модами, которые ложили сервер.
Хостинг Лизвеб, VPS. Если что-то случается с сервером, то это исключительно наша вина, но никак не хостинга.

Обновилась до 2.0.3 через установку мода прямо из панели администрирования. Процесс прошел успешно, ошибок в логах нет.

Если изменили файл *.js, выходит, злоумышленник получил пароль на ФТП? Или существуют другие способы изменения кода файлов без паролей?

[digger®]

Если изменили файл *.js, выходит, злоумышленник получил пароль на ФТП? Или существуют другие способы изменения кода файлов без паролей?

Ходит червяк по виндам, собирает пароли сохраненные в фтп клиентах. Следом проходит бот, заражает php/js файлы по фтп.
Уязвимости в движках.
Залитые шеллы.

[Slavegirl]

Форум взломали с помощью загруженного аватара GIF с программным кодом внутри. Червяк в системе - маловероятно (0,01%), на моем компьютере KIS с автообновлением. Второй администратор входит на сервер через MacOS.

Код в конце файла аватара:

Код Выделить Развернуть


$auth_pass = "";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","вредоносный код (образец могу выложить в личке)",".");?>


Это уязвимость SMF 2.0.2? На virustotal на аватар срабатывают только 3 антивируса из 36. Как защититься в будущем от подобного?

[kak2z]

Форум взломали с помощью загруженного аватара GIF с программным кодом внутри. Червяк в системе - маловероятно (0,01%), на моем компьютере KIS с автообновлением. Второй администратор входит на сервер через MacOS.

Код в конце файла аватара:

Код Выделить Развернуть


$auth_pass = "";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","вредоносный код (образец могу выложить в личке)",".");?>


Это уязвимость SMF 2.0.2? На virustotal на аватар срабатывают только 3 антивируса из 36. Как защититься в будущем от подобного?

наверно пережимать аватары надо) я так и делаю)

[Slavegirl]

kak2z, спасибо!
Уже выяснилось, дыра была в nginx, обновление на 2.0.3 на уязвимость не повлияло. PHP-код внутри аватара давал доступ к файловому менеджеру.

[karavan]

наверно пережимать аватары надо) я так и делаю)

Расскажите подробнее, как так делать? Это выходит всем угрожает?

[Istoric]

Да.. как пережимать аватары?

[Slavegirl]

Дыра очень опасная, и касается не только SMF, а практически любого ресурса.
Решение главного системного администратора:

Закрыть дыру можно добавив в php.ini cgi.fix_pathinfo = 0
по умолчанию он 1
и php пытается исправить путь к файлу если ему не правильно его дали

Прошу прощения, что вышеописанная информация (как только что выяснилось) не совсем касается данной темы.

[Istoric]

А как узнать вообще заражен форум или нет? Где посмотреть как проверить?

[Mavn]

Уже выяснилось, дыра была в nginx

проблема стара как мир http://habrahabr.ru/post/100961/
и вы еще говорите

Если что-то случается с сервером, то это исключительно наша вина, но никак не хостинга.

все говорит о том что админ сервака явно не ведает что творит

[Slavegirl]

Спасибо за ссылку, уважаемый Администратор Mavn!

Как говорят, лучше учиться на чужих ошибках. Но все возможные проблемы невозможно охватить, иногда целых 2 года мало, чтобы о них узнать, пока самостоятельно с ними не столкнешься. Ресурс мой просто достаточно привлекательный, постоянно идут попытки взлома (перебор паролей на ФТП, SSH), вот и попались на крючок через незакрытую уязвимость (хотя и провисели на нем всего 6 часов).

Недавно наблюдала, как полмесяца назад форум на vBulletin моей же тематики с посещаемостью 300 тыс. / сутки целую неделю подряд каждый день ломался ребятами из CuraHack. Так что от подобных происшествий не застрахован абсолютно никто.

---------------

Просматривала файлы модификации апдейта 2.0.3 и заметила, что в некоторых местах были внесены изменения в запросы к БД. До конца не разобралась, эти изменения касаются только мер безопасности или также повышения производительности работы БД?

[Istoric]

Так а что все таки с пережатиями аватар?  Или это не всем надо?  Или от хостера зависит? Я запутался (

[Жека]

Расскажите подробнее, как так делать?

В админке:

Вложения и аватары => Свойства аватаров: Загружаемые аватары

Обрабатывать потенциально опасные аватары

При выборе этой опции будет производиться попытка перекодирования загружаемых аватаров, для обеспечения более высокой безопасности.
Обратите внимание: после перекодирования все анимированные изображения станут статичными.
Данная функция работает только при наличии установленного GD-модуля на сервере.

Как видите, если включить её, то невозможно будет юзерам установить анимированны аватары, что для меня не приемлемо и поэтому эта опция на моём форуме выключена.

Еще там же интересная опция "Выполнять экстенсивную проверку загружаемых аватаров"

Slavegirl, если у вас сохранилась эта gif-ка, можете попробовать выставить эту галочку и попробовать поставить себе этот аватар.
Интересно, получится или нет

[Slavegirl]

Slavegirl, если у вас сохранилась эта gif-ка, можете попробовать выставить эту галочку и попробовать поставить себе этот аватар.
Интересно, получится или нет

Пробовала, эта опция на аватар не повлияла.

Все же считаю, что данная уязвимость не только в php/nginx, но и в SMF, так как движок форума при настройках по-умолчанию для аватаров допустил загрузку на сервер вредоносного кода.

[Istoric]

В админке:

Вложения и аватары => Свойства аватаров: Загружаемые аватары

Обрабатывать потенциально опасные аватары

При выборе этой опции будет производиться попытка перекодирования загружаемых аватаров, для обеспечения более высокой безопасности.
Обратите внимание: после перекодирования все анимированные изображения станут статичными.
Данная функция работает только при наличии установленного GD-модуля на сервере.

Как видите, если включить её, то невозможно будет юзерам установить анимированны аватары, что для меня не приемлемо и поэтому эта опция на моём форуме выключена.

Еще там же интересная опция "Выполнять экстенсивную проверку загружаемых аватаров"

Slavegirl, если у вас сохранилась эта gif-ка, можете попробовать выставить эту галочку и попробовать поставить себе этот аватар.
Интересно, получится или нет

Спасибо )) У меня оказывается уже галки стоят в нужных местах )

[Жека]

Пробовала, эта опция на аватар не повлияла.

Т.е. с выставленной галочкой "Выполнять экстенсивную проверку загружаемых аватаров" движок пропускает эту gif-ку?

А если выставить "Обрабатывать потенциально опасные аватары", то движок пережмет эту gif-ку и вредоносный код в конце исчезнет?

[Slavegirl]

Прошу прощения, перепутала в предыдущем ответе "Обрабатывать потенциально опасные аватары" с "Выполнять экстенсивную проверку загружаемых аватаров".

При включении последней аватар пережался в статический, вредоносный код исчез, после этого движок его пропустил на сервер. Но эта опция выключена по-умолчанию и не рекомендуется форумом.

[kak2z]

Расскажите подробнее, как так делать? Это выходит всем угрожает?

я вот так настроил

а в своих скриптах я вообще по умолчанию копирую загруженное изображение, пережимаю в jpg и сохраняю в файл..

[Жека]

проблема стара как мир http://habrahabr.ru/post/100961/

Mavn, как опытный админ, подскажи, плиз:

1) почему на шаред хостинге при выставлении в php.ini cgi.fix_pathinfo=0
phpinfo() всё равно показывает 1 и Local Value, и Master Value

2) если не юзать встроенное в SMF ЧПУ, то не проще ли закрыть эту узявимость в .htaccess, указав
AcceptPathInfo Off

[Mavn]

некоторые параметры конечному пользователю запрещено менять поэтому ваши параметры в php.ini могут игнорироваться.

[Xvost]

Обновился с 2.0.2 до 2.0.3. Проблема в том, что обновлялся модом, ч/з Админку наличие обновления так и не было показано. Теперь в Админке:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.2
Кроме того, временами вылазит в логах ошибка, что не удалось получить какой-то там файл с сервера SMF.

В чём причина, где ошибка?

[karavan]

присоединяюсь к вопросу, точно та же ситуация.

[kak2z]

Глянул у себя.. Тоже присоединяюсь... только у меня все еще запущеннее

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 1.1.17

обновлялся через админку

[karavan]

Мда, серьёзный вопрос, нужно бы решить его...

[remingtone]

ну так зайдите и проверьте, в чем именно проблема: ?action=admin;area=maintain;sa=routine;activity=version

[kak2z]

ну так зайдите и проверьте, в чем именно проблема: ?action=admin;area=maintain;sa=routine;activity=version

да был я там... http://images.devs-on.net/Image/PXRKr1uODE8zb0cC-.png ничего там не сделаешь... только посмотреть можно

[remingtone]

где-то хвосты от единицы остались, ну или если она была когда-то очень давно - то это просто глюк или это уже 2.0.4 альфа какое-то

[kak2z]

где-то хвосты от единицы остались, ну или если она была когда-то очень давно - то это просто глюк или это уже 2.0.4 альфа какое-то

не было никогда единицы

[remingtone]

см пункт 2. гюки сервака СМФ

[Slavegirl]

В Админке появилась запись

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.4

Выпущена уже новая версия?

[kak2z]

У меня на одном форуме так

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.3

а на другом так

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 1.1.18

мне кажется у них что то глючит)

[Slavegirl]

Да нет, уже куча благодарных пользователей: http://www.simplemachines.org/community/index.php?topic=496403.0

Уже обновилась.

ChangeLog 2.0.4:

! Joshua's fix for validatePasswordFlood logic error (reported by Raz0r)
! Arantor fix for database error on lost connections
! Quick fix for Admin Password Reset vulnerability reported by Raz0r
! Directory traversal vulnerability in the function ViewFile (thanks yan.uniko.102 for reporting and Arantor for proposing the fix and Spuds for spotting the undefined variable)
! active users cannot change anymore the email from action activate without deactivation/confirmation (thanks BarteX for reporting the issueand suggesting a fix)
! Change language from the admin panel could allow XSS, path disclosure and code injection (thanks Jakub Galczyk for reporting the issue)
! Missing arguments in SSI functions called through ?ssi= generated error messages showing full server file path (thanks yan.uniko.102 for reporting it)
! Directory listing and editing of arbitrary files from the theme editing page in the admin panel

[kak2z]

ага... запустил получение данные с сервера СМФ - данные обновились и предложило обновить файлы - я и обновил) спасибо))

[karavan]

Зато у меня всё не как у людей, запрос файлов с SMF не помогает:

Информация о версиях:
Версия форума: SMF 2.0.3
Последняя версия SMF: SMF 2.0.2

На счет 2.0.4 подожду официального объявления, и что там нового, если можно, по русски?

[Slavegirl]

Эта штука меня испугала: http://raz0r.name/vulnerabilities/simple-machines-forum/
Решила обновиться, не дожидаясь появления новости об обновлении здесь.

А чем Вам тема на главном форуме не официальна?
http://www.simplemachines.org/community/index.php?topic=496403.0

[karavan]

Slavegirl пожалуй вы правы, тоже обновился.