SMF HELP!

Szlak mnie trafia juz po raz kolejny mieliśmy włam.
Włam  idzie na INDEX.PHP i za każdym razem rozwala stronę główną i ostatnio dodał  wpis do index z trojanem.
Jak się zabezpieczyć może wiecie jaką lukę wykorzystuje haker.

Dodam ze nie jeden raz zmienialiśmy hasła na mocne hasła ale to nie pomaga
Zablokowaliśmy dodawanie własnych Avatarow do rejestraij sa obrazki captcha i TAK TO NIE pomoaga

Proszę o pomoc -  smf  SMF 2.0 RC1.2

Forum www.dcmaniak.pl (http://www.dcmaniak.pl)

Znalazłem przez co nas atakowali
 c99shell  kon trojanski
Ale nie wiem jak to wysłali na serwer bo mamy zablokowane dodawanie własnych avatarow
Chyba ze zrobili to przez dodawanie plików na forum

dcmaniak.pl\public_html\download\files\c100.php4   
PHP/C99Shell.NAA koń trojański

dcmaniak.pl\public_html\download\test\c100.php4   
PHP/C99Shell.NAA koń trojański   

2 konie w  takich lokalizacjach
Czy cos wam to mowi i jak sie przed tym obronic

Witaj Szaber :)
hmm co by tu doradzic
po 1 to bym uciekł z /home/public gdzies glebiej do katalogu /var/www
po 2 to zmienilbym adres do phpmyadmin z  dcmaniak.pl/phpmyadmin na (przyklad)  ur75.t.dcmaniak.pl/pr.588veur/
po 3 zablokowac wrzucanie plikow php na server (tutaj napisz do Daro on mi zrobił to chyba ze ktoś tutaj wie jak to zablokować)
Może ktoś jeszcze cos doradzi bo juz ktoryś raz z koleji rozwalili to forum i też zaapeluje o pomoc w tej sprawie !
Pozdro

Pogadam z Daro a najpierw może  Loopi ogarnie co napisałeś
Thx za rade
Forum wyłączyliśmy bo instalujemy najnowsze SMF jak postawimy Postaram się aby te rady co podałeś zastosować

A ciekawi mnie co jeszcze można zrobić  konkretnie w tym przypadku co zrobić aby było bezpieczniej

Ale plik wrzuca Ci na serwer uzytkownik zarejestrowany na forum? Bo jesli tak to najbezpieczniej wylaczyc mozliwosc wrzucania plikow na serwer przez uzytkownikow lub umozliwic tylko jakims zaufanym userom z wysoka ranga ...

Jezeli nie to wyglada na to, ze robi to przez FTP a wiec masz zle zabezpieczone FTP .. innej mozliwosci nie ma, bynajmniej ja nie znam ... a mniemam, ze wlasnie tak jest. Masz wlam na FTP i ktos wrzuca ci konia trojanskiego i infekuje kod strony.

Standardowo pewnie jest ustawiony na atakowanie index.php.

SMF to na prawde bezpieczy kod, no chyba ze ktos znalazl niesamowita luke w kodzie ale nie chce mi sie wierzyc ze tak jest. Jesli jest to atak z zalacznika to najprawdopodobniej jest on dokonywany z Twojego FTP, a wiec ten ktos ma dostep do Twojego FTP. Zmien haslo do FTP, zmien uzytkownika FTP. Zobacz jak masz ustawione uprawnienia na swoim hostingu.

Zmiana hasel adminow, do mysql itp. nic nie da, tylko zabezpieczenie FTP.

Heja Draco :)
Właśnie mowiłem miedzy innymi by zablokowac możliwośc wrzucania plików PHP  prawdopodobnie taki plik wrzucają na serverek
Też miałem kiedyś problem z  ftp i wiem miejwięcej czym ci ""Hakerzy ""sie bawią  :dobani:
Dzięki za odpowiedz ;)
Ps. Szkoda tego forum naprawde jest bardzo pomocne dla użytkowników DC++  trzymam kciuki by sie udało wam je zabezpieczyć  :oklaski:

Najlepiej zmienic wszystko czyli:

- nazwe uzytkownika FTP
- haslo do FTP (polecam generatory hasel - nie do zlamania)
- nowy uzytkownik bazy mysql (nie wybierac nazw jak root czy admin)
- rowniez generowane haslo do mysql
- najlepiej rowniez jakies trudne haslo dla admina na forum
- nie dawac za duzych uprawnien zwyklym uzytkownikom
- bezwzglednie ustawic rejestracje na aktywacje email

Dziękuje za odpowiedzi Na pewno każdą rade potraktujemy poważnie.
Forum wróci Jesteśmy w trakcie ustawiania forum na nowym SMF.
Gdy dodamy wszystko to skorzystamy z rad o zabezpieczeniach przed otwarciem forum.

Troszkę nam to zajmie bo jak serafin wiesz nie jesteśmy Profesjonalistami i każdy z nas po za forum ma życie osobiste i prace a wiec czasu mało.
Ale wrócimy

Część Szaber :)

Sorry, u mnie pod górkę z czasem z powodu mojego przymarudzenia z projektami,
- to wina moich kompów i w końcu postanowiłem się za to wziąć skutkiem czego wypadło mi z życiorysu 2 tygodznie..

Czy tylko was dwóch korzysta, tj. ma full dostęp?

Zacznijmy od tego, że takie rzeczy się dzieją, kiedy Twój komp jest zhackowany.. niektóre złośliwe oprogramowania z czytują hasła np. z TC czy innych klientów FTP, a kiedy się połączysz, to bez twej wiedzy wrzucają na serwer tam gdzie bywasz swój soft.

Zacznij od wykluczenia paru rzeczy.. tak Draco ma rację nie ma tu wiele możliwości.

Załóżmy taki scenario:

- jest tylko dwóch Adminów, albo nie, załóżmy, że jesteś tylko sam.. (tylko tyle X ilu was)
- masz konto np. na home (! na to też bym uważał)
- nikt inny nie ma dostępu do FTP, nawet za pomocą jakiś skryptów wiesz jakiś download itp..
- masz dostęp do ftp i korzystasz z niego np. via Total Commander
- Twój Sys to Winzgroza XP a browser to IE 7 / lub 8
- Twoje połączenie z netem odbywa się za pośrednictwem modemu typu Sagem (usb) lub Thomson..
- masz jakiś program AV i dodatkowo np. SpyBota.
- jesteś Adminem swojego forum


hmm --> to i tak, jeśli tak masz to jakbyś sam sobie strzelił w stopę..


-> Sprawdź system (pod kontem virków, spy, keylogerów i rootkitów)
-> Zapomnij o takim g.. jak IE Tylko FF i Opera, ale pliki haseł trzymaj na kluczu usb zaszyfrowane. a nie na kompie.
-> to samo z TC, skopiuj na usb z hasłem plik konfigu tam gdzie hasła, a same hasła z kompa usuń.
-> najlepiej do wszelkich operacji typu "bycie adminem", dostęp do ftp, - używaj klucza usb
-> Bowsers.. Opera i FF tu wiesz np. Operka to klikasz w różkę i hasełko wskakuje bez klikania w kibord ew. klawiatura ekranowa.
-> jeśli z przyjacielem wysyłacie do siebie emaile to zapomnij o priv, chyba że to system PM na forum.. przykładowo podajesz mu hasełka dla admina itp.. to zapisz je do pliku txt i zapakuj do zahasłowanego rara i dopiero wtedy wyślij via email inaczej licz się z tym, że ktoś to przeczyta.. Po za tym takich rzeczy nigdy nie trzymaj na serverze - po przeczytaniu wiadomość usuwaj z serwera, zawsze ktoś może się do Ciebie włamać na konto nie zostawiając śladów..
-> Powinniście obaj mieć połączenie z netem via Router i najlepiej zainstalowany Firewall ale taki który pokaże Ci również ruch wychodzący! (btw hehe powodzenia na szpiegowskiej viście..)
-> Po instalce forum i wszystkich potrzebnych ..rzeczy usuńcie hasła z kompów i trzymajcie je zabezpieczone albo na innej partycji, albo na zabezpieczonym kluczu usb.


-> przy zakładaniu forum dodaj tipsy od chłopaków z tego topa i pamiętaj, że to co ja tu napisałem dotyczy w równym stopniu Ciebie i Twojego kumpla Loopi'ego, to nie są żarty! w zasadzie zagrożenie wzrasta w postępie geometrycznym nie liniowym w zalezności od ilości osób które w tym uczestniczą...

-> Poproś o logi na hostingu, trzeba wsio przeanalizować. Nie myśl też że to wina skryptu SMF, ponieważ póki co to jeden z bezpieczniejszych skryptów na świecie! Wiadomo, wszystko można złamać, ale czasem trzeba mieć poważny powód. np. zastanów się może jakaś konkurencja? Może ktoś was nie lubi? ..i pod tym kątem trzeba przejrzeć wszelkie logi.

-> Zmień skrypt downloadu! Zmień wszelkie hasła łącznie z tymi na koncie na hostingu! Nie trzymaj haseł na dysku, bo ktoś z nich zrobi użytek! Sprawdź swój własny komp i każdy kto ma dostęp. Jeśli musisz dawać dostęp do FTP, to twórz te konta głębiej jak zaproponował Serafin, tak żeby nic nie mogło stamtąd wyjść. Polecam również okresową zmianę wszelkich haseł.
Ale gruntowne sprawdzenie kompów powinno nastąpić przed wszelkimi późniejszymi krokami, czyli zanim cokolwiek zrobisz to sprawdź najpierw kompa swojego a kumpel swojego.
Można również zamontować np. virtualną maszynkę np. virtualbox i tam mieć inny system z połączeniem do neta itd..
Są również stronki i programy do sprawdzania własnych stron pod kątem virków itp..

Co by nie powiedzieć, to są dwie możliwości główne...
1. - włam z własnego kompa,
2. - dziurawy skrypt np. downloadu., który dodatkowo jest w tym samym gł. katalogu, zamiast głębiej

To moje prywatne refleksje podparte wiedzą wyuczoną, nabytą również przez czytanie wszystkiego na temat włamów w necie.., (wiesz troska o własnych klientów..), autopsją i własnymi przemyśleniami i mam nadzieję że uda Ci się tę wiedzę wykorzystać, tj. moją i innych którzy zabierali tu głos.

BTW, zajrzyj w te dwa miejsca: 

http://www.searchengines.pl/Wirusy-i-Spyware-Bezpieczenstwo-w-sieci-f99.html (http://www.searchengines.pl/Wirusy-i-Spyware-Bezpieczenstwo-w-sieci-f99.html)

i na forum mojego kumpla:
http://cybertrash.netarteria.pl/cyber/ (http://cybertrash.netarteria.pl/cyber/)

Tam znajdziesz to czego Ci potrzeba do sprawdzenia kompa i nie tylko, ale zanim zadasz pytania to poczytaj przyklejone!

No dobra, sorka wpadłem tu na chwilkę i muszę już dalej, jak co to pisz, nie ma pytań bez odpowiedzi, choć najtrudniej postawić właściwe pytanie, nie.. ;)

Pozdrawiam i nie daj się zapędzić w kozi róg. :)
roco

Jestem Amatorem ale mam włączonego firewella Visty wiem ze to gówno ale jest to niech będzie
Antyvirus Nod32 zawsze najnowsze  i włączony w nodzie fireweel.
Włam poleciał faktycznie poprzez Scrypt do downloadu :)
Przeczytałem wszystko i jestem wdzięczny bo wiem teraz na czym się skupić.
Gdy skończę ustawiać samo forum zasypie was pytaniami - lub znajdę na necie odpowiedzi bo niestety nie znam się zupełnie na Obsłudze serwera.
Niestety nie mam czasu na naukę bo Jak sami wiecie Zycie się nie kończy na INTERNECIE - A JESTEM tylko i wyłącznie skupiony na nauce ANGIELSKIEGO.

Dziękuje za odpowiedzi i na pewno potraktuje poważnie każdą waszą uwagę a i na pewno inni z tych porad tez skorzystają

Szpoco Szaber ;)

Ja jadę na siódemce i nie mam problemu z firewallem ale musisz wiedzieć, że vista jest szpiegowska i nie pozwoli Ci zainstalować niczego co kontroluje ruch wychodzący..
Zamontuj SpyBota i dobrze się przeskanuj. Naprawdę wierz mi nie należy bagatelizować możliwości, że to my sami zakażamy własny server..

Po tych wpisach błędów domyśliłem się, że to winny był dziurawy skrypt downloadu.. ale pełno takich skryptów, więc na pewno znajdziesz coś dla siebie.
Tylko jak coś sobie upatrzysz to wpisz w google może wyrzuci problemy jakie ludzie mają, może właśnie z dziurami? 

Oczywiście nie pękaj zadać tysiąca i jeden pytań hehe

Napisałem to wszystko powyżej, ponieważ planujesz zrobic wsio od początku, to dlatego te wszystkie tipsy są takie ważne!

Pozdrawiam :)
roco

Co to za błąd


I pytanko na czym polega Ukrycie index.php czy setting.php
Jak to sie robi
Mógłby mi ktoś wytłumaczyć bo nic nie kumam

Dobra Bład GG naprawilem.

Pytanie czy
Download system do smf wersja 1.2.8 jest bezpieczna Jak uwarzacie

naprawiłeś a jak że  8) moją paczką  :D

Grunt ze naprawione Thx ciepły
Zainstalowałem za namową blokowanie Proxy
Sprawdzanie ip dla adminów
Nowy scrypt do downloadu

Napiszcie jak ukryć  setting.php i jak przeniesc  index.php w inne miejsce bo tylko to mi brakuje aby otworzyć forum.
I czy wogole ukrycie setting.php ma sens bo naczytałem się rożnych opinii

Jeśli dostęp do FTP jest dobrze zabezpieczony i pliki odpowiednio schmodowane to nie widze sensu ukrywania plików. I nie ważne gdzie ukryjesz np. settings.php bo i tak musisz dać odwołania do niego w wielu innych plikach od smf, które z niego korzystają, więc tak na prawdę nie będzie on ukryty bo wszędzie będą odwołania (ścieżka).

Witam
Oczywiście jak jest źle zabezpieczone ftp to ukrywanie plikow nic nie da. tak jak Draco pisze :) na moim forum akurat nie jest potrzebne ftp pliki ktore chce wrzucic to wrzucam przez winscp  bezpośrednio do katalogow
URL do forum   -  http://portal.matrixelite.pl (http://portal.matrixelite.pl)
Katalog SMF   - /var/www/portal
Katalog źródeł - /var/www/portal/Sources
Czy w tym przypadku FTP jest mi potrzebne? jak ktos niema swojego servera lub jakies konto na serverze tylko wykupione to tak
Pozdro :)

No ale FTP jest potrzebne niezależnie od tego, czy masz tylko swoj serwer na hostingu czy masz serwer dedykowany. Najczesciej atak moze pojsc przez uzywanie programow do FTP jak np. Total Commander itp. Same serwery i dostep do FTP jest najczesciej bardzo dobrze zabezpieczone no chyba ze uzywamy loginu: Admin i hasla: 123456 to wtedy byle dzieciak nam sie na serwer dostanie ....

No zobaczymy ODPALAMY  forum i czekamy :) oby nic już się nic nie działo

Dzieki za wszystkie rady zastosowałem co moglem z waszych rad i zobaczymy

Powiedzcie jaki chmod jest najlepszy do setting.php i index.php
Bo wyczytałem ze 730 jest mocny

Cześć wszem i wobec i każdemu z osobna :)

Sorka Szaber, kompletnie w tym momencie nie mam jak tu bywać, choć pracuję nad tym, żeby to zmienić. ;)

SMF jest dostosowane do pracy na standardzie hostingowym, czyli na flderach masz chmody 775, a na plikach 644 to wystarcza, ale np. Mod Aeva potrzebuje 666

Nie ukrywaj tych plików, to się robi, kiedy wszystko już zapięte na naprawdę ostatni guzik, żadnych modów więcej, żadnych nowych styli, żadnych nowych aktualizacji, a nie zapominajmy że mamy dopiero RC
Nie nie ma sensu przenoszenia plików, wierz mi! Oczywiście rób kopie bazy i plików, Pliki zawsze po modyfikacjach, - robisz kopie, a bazę pobieraj tak często jak możesz nawet 1x dziennie.
Co do downloadu, do modyfikacja, (a nie zewn. skrypt), jest całkiem do rzeczy i jest wystarczająca.

Generalnie bym nie pękał, jest ok! Po prostu bądź uważny.

Pozdrawiam :)
roco

Ftp i nasze konta hasła są Pozmieniane na bardzo mocne.
Kopie tak robiona nawet czasami 2 razy dziennie pliki także mamy zawsze kopie.
Scrypt do downloadu jest extra i bardzo prosty w obsłudze i posiada dobre wsparcie.

Chmody ok zostawię jak są.

Dzieki za rady wszystkim
Podziękowania dla cieplutkiego który poświecił troszkę czasu na gg i podsunął tez sporo rozwiązań i za mod Mangent