• Welcome to Simple Machines Community Forum. Please login or sign up.
November 27, 2021, 11:15:07 PM

News:

Bored?  Looking to kill some time?  Want to chat with other SMF users?  Join us in IRC chat or Discord


Ponovo hakovan

Started by Ivan_Nis, June 05, 2009, 11:13:56 AM

Previous topic - Next topic

sablja

June 06, 2009, 05:36:04 AM #20 Last Edit: June 06, 2009, 05:52:31 AM by sablja
Тражио сам мало по СМФ форуму. Ваљда, ако имам само тај ИД теме 32, а немам других грешака на форуму, онда само треба из phpmyadmina решити проблем... СМФ ме је помало разочарао...

Грешке које ми се јављају приликом прегледа тема из профила. Обични корисници нису могли и не могу да мењају теме.

Quote
Примени филтер: Прикажи поруке о грешци само са овог URL-а srpskazemlja.com/diskusije/index.php?action=theme;sa=pick;u=1;sesc
Примени филтер: Прикажи поруке о грешци само са истом поруком
8: Undefined index: name
Датотека: /diskusije/Themes/default/Themes.template.php (pick sub template - eval?)
Линија: 442
   

Примени филтер: Прикажи поруке о грешци само са овог URL-а srpskazemlja.com/diskusije/index.php?action=theme;sa=pick;u=1;sesc
Примени филтер: Прикажи поруке о грешци само са истом поруком
8: Undefined index: images_url
Датотека:/diskusije/Sources/Themes.php
Линија: 919

sablja

Обрисао сам корисника krisbarteo и нестала ми је фантомска тема!

Ivan_Nis

Pogledajte da li imate botove registrovane sa  IP adrese
    194.8.75.191

Dzonny

Quote from: Ivan_Nis on June 06, 2009, 02:43:46 PM
Pogledajte da li imate botove registrovane sa  IP adrese
    194.8.75.191
Ja nemam...

srbija-tip.com

Ja imam

160      preeldceava       preeldceava       entectcig@gmail.com       194.8.75.191       77 days ago      0

[̲̅J̲̅][̲̅U̲̅][̲̅R̲̅][̲̅E̲̅][̲̅K̲̅] ٩(×̯×)۶

A sta s njim? Da to nije novi kirstbarteo (ili kako vec).. ?

Founder 2008

Quote194.8.75.191

Registrovali su se nekoliko spamera ili botova kod mene i ta adresa je odavno zabranjena.

Quote from: [̲̅J̲̅][̲̅U̲̅][̲̅R̲̅][̲̅E̲̅][̲̅K̲̅] ٩(×̯×)۶ on June 06, 2009, 05:45:29 PM
A sta s njim? Da to nije novi kirstbarteo (ili kako vec).. ?

Krisbarteo i Yuzdam su sa iste IP adrese i njih sam banovao.

Bob Marley

June 07, 2009, 12:30:03 AM #27 Last Edit: June 07, 2009, 12:37:04 AM by Bob Marley

Dzonny

Ako zabranite upload avatara i attachmenta sa korisnike sa 0 postova nema zime...
Mada je propust otklonjen u 1.1.9, tako da nznam u chemu je i dalje problem?

vejin

Quote from: MarkoWeb on June 06, 2009, 05:32:51 AM
Preneki dan trazeci kako da s'jednog racunara prebacim sve FTP podatke (Total Commander) na drugi naleteo sam na tekst u kome kazu da neki virus (ili sta je vec) prikuplja podatke iz fajla wcx_ftp.ini (u kome TC skladisti podatke) i salje ih autoru virusa.


Ja sam bio izložen ovoj varijanti. Nimalo bezazlena, veliki broj fajlova na svim nalozima mi je bio zaražen. Pošto imam sajtove kod dve firme za hosting, otpada varijanta da im je neko upao na server, već ostaje samo da je meni uzeo fajl wcx_ftp.ini koji se nalazi na C particiji u foledu Windows. Inače kada rušim sistem samo taj fajl sačuvam i kada ponovo podignem sistem, taj fajl vratim u folder Windows i tako ne moram da unosim sve podatke ponovo u TC.

Kada sam imao napad, rešenje je bilo samo aktiviranje beckupa.

sablja

Ocigledno je da postoji i dalje neki propust.

1. Iskljucio sam avatare i fajlove na vreme i nisam ih ni posle apdejta ponovo aktivirao.

2. Dan nakon toga se reg. krisbarteo i pokusao da posalje kod - od tada se pojavila ona fantomska tema, ali ja nisam to odmah primetio. Banovao sam krisbartea, ali ga nisam obrisao.

3. Uveo sam obaveyno odobravanje novih clanova od strane administratora.

4. Pre par dana sam primetio tu fantomsku temu id = 32 u profilu / promena izgleda (nije je bilo u admin panelu). Inace, nikada na forumu mi nije bilo omoguceno da korisnici menjaju teme.

5. Citao sam na forumu kako da resim problem. Obrisao sam banovanog korisnika krisbarteo i odmah je nestala ta fantomska tema.

6. U phpMyAdmin-u sam trazio id 32 u smf_themes i nsiam nasao. Imam samo id 1 i to je default tema i jedina instalirana na forumu. Forum mi nema nikakve modifikacije.

7. Pokrenuo sam alat kb_scan i svi fajlovi su "zeleni:, sto znaci da nisu zarazeni.

Nikada na forumu se nisu prikazivale greske, osim kada sam otisao na promenu izgleda u profilu i primetio tu fantomsku temu. Sada nema nikakvih gresaka.

Kako je moguce da je taj bot ubacio taj kod teme u bazu? Napisao sam vam step-by-step sta sam sve uradio na forumu. Da li je moj forum cist?

Dzonny

Hm...Ako nema greshaka na forumu i u error logu, i ako je sve "zeleno" kako kazez onda bi sve trebalo biti ok...
Ne mogu da verujem da je uspeo da hackuje i posle prelaska na 1.1.9 jer bi u toj verziji sve trebalo da bude osigurano protiv ovakvih napada...
Napisao sam post u support forumu o ovome i cekam odgovore, pa cemo videti sta kazu za ovaj slucaj...
Ako je tako kao sto kazez, oni koji su hackovani jednom, imaju vecu mogucnost da budu hackovani ponovo posle upgradea...

Sklerozica

@sablja
jesi li kontrolisao i fajlove od portala? Možda je negde ostao kod.
Kada je mene potkačio krisbarteo, svi fajlovi su bili izmenjeni. Kada kažem svi, tu mislim na MKPortal, SMF forum i MyBB forum. Znači sve što imam na domenu.

sablja

Nije mogao ubaciti fajlove od portala, zato sto koristim cms koji nije opensource.

Dzonny, nisi me dobro razumeo. Taj kod je verovatno ubacen 14/05, ali ja sam to tek juce primetio kada sam otisao u profil / izmena izgleda. Nikakve greske mi se nisu javljale na forumu. Pitam se kako je uspeo da ubaci tu fantomsku temu kada su avatari i datoteke bili onemoguceni? Kada sam obrisao banovanog korisnika krisbarteo, nestala je i ta fantomska tema. U phpMyAdmin-u - smf_themes nema nista sa id = 32. Kako je on mogao registracijom da ubaci taj kod u bazu i da kod nestane cim se taj korisnik obrise. Mislim, da i dalje postoje neki propusti.

Ivan_Nis

Ponovo sam danas imao napad :( Preko 13 000 strana o greskama u admin panelu foruma.
SVI PHP fajlovi su bili zarazeni

Uveo sam da mora da se odobri novi clan ali eto..
FCKeditor/editor/filemanager/browser/default/images/icons/32 je ponovo napunjen fajlovima

Kako da podesim forum da korisnici sa 0 postova ne mogu da uploaduju avatar ?


http://i40.tinypic.com/4uaqt2.jpg [nofollow]

Koristim 1.1.9


Dzonny

Napravi grupu korisnika koji imaju od npr 5 postova pa na vise...
Idi u ACP > Permissions > Modify i chekiraj Select an avatar from the server a unchekiraj Upload an avatar to the server i "Choose a remotely stored avatar"...
Ivan_Nis - jesi li i ti ranije bio hackovan od srane krisbartea?
procitaj ovaj post:
http://www.simplemachines.org/community/index.php?topic=309997.msg2078832#msg2078832

sablja

Quote from: Ivan_Nis on June 07, 2009, 10:16:06 AM

Kako da podesim forum da korisnici sa 0 postova ne mogu da uploaduju avatar ?


http://i40.tinypic.com/4uaqt2.jpg

Koristim 1.1.9



Da li ti na ovom screenshot-u brises attachmente? O cemu se radi tu?

Ivan_Nis

@Dzonny

Jesam i pre sam bio napadnut od krisbateo-a a imam i registrovanih dooooosta clanova sa one gore famozne IP adrese koju sam dao. Danas sam imao napad, pokrenuo kb_scan.php , sredio sve fajlove, obrisao sta treba i evo sada ponovo  sam zarazen.

Pokrenuo sam i cleanup.php sada, izbacilo mi je takodje dosta putanja do odrejenih foldera li ne kapiram kako ce to da mi sredi forum ?

@sablja

Nisu atacmenti nego neki fajlovi koji su se nasli u folderu 32. Putanju do foldera mozes da vidis dole na FTP..

Kao i juce i danas su se namnozili..

Dzonny

Ivane, zabrani upload attachmenta i Avatara korisnicima koji imaju npr manje od 10 postova...
To ce pomoci za sada...
kazu da je propust resen sa 1.1.9 verzijom, tako da je jedino logichno objasnjenje da upgrade nije dobro obavljen, pa predlazem ti da ruchno pregledash da li su svi kodovi tu...

MarkoWeb

Quote from: MarkoWeb on June 06, 2009, 05:32:51 AM
Preneki dan trazeci kako da s'jednog racunara prebacim sve FTP podatke (Total Commander) na drugi naleteo sam na tekst u kome kazu da neki virus (ili sta je vec) prikuplja podatke iz fajla wcx_ftp.ini (u kome TC skladisti podatke) i salje ih autoru virusa.

Tako da kolko god ti menjao lozinke on ima uvek sveze podatke, nebi bilo lose da komp skeniras nekim bolim AV-om, pocnes da koristis nesto drugo za FTP a ne TC (ako ga koristis uopste)... Mozda je ovo razlog ponovnog hakovanja :)
Da se citiram, mozda je ovo u pitanju... :)

Advertisement: