Simple Machines Community Forum

SMF Support => Language Specific Support => Bosanski/Hrvatski/Srpski (Bosnian/Croatian/Serbian) => Topic started by: Ivan_Nis on June 05, 2009, 11:13:56 AM

Title: Ponovo hakovan
Post by: Ivan_Nis on June 05, 2009, 11:13:56 AM
Juce mi je forum, verzija 1.1.9 ponovo hakovan , prvo su clanovi primetili da im nestaju  avatari a onda sam video da imam preko 8000 stranica gresaka.

E, onda sam pokusao da vratim state fajlove i sve se pobrkalo i sada ne mogu da udjem u Pakete da bilo sta izmenim.

Sta da radim ?

Da li da uzmem najnoviju instalaciju pa onda da preko FTP ubacim skroz nove fajlove ?
Jel bi moglo tako ? A samo da promenim Settings.php fajl ?
Title: Re: Ponovo hakovan
Post by: Sklerozica on June 05, 2009, 11:22:37 AM
Opet avatari? Nije valjda krisbarteo evoluirao.
Kakve su greške u pitanju? Daj nam neku.
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 05, 2009, 11:26:54 AM
Sve sam greske obrisao.
Ali su sve bile u prvom redu , kao i prosli put.

Naknadnom proverom preko one kb_scan skripte sam video da su mi ostali zarazeni fajlovi u FCK editoru.
Title: Re: Ponovo hakovan
Post by: dan555 on June 05, 2009, 11:49:04 AM
Da li si ranije već bio hakovan od krisbarteo-a? Ako jesi, da li si posle toga promenio sve lozinke?
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 05, 2009, 11:50:08 AM
Jesam x 2
Title: Re: Ponovo hakovan
Post by: sablja on June 05, 2009, 12:50:42 PM
Данас је мом форуму покушао да приступи krisbarteo. Видео сам упозорење о бановању на листи грешака. Могуће је да је еволуирао, односно да је пронашао нови пропуст. Ја нисам ни укључивао убацивање аватара и датотека, а нити планирам убудуће.
Title: Re: Ponovo hakovan
Post by: Founder 2008 on June 05, 2009, 01:13:04 PM
Posle duzeg vremena kod mene na forum je pokusao da se loguje krisbarteo i naravno nije mogao jer je banovan.
Nekoliko sati kasnije javio se novi clan po niku Yuzdam koji je uporno pokusavao da napravi neku pakost...

Greske koje su se javile po tri puta jer je verovatno tri puta pokusao isto...

1. Datoteka koju ste priložili nije sačuvana. Ovo se dogodilo jer je prilaganje trajalo predugo ili je datoteka veća nego što to server dozvoljava.
Za više informacija, konsultujte administratora servera.

2. Nemate dozvolu da pristupite ovom odeljku

3. 8: Undefined index: thumbnail_href
Themes/default/Themes.template.php (pick sub template - eval?)
Linija: 440
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 05, 2009, 01:26:08 PM
Imam tog clana !
4.06 se trgistrovao

Ja ne mogu pola stvari da odradim na forumu.

Jos jednom, da li mogu jednostavno kompletno nove fajlove da uploadujem preko FTP (verzija 1.1.9 ) ? Osim Settings.php
Title: Re: Ponovo hakovan
Post by: dan555 on June 05, 2009, 01:40:55 PM
Naravno da možeš. Ubaci sve fajlove iz bekapa fajlova i rešio si problem.
Pre toga proveri i Settings.php da nije i tu nešto ubačeno od strane hakera.
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 05, 2009, 02:29:40 PM
Upravo to radim i upravo sada imam nove napade na sajt !

http://www.pict.com/view/744782/800/forum2520error2520log
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 05, 2009, 02:38:03 PM
FCKeditor/editor/filemanager/browser/default/images/icons/32

Interesantno je da ovde imam jedno 2-300 fajlova koje nemam pojma sta ce ovde a one zarazene php fajlove ne mogu da nadjem

dopuna : tacnije 5831 fajl sa nepoznatom ekstenzijom
Title: Re: Ponovo hakovan
Post by: Sklerozica on June 05, 2009, 02:39:53 PM
Quote from: Ivan_Nis on June 05, 2009, 02:29:40 PM
Upravo to radim i upravo sada imam nove napade na sajt !

Zatvori forum. Kada je kod mene upao krisbarteo, morao sam da zatvorim kompletan sajt. Vidi sa svojim hostom da li ima backup fajlova koji su stariji od datuma registracije tog korisnika.

Pretražio sam sada temu gde smo pisali dok je krisbarteo bio aktuelan ali nisam video da si javljao tamo. Jesi li i tada bio haknut? Po naslovu ove teme, rekao bih da jesi.
Pitam zato što navodiš da si našao zaražene fajlove i zanima me da li su ostali od prethodnog puta ili je SMF opet "izbušen".
Title: Re: Ponovo hakovan
Post by: Sklerozica on June 05, 2009, 02:40:27 PM
Quote from: Ivan_Nis on June 05, 2009, 02:38:03 PM
Interesantno je da ovde imam jedno 2-300 fajlova koje nemam pojma sta ce ovde a one zarazene php fajlove ne mogu da nadjem

Koji je datum na fajlovima?
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 05, 2009, 02:45:09 PM
Upravo sam instalirao 1.1.9 pa pokrenuo kb_scan.php i nasao one fajlove sto sam gore napisao.
Gornji screenshot je napravljen sa 1.1.9 verzijom.

Koliko vidim (za sada) nema vise gresaka, cim sam ih "popravio"preko one skripte.
Jedino sto u folderu 32 nemogu  da nadjem php fajlove (?)

Datum je 4 i 5 jun
Title: Re: Ponovo hakovan
Post by: Sklerozica on June 05, 2009, 02:52:59 PM
Jbg, datum mi više ne znači ništa, pošto si reinstalirao smf. :(
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 05, 2009, 02:55:12 PM
^ Meni je verzija i pre napada bila 1.1.9
Title: Re: Ponovo hakovan
Post by: Sklerozica on June 05, 2009, 02:59:01 PM
Da, ali na tim starim fajlovima bi se video datum nastale promene odnosno ubacivanja koda. Sada su novi fajlovi i imaju novi datum.
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 05, 2009, 03:54:22 PM
Da ne otvaram novu temu, sta bi ovo moglo biti ?


Apply Filter: Only show the errors with the same message
Greška u bazi podataka: Illegal mix of collations for operation ' IN '
Datoteka: ......................................../public_html/Sources/QueryString.php
Linija: 553
Title: Re: Ponovo hakovan
Post by: sablja on June 06, 2009, 05:05:53 AM
Пронашао сам непостојећу тему са ID 32. Ако сам имао искључене аватаре и додавање фајлова, преко чега је успео да ми убаци то?
Title: Re: Ponovo hakovan
Post by: MarkoWeb on June 06, 2009, 05:32:51 AM
Preneki dan trazeci kako da s'jednog racunara prebacim sve FTP podatke (Total Commander) na drugi naleteo sam na tekst u kome kazu da neki virus (ili sta je vec) prikuplja podatke iz fajla wcx_ftp.ini (u kome TC skladisti podatke) i salje ih autoru virusa.

Tako da kolko god ti menjao lozinke on ima uvek sveze podatke, nebi bilo lose da komp skeniras nekim bolim AV-om, pocnes da koristis nesto drugo za FTP a ne TC (ako ga koristis uopste)... Mozda je ovo razlog ponovnog hakovanja :)
Title: Re: Ponovo hakovan
Post by: sablja on June 06, 2009, 05:36:04 AM
Тражио сам мало по СМФ форуму. Ваљда, ако имам само тај ИД теме 32, а немам других грешака на форуму, онда само треба из phpmyadmina решити проблем... СМФ ме је помало разочарао...

Грешке које ми се јављају приликом прегледа тема из профила. Обични корисници нису могли и не могу да мењају теме.

Quote
Примени филтер: Прикажи поруке о грешци само са овог URL-а srpskazemlja.com/diskusije/index.php?action=theme;sa=pick;u=1;sesc
Примени филтер: Прикажи поруке о грешци само са истом поруком
8: Undefined index: name
Датотека: /diskusije/Themes/default/Themes.template.php (pick sub template - eval?)
Линија: 442
   

Примени филтер: Прикажи поруке о грешци само са овог URL-а srpskazemlja.com/diskusije/index.php?action=theme;sa=pick;u=1;sesc
Примени филтер: Прикажи поруке о грешци само са истом поруком
8: Undefined index: images_url
Датотека:/diskusije/Sources/Themes.php
Линија: 919
Title: Re: Ponovo hakovan
Post by: sablja on June 06, 2009, 06:51:17 AM
Обрисао сам корисника krisbarteo и нестала ми је фантомска тема!
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 06, 2009, 02:43:46 PM
Pogledajte da li imate botove registrovane sa  IP adrese
    194.8.75.191
Title: Re: Ponovo hakovan
Post by: Dzonny on June 06, 2009, 03:16:13 PM
Quote from: Ivan_Nis on June 06, 2009, 02:43:46 PM
Pogledajte da li imate botove registrovane sa  IP adrese
    194.8.75.191
Ja nemam...
Title: Re: Ponovo hakovan
Post by: srbija-tip.com on June 06, 2009, 04:58:34 PM
Ja imam

160      preeldceava       preeldceava       entectcig@gmail.com       194.8.75.191       77 days ago      0
Title: Re: Ponovo hakovan
Post by: [̲̅J̲̅][̲̅U̲̅][̲̅R̲̅][̲̅E̲̅][̲̅K̲̅] ٩(×̯×)۶ on June 06, 2009, 05:45:29 PM
A sta s njim? Da to nije novi kirstbarteo (ili kako vec).. ?
Title: Re: Ponovo hakovan
Post by: Founder 2008 on June 06, 2009, 06:06:11 PM
Quote194.8.75.191

Registrovali su se nekoliko spamera ili botova kod mene i ta adresa je odavno zabranjena.

Quote from: [̲̅J̲̅][̲̅U̲̅][̲̅R̲̅][̲̅E̲̅][̲̅K̲̅] ٩(×̯×)۶ on June 06, 2009, 05:45:29 PM
A sta s njim? Da to nije novi kirstbarteo (ili kako vec).. ?

Krisbarteo i Yuzdam su sa iste IP adrese i njih sam banovao.
Title: Re: Ponovo hakovan
Post by: Bob Marley on June 07, 2009, 12:30:03 AM
http://www.stopforumspam.com/ipcheck/94.142.129.147

Moguca pretnja stilusmagic   stilusmagic@googlemail.com ?
Title: Re: Ponovo hakovan
Post by: Dzonny on June 07, 2009, 04:34:35 AM
Ako zabranite upload avatara i attachmenta sa korisnike sa 0 postova nema zime...
Mada je propust otklonjen u 1.1.9, tako da nznam u chemu je i dalje problem?
Title: Re: Ponovo hakovan
Post by: vejin on June 07, 2009, 06:04:52 AM
Quote from: MarkoWeb on June 06, 2009, 05:32:51 AM
Preneki dan trazeci kako da s'jednog racunara prebacim sve FTP podatke (Total Commander) na drugi naleteo sam na tekst u kome kazu da neki virus (ili sta je vec) prikuplja podatke iz fajla wcx_ftp.ini (u kome TC skladisti podatke) i salje ih autoru virusa.


Ja sam bio izložen ovoj varijanti. Nimalo bezazlena, veliki broj fajlova na svim nalozima mi je bio zaražen. Pošto imam sajtove kod dve firme za hosting, otpada varijanta da im je neko upao na server, već ostaje samo da je meni uzeo fajl wcx_ftp.ini koji se nalazi na C particiji u foledu Windows. Inače kada rušim sistem samo taj fajl sačuvam i kada ponovo podignem sistem, taj fajl vratim u folder Windows i tako ne moram da unosim sve podatke ponovo u TC.

Kada sam imao napad, rešenje je bilo samo aktiviranje beckupa.
Title: Re: Ponovo hakovan
Post by: sablja on June 07, 2009, 06:23:28 AM
Ocigledno je da postoji i dalje neki propust.

1. Iskljucio sam avatare i fajlove na vreme i nisam ih ni posle apdejta ponovo aktivirao.

2. Dan nakon toga se reg. krisbarteo i pokusao da posalje kod - od tada se pojavila ona fantomska tema, ali ja nisam to odmah primetio. Banovao sam krisbartea, ali ga nisam obrisao.

3. Uveo sam obaveyno odobravanje novih clanova od strane administratora.

4. Pre par dana sam primetio tu fantomsku temu id = 32 u profilu / promena izgleda (nije je bilo u admin panelu). Inace, nikada na forumu mi nije bilo omoguceno da korisnici menjaju teme.

5. Citao sam na forumu kako da resim problem. Obrisao sam banovanog korisnika krisbarteo i odmah je nestala ta fantomska tema.

6. U phpMyAdmin-u sam trazio id 32 u smf_themes i nsiam nasao. Imam samo id 1 i to je default tema i jedina instalirana na forumu. Forum mi nema nikakve modifikacije.

7. Pokrenuo sam alat kb_scan i svi fajlovi su "zeleni:, sto znaci da nisu zarazeni.

Nikada na forumu se nisu prikazivale greske, osim kada sam otisao na promenu izgleda u profilu i primetio tu fantomsku temu. Sada nema nikakvih gresaka.

Kako je moguce da je taj bot ubacio taj kod teme u bazu? Napisao sam vam step-by-step sta sam sve uradio na forumu. Da li je moj forum cist?
Title: Re: Ponovo hakovan
Post by: Dzonny on June 07, 2009, 06:35:01 AM
Hm...Ako nema greshaka na forumu i u error logu, i ako je sve "zeleno" kako kazez onda bi sve trebalo biti ok...
Ne mogu da verujem da je uspeo da hackuje i posle prelaska na 1.1.9 jer bi u toj verziji sve trebalo da bude osigurano protiv ovakvih napada...
Napisao sam post u support forumu o ovome i cekam odgovore, pa cemo videti sta kazu za ovaj slucaj...
Ako je tako kao sto kazez, oni koji su hackovani jednom, imaju vecu mogucnost da budu hackovani ponovo posle upgradea...
Title: Re: Ponovo hakovan
Post by: Sklerozica on June 07, 2009, 06:40:11 AM
@sablja
jesi li kontrolisao i fajlove od portala? Možda je negde ostao kod.
Kada je mene potkačio krisbarteo, svi fajlovi su bili izmenjeni. Kada kažem svi, tu mislim na MKPortal, SMF forum i MyBB forum. Znači sve što imam na domenu.
Title: Re: Ponovo hakovan
Post by: sablja on June 07, 2009, 07:01:43 AM
Nije mogao ubaciti fajlove od portala, zato sto koristim cms koji nije opensource.

Dzonny, nisi me dobro razumeo. Taj kod je verovatno ubacen 14/05, ali ja sam to tek juce primetio kada sam otisao u profil / izmena izgleda. Nikakve greske mi se nisu javljale na forumu. Pitam se kako je uspeo da ubaci tu fantomsku temu kada su avatari i datoteke bili onemoguceni? Kada sam obrisao banovanog korisnika krisbarteo, nestala je i ta fantomska tema. U phpMyAdmin-u - smf_themes nema nista sa id = 32. Kako je on mogao registracijom da ubaci taj kod u bazu i da kod nestane cim se taj korisnik obrise. Mislim, da i dalje postoje neki propusti.
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 07, 2009, 10:16:06 AM
Ponovo sam danas imao napad :( Preko 13 000 strana o greskama u admin panelu foruma.
SVI PHP fajlovi su bili zarazeni

Uveo sam da mora da se odobri novi clan ali eto..
FCKeditor/editor/filemanager/browser/default/images/icons/32 je ponovo napunjen fajlovima

Kako da podesim forum da korisnici sa 0 postova ne mogu da uploaduju avatar ?


http://i40.tinypic.com/4uaqt2.jpg

Koristim 1.1.9

Title: Re: Ponovo hakovan
Post by: Dzonny on June 07, 2009, 01:59:21 PM
Napravi grupu korisnika koji imaju od npr 5 postova pa na vise...
Idi u ACP > Permissions > Modify i chekiraj Select an avatar from the server a unchekiraj Upload an avatar to the server i "Choose a remotely stored avatar"...
Ivan_Nis - jesi li i ti ranije bio hackovan od srane krisbartea?
procitaj ovaj post:
http://www.simplemachines.org/community/index.php?topic=309997.msg2078832#msg2078832
Title: Re: Ponovo hakovan
Post by: sablja on June 07, 2009, 02:09:20 PM
Quote from: Ivan_Nis on June 07, 2009, 10:16:06 AM

Kako da podesim forum da korisnici sa 0 postova ne mogu da uploaduju avatar ?


http://i40.tinypic.com/4uaqt2.jpg

Koristim 1.1.9



Da li ti na ovom screenshot-u brises attachmente? O cemu se radi tu?
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 07, 2009, 04:04:08 PM
@Dzonny

Jesam i pre sam bio napadnut od krisbateo-a a imam i registrovanih dooooosta clanova sa one gore famozne IP adrese koju sam dao. Danas sam imao napad, pokrenuo kb_scan.php , sredio sve fajlove, obrisao sta treba i evo sada ponovo  sam zarazen.

Pokrenuo sam i cleanup.php sada, izbacilo mi je takodje dosta putanja do odrejenih foldera li ne kapiram kako ce to da mi sredi forum ?

@sablja

Nisu atacmenti nego neki fajlovi koji su se nasli u folderu 32. Putanju do foldera mozes da vidis dole na FTP..

Kao i juce i danas su se namnozili..
Title: Re: Ponovo hakovan
Post by: Dzonny on June 07, 2009, 04:06:15 PM
Ivane, zabrani upload attachmenta i Avatara korisnicima koji imaju npr manje od 10 postova...
To ce pomoci za sada...
kazu da je propust resen sa 1.1.9 verzijom, tako da je jedino logichno objasnjenje da upgrade nije dobro obavljen, pa predlazem ti da ruchno pregledash da li su svi kodovi tu...
Title: Re: Ponovo hakovan
Post by: MarkoWeb on June 07, 2009, 04:20:11 PM
Quote from: MarkoWeb on June 06, 2009, 05:32:51 AM
Preneki dan trazeci kako da s'jednog racunara prebacim sve FTP podatke (Total Commander) na drugi naleteo sam na tekst u kome kazu da neki virus (ili sta je vec) prikuplja podatke iz fajla wcx_ftp.ini (u kome TC skladisti podatke) i salje ih autoru virusa.

Tako da kolko god ti menjao lozinke on ima uvek sveze podatke, nebi bilo lose da komp skeniras nekim bolim AV-om, pocnes da koristis nesto drugo za FTP a ne TC (ako ga koristis uopste)... Mozda je ovo razlog ponovnog hakovanja :)
Da se citiram, mozda je ovo u pitanju... :)
Title: Re: Ponovo hakovan
Post by: Dzonny on June 07, 2009, 04:23:49 PM
Naravno, i to moze biti razlog, ali to je stvar Anti virusa i zastite uopshte, tako da svaki webmaster naravno treba da obrati paznju na takve stvari...
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 07, 2009, 06:18:39 PM
Nemam pojma sta da radim vise..
Celo vece mi se jednostavno vracaju zarazeni fajlovi a PREKOPIRAO sam  RUCNO sve fajlove sa 1.1.9 preko starih...
Title: Re: Ponovo hakovan
Post by: srbija-tip.com on June 08, 2009, 03:24:21 AM
hehe, tako je i meni bilo samo sto sam ja ubacio forum themes i source a neko obrise ja ubacim on obrise. Pa sam promenio naziv foruma tj ne bude blabla.com/forum vec blabla.com/sta zelis
Title: Re: Ponovo hakovan
Post by: sablja on June 08, 2009, 03:36:43 AM
Људи, па очигледно је да су вам рачунари заражени. Прво очистите вирусе, па онда сређујте форум.

Title: Re: Ponovo hakovan
Post by: Founder 2008 on June 08, 2009, 04:31:53 AM
Koji antivirus i koji firewall koristite?
Title: Re: Ponovo hakovan
Post by: Dzonny on June 08, 2009, 04:33:08 AM
i predjite na linux :P
Mozda je i server zarazen, pokrenite AV ako imate...
U krajnjem slucaju mozete instalirati svez smf i ubaciti bazu....
Title: Re: Ponovo hakovan
Post by: Founder 2008 on June 08, 2009, 04:48:45 AM
Quote from: Dzonny on June 08, 2009, 04:33:08 AM
i predjite na linux :P

Ili neka im neko drugi odrzava SMF  :D

Quote from: Dzonny on June 08, 2009, 04:33:08 AM
U krajnjem slucaju mozete instalirati svez smf i ubaciti bazu....

Bolje da instaliraju svezu instalaciju XP-a, solidnog antivirusa i nekog firewall-a...  :P
Dzabe im nova instalacija ako imaju gamad u racunaru koji salje pass.
Title: Re: Ponovo hakovan
Post by: Ivan_Nis on June 08, 2009, 05:18:35 PM
Nemam Firewall a od antivirusa imam AVG.
Title: Re: Ponovo hakovan
Post by: Bob Marley on June 08, 2009, 05:20:39 PM
Instaliraj ESET Smart Security i nadji NodEnabler ili NodLogIn ima sve sto ti treba ;) a AVG slobodno dezintegrishi ;)
Title: Re: Ponovo hakovan
Post by: Founder 2008 on June 10, 2009, 08:52:58 AM
Quote from: Ivan_Nis on June 08, 2009, 05:18:35 PM
Nemam Firewall a od antivirusa imam AVG.

Slaba je to zastita za onog ko je webmaster.
Title: Re: Ponovo hakovan
Post by: MarkoWeb on June 10, 2009, 09:41:18 AM
Moj AVG (free verzija) lepo radi :)
Title: Re: Ponovo hakovan
Post by: Founder 2008 on June 10, 2009, 12:02:16 PM
AVG bez firewall-a i jos nekog programcica licno nikad ne bih koristio.

Quote from: MarkoWeb on June 10, 2009, 09:41:18 AM
Moj AVG (free verzija) lepo radi :)

Znaci da promisljeno koristis racunar i internet  :)
Title: Re: Ponovo hakovan
Post by: [S]ETI_explorer on June 12, 2009, 08:31:24 AM

Slozio bih se sa Markom da je AVG, cak i free varijanta (ako Vas mrzi da trazite crack za pro koji nije nista narocito bolji od free verzije), jako dobro resenje (bar sam ga ja koristio dok sa bio na Win-u u kombinaciji sa Avastom).

E sad, lepo skinite Kaspersky i skenirajte komp (ako vec neverujete ostalim AV-ovima) :P. Ako to ne pomogne, onda je moguce da "virus" salje fajlove crackeru onda kada se vi pokrenete FTP klijent. Tako da biste mogli proveriti procese, ili, jos bolje, iskoristiti netstat komandu. Na linux-u je sintaksa malo drugacija, tako da pogledajte help, u glavnom interesuju Vas TCP konekcije. Ukoliko postoji koneckija na Vas racunar preko porta 21(FTP), imate problem ;)
Title: Re: Ponovo hakovan
Post by: dan555 on June 12, 2009, 08:51:17 AM
Mene za sada (pu-pu-pu) lepo čuva Avast. Koristim i Kerio firewall i u njemu imam pregled svih otvorenih konekcija, a tu je i SpywareBlaster plus još neki spiware-programi za skeniranje na raznu gamad.

Osim toga, ne posećujem problematične sajtove (porno i one za kigene i sl).
Valjda je to dovoljno?
Title: Re: Ponovo hakovan
Post by: Slobodan Radosavljevic on June 12, 2009, 08:59:34 AM
Pa da li skidas nesto? obicno lovatori nemaju cilj na neki sajt publicuju stealer i cekaju ko ce da se upeca [skine] To se cesto desava na warez sajtovima...
Title: Re: Ponovo hakovan
Post by: Dzonny on June 12, 2009, 01:09:26 PM
Nista to ne mora da znaci, virusi se mogu pokupiti u redovnom surfovanju netom, nema njih samo na odredjenim sajtovima...ali je evidentno da ih ima vise na porn i warez sajtovima... :P
Title: Re: Ponovo hakovan
Post by: dan555 on June 12, 2009, 02:52:40 PM
Sve što mi treba za skidanje nalazim na katz-u i rapidserbia i tu nemam probleme sa virusima i ostalom gamadi.

Inače, zaista se retko naleti na gamad na normalnim sajtovima.
Title: Re: Ponovo hakovan
Post by: [S]ETI_explorer on June 12, 2009, 03:05:45 PM

Ne mora da znaci da je neko gamad ako ima virus na sajtu. Ima ljudi kojima je jednostavno zanimljivo da upadnu na neki sajt, i da samo ostave virus koji se download-uje na Vas racunar kada pristupite istom ;)
Title: Re: Ponovo hakovan
Post by: dan555 on June 12, 2009, 03:44:57 PM
Nisu ljudi gamad nego virisi, crvi, spajver i ostala slična žgadija.
Title: Re: Ponovo hakovan
Post by: Bob Marley on June 12, 2009, 04:52:19 PM
Pa ljudi su ih napravili :D
Title: Re: Ponovo hakovan
Post by: [S]ETI_explorer on June 13, 2009, 09:59:17 AM

Sad sam malo gledao po source-u...

Subs.php 1.1.8 verzija (ovo je bila kriticna linija):

$enc_name = $attachment_id . '_' . strtr($clean_name, '.', '_') . md5($clean_name);

Dakle sema za dobijanje imena attachment-a je bila: [id]_[name]_[ext][md5([name].[ext])]

Posle je sve teklo svojim tokom...

U 1.1.9 verziji ta linija je mnogo profesionalnije odradjena:

return sha1(md5($filename . time()) . mt_rand());

ovo mt_rand(); pravi problem, mada ako je Vas sajt na Linux serveru ne moguce je upasti na ovaj nacin ;)
Title: Re: Ponovo hakovan
Post by: Bob Marley on June 13, 2009, 01:01:44 PM
God bless Linux ^^
Title: Re: Ponovo hakovan
Post by: Dzonny on June 13, 2009, 01:17:02 PM
Quote from: Bob Marley on June 13, 2009, 01:01:44 PM
God bless Linux ^^
Potpisujem... :)
Ja nemam problema, ali svejedno sam zabranio upload avatara i attachmenta za kosnike sa < 5 postova.. :)
Title: Re: Ponovo hakovan
Post by: [S]ETI_explorer on June 13, 2009, 02:54:54 PM

Hmm.. pa to i nije neko rešenje.. ne znam da li si pažljivije pogledao source exploit-a... jako je lako napraviti da, skripta upiše 5 postova ;)
Title: Re: Ponovo hakovan
Post by: Founder 2008 on June 13, 2009, 04:45:05 PM
Quote from: bt~S]ETI_explorer link=topic=315575.msg2107833#msg2107833 date=1244901557]
mada ako je Vas sajt na Linux serveru ne moguce je upasti na ovaj nacin ;)

Nije tacno.
Prvo ako neko zna da sam na Linuxu ne znam zasto bi se mlatio sa mnom ( a vrlo lako moze da se sazna platforma).
Drugo da si malo bolje zagledao video bi da je veliki broj hakovanih imalo Linux platformu  ;)
Title: Re: Ponovo hakovan
Post by: srbija-tip.com on June 13, 2009, 05:57:58 PM
Moj je na linuxu bio a hackovan je BIO
Title: Re: Ponovo hakovan
Post by: [S]ETI_explorer on June 14, 2009, 05:11:01 AM
Quote from: * Charobnjak * on June 13, 2009, 04:45:05 PM
Quote from: bt~S]ETI_explorer link=topic=315575.msg2107833#msg2107833 date=1244901557]
mada ako je Vas sajt na Linux serveru ne moguce je upasti na ovaj nacin ;)

Nije tacno.
Prvo ako neko zna da sam na Linuxu ne znam zasto bi se mlatio sa mnom ( a vrlo lako moze da se sazna platforma).
Drugo da si malo bolje zagledao video bi da je veliki broj hakovanih imalo Linux platformu  ;)

Pričaj mi o tome kako je lako saznati platformu... lol
Drugo, da si malo pažljivije pročitao šta sam ja napisao, ne bi lupio tako nešto...

Svi oni kojima su sajtovi na Linux platformi (95% ljudi), su SADA sigurni od ove vrste napada (preko upload-a attachment-a). Oni koji su na Win-u bi mogli imati problem jer je tamo maximalni random() broj +- 65000 (setimo se Raz0r-ovog exploita sa resetom lozinke) .... Ali opet, sređen je problem sa paketima tako da bi i kod Windoze sve trebalo biti ok.
Title: Re: Ponovo hakovan
Post by: Founder 2008 on June 14, 2009, 06:19:12 AM
Ok, ucinilo mi se da ciljas na 1.1.8 verziju koja je po mom misljenju imala veliki propust...

U svakom slucaju vecina koristi Linux, ja se licno nikad ne bih opredelio za Win platformu iz mnogo razloga...
Title: Re: Ponovo hakovan
Post by: Dzonny on June 14, 2009, 02:29:45 PM
1.1.8 je objektivno imala veliki propust, ne samo po tvom misljenju...

Pa i preporuchuje se linux platforma za koriscenje smfa... :)
Title: Re: Ponovo hakovan
Post by: sablja on June 14, 2009, 04:43:23 PM
Џони, избаци онај досадни флајер са свог форума који ме излуђује. Није ме одавно ништа више изнервирало него тај твој флајер који ме прати у милиметар. ;) Извини, али морао сам да ти кажем. ;)
Title: Re: Ponovo hakovan
Post by: srbija-tip.com on June 15, 2009, 06:25:53 AM
sablja koristis pm za to
Title: Re: Ponovo hakovan
Post by: dioda on June 15, 2009, 03:24:21 PM
Pozdrav kolege admini :)

Slucajno sam prelistao ovu temu, nakon citanja ukucam u pretragu na svom forumu krisbarteo i ladno nadjem registrovanog clana sa tim imenom!
Datum registracije je 14. Maj 2009. a e-mail je krisbarteo@gmail.com

Moze li mi neko pojasniti ko/sta je taj krisbarteo i da li da ga brisem ili banujem ili...

Moram reci da nisam imao probleme sa forumom, trenutna verzija je 1.1.9
Ustvari desio se napad na server i nastradali su svi sajtovi na njemu a ne samo moj forum, koliko znam neki palestinci su odradili posao ali nisu nista brisali vec su samo na sve sajtove ubacili index stranicu sa antisemitskim porukama...
Title: Re: Ponovo hakovan
Post by: Bob Marley on June 15, 2009, 05:55:45 PM
Banuj ga! I ne razmisljaj previshe :D
Title: Dzonny by Nokia
Post by: Dzonny on June 15, 2009, 06:21:06 PM
Svakako trajno ga banuj, i za svaki sluchaj skeniraj forum sa toolom koji smo spominjali...
Title: Re: Ponovo hakovan
Post by: dioda on June 15, 2009, 06:27:02 PM
Banovan ;)
Title: Re: Ponovo hakovan
Post by: Bob Marley on June 16, 2009, 08:08:58 AM
A koji ste to tool spominjali? :S
Title: Re: Ponovo hakovan
Post by: Dzonny on June 16, 2009, 09:32:01 AM
Citaj ovu temu, imas u prvom postu link do tog toola... :)
Zastita vaseg SMF-a (http://www.simplemachines.org/community/index.php?topic=309997.0).
Title: Re: Ponovo hakovan
Post by: NikolaSN on June 24, 2009, 02:03:16 PM
Da, definitivno se nesto dogadja. Evo i meni je poceo forum da brljavi avatare i smajlice...sto je i prvi put bio nagovestaj da mi se nesto zbiva na forumu. Jbg nisam updateovao forum na 1.1.9 verziju ( ali vidim da ne pomaze ni to ), jedino sto sam uradio jeste da registracija vise nije automatska i da rucno odobravamo nove korisnike. Tako da 99% nije upao neki novi krisbarteo. Krisbarteo je i dalje u listi banovanih, da li bi bilo bolje da ga obrisem totalno sa foruma ili...?

P.S. ponovo sam pokrenuo skriptu kb_scan i nista nije nasla, ali recimo vidim folder koji je napravljen u root-u foruma na serveru koji je i bio dok je krisbarteo muljao po serveru. Totalno cudna situacija.

Za sada sam promenio password-e i idem na full reinstal windows-a ( vreme je ), pa tek onda sve iz pocetka.

Avatare i attachmente sam trenutno disableovao, ali mislim da cu u buduce da im promenim naziv i putanju ( mozda ga tako nekako i zeznemo ako nastavi da evoluira )...

Obavestavacu vas o nastavku cele price..posto za sada vidim da nema resenja..
Title: Re: Ponovo hakovan
Post by: Dzonny on June 24, 2009, 02:21:59 PM
Resenje je prelazak na 1.1.9 i ona je sigurna, a i do sad ni jedan sluchaj banovanja od strane krisbateo-a na ovoj verziji (cistoj a ne upgradeovanoj) nije zabelezen...
Tako da ako si hackovan lepo ochisti fajlove pa predji na 1.1.9...
Svima preporuchujem da uvek budu na poslednjoj stabilnoj verziji, jer nije bezveze uradjena nova verzija... Tako cete biti najsigurniji...
Naravno promena imena direktorijuma avatara i attachmenta bi takodje trebala da bude delotvorna...