Zastita vaseg SMF-a...

Started by Dzonny, May 12, 2009, 01:37:18 PM

Previous topic - Next topic

Founder 2008

Nisam mislio da radi bas sa svog racunara nego da verovatno postoji mogucnost da mu(im) se nekako udje u trag  ;)

Dzonny

I najzad izashao patch... [ 1.1.9 i 2.0 RC1-1 ]
Ukoliko niste uradili upgrade, mozete to uraditi iz Admin panela kao sve ostale nadogradnje...
Znaci samo klik i vas forum je nadogradjen na 1.1.9 ili 2.0 RC1-1....
Ukoliko imate problema, mozete nadograditi verziju i rucno. (Uputstvo)

nov korisnik

da li ce biti nacin da se sa 1 1 9 predje na verziju 2.0 ?

Dzonny


nov korisnik


LOVELORD

Quote from: nov korisnik on May 21, 2009, 05:46:29 AM

a kad bi to trebalo otprilike da bude?

Kada everzija 2.0 bude potpuno stabilna...

srbija-tip.com

Tj kada bude izasao final 2.0

srbija-tip.com


ivanautentik

Jeste lik iz Latvie, ja sam blokirao na celom serveru njegovog Provajdera, tako da sada niko ne moze sa bilo koje IP da udje na moje sajtove, sta ce mi ljudi iz Latvie

ali pre nego sto sam ga obrisao    krisbarteo   zeznuo mi neke stvari tako da pola clanova ne moze da udje na forum iako je do juce sve bilo ok

otvorio sam i temu   http://www.simplemachines.org/community/index.php?topic=312000.0


e sad ja sam danas instalirao novu verziju, kasnim jbg...  ali daj sad pomažite da vidim kako da nađem gde je promenio koji fajl pa da vratim da bude normalno


ivanautentik

Quote from: LOVELORD on May 12, 2009, 04:24:16 PM
Ne postoji zastita, osim ukoliko imas svoj server, ali onda je tu mnogo posla,i na kraju dobijes ocajen performanse svog servera.

Jedina zastita tvog naloga je izuzetno jak password od ftpa i ostalih stvari.

Jos jedna jako bitna stvar, prilikom istalacije modova kroz admina panel, on pravi kopije fajlova ~php ili tako nekako... Te kopije treba obrisati jer se mogu citati iz bilo kog browsera.
Taok se najlakse dolazi do upada.

mislis na ovakve   Admin.php~  i slicne

LOVELORD

Quote from: ivanautentik on May 21, 2009, 08:53:33 AM

mislis na ovakve   Admin.php~  i slicne

Da bas na takve mislim.

Dzonny

Pogledaj prvi post u temi, imas linkove do tema koje mogu pomoci, ali najbolje da uradish backup baze i instalirash svezu 1.1.9 verziju....

btw, neki modovi ce verovatno prestati da funkcionishu, mada ne bi trebalo da ima vecih problema, i za te modove samo rucno dodajte kod koji fali....

srbija-tip.com

Quote from: sloba on May 21, 2009, 08:10:20 AM
Quote from: markosvaba on May 21, 2009, 07:16:26 AM
Isto kao i na 1.1.8

Izvini sta isto kao i na 1.1.8? Sve cu morati da instaliram iz pocetka kao na 1.1.8 ili ce sve ostati isto kao sto mi je sada na 1.1.8?

Mislim isto kao i pre upgrade-a

[S]ETI_explorer


Iako je cela ova frka sa exploitima prosla, moram malo da prokomentarisem sve ovo, jer sam uocio da su se pojedinci izlupetali time dovodeci u zabludu i ostale clanove foruma.

Taj exploit (program (skripta) koji koristi izvesnu ranjivost u nekoj aplikaciji) se moze naci na milq0rmu naravno:

http://milw0rm.com/exploits/6993

Fora je bila u tome da skripta registruje novog korisnika, koji ce ostaviti odredjenu poruku na forumu kao i attachment uz istu. Kada bi admin pogledao taj post, napadac bi imao shell pristup Vasem serveru... Ako Vas interesuje kako exploit funkcionise... pa pogledajte source.. ;)

E sad:

Quote from: LOVERLORD
Preko smfa ne moze da udje nikako na server.

Zesca provala, zargonski da se izrazim... Onaj ko se domogne admin panela, pod uslovom da ima malo mozga, za pet minuta ce ti upload-ovati shell na server...

Quote from: LOVELORD
Moze da udje preko ftpa iliti porta 21 i 22 koje koristi ftp.

21 - FTP (File Transfer Protocol)
22 - SSH (Secure shell)

;)


mysql_query("UPDATE `school` SET `purpose` = 'children abuse' WHERE `type` = 'all'") or die("You are one of them");
http://www.elitesecurity.org/t370624-Zahvalnica-SETI-explorer
Follow me on Twitter

LOVELORD

Quote from: bt~S]ETI_explorer link=topic=309997.msg2074228#msg2074228 date=1243093418]
Quote from: LOVERLORD
Preko smfa ne moze da udje nikako na server.

Zesca provala, zargonski da se izrazim... Onaj ko se domogne admin panela, pod uslovom da ima malo mozga, za pet minuta ce ti upload-ovati shell na server...

Quote from: LOVELORD
Moze da udje preko ftpa iliti porta 21 i 22 koje koristi ftp.

21 - FTP (File Transfer Protocol)
22 - SSH (Secure shell)

;)

Seti, nisam mislina o nacin upadanja preko admin panela. Onda ipak treba provaliti sifre da bi usao u admin panel.

a sto se tice portova 21 i 22, meni je 22 port sa kojim sam ulazio preko jednog ftpa. a shell je bio 24.

NikolaSN

Pozdrav svima,

izgleda da sam se kasnu ukljucio u pracenje ove teme...

dakle, pogledao sam da li se i kod mene nalazi user pod imenom krisbarteo i nazalost tu je...

momenat kada sam poceo da sumnjam da se nesto desava sa forumom je taj sto svoj avatar vise ne vidim, koji je inace uploadovan sa lokalnog kompa. E sada ne znam da li je u celoj prici prednost sto je forum i dalje na 1.1.7 verziji?

Ovog user-a koji se registrovao na forum 17.05 sam tek malopre banovao sa foruma, po IP adresi ( ne znam koliko je ovo pametno s obzirom da sigurno koristi Proxy ili nesto slicno ), e-mail adresi, username-u itd...

Za sada, aj da kazem forum radi OK, samo sto nemam svoj avatar.

P.S. iskljucio sam sve opcije u admin panelu kako je Dzonny opisao na pocetku teme.

Dakle, sta mi je raditi u ovoj situaciji, da li postoji mogucnost da je nesto osteceno u code-u i kako to mogu da vidim najbolje?
Da li da pokusam da upgrade-ujem forum na 1.1.9 verziju, tj da li to moze direktno sa 1.1.7 verzije na 1.1.9 verziju ili moram pre nje 1.1.8 verziju da instaliram?

pozdrav i hvala unapred.
Nikola   

NikolaSN

P.S.

Jos jedna stvar koja me je navela da nesto posumnjam na neki hack napad je i velicina backup-a iz admin panela

Evo imam i statistiku. Npr. 13.05. velicina baze iz admin panela mi je bila: 3.4MB, a 18.05 ( 17.05 je registrovan krisbarteo ), velicina je 11.2MB.

Backup iz php myadmin-a se nije menjao drasticno + 200kb kao ni onaj iz backup wizard-a...

koje foldere da precesljam, code...bilo sta, samo da vratim na prvobitno stanje...

pozdrav i hvala
;)


dan555

Ako ti je gos'n krisbarteo brljao po forumu, onda su ti svi fajlovi zagađeni ubačenim kodom.
Ja sam imao sreću da me zaobiđe, ali koliko sam shvatio, ti ubačeni kodovi su na početku fajlova, pa kreni redom i proveravaj.
Možda je jednostavnije da vratiš iz bekapa čiste fajlove.

Dzonny

Evo, jedan korisnik je napravio tool kojim se moze ukloniti zarazen kod iz svih fajlova na forumu, koji su zarazeni ovim.
Pogledajte ovu poruku, imate kao attach fajl koji je potrebno da skinete i uploadujete u root foruma, i da ga potom pokrenete preko browsera...
http://www.simplemachines.org/community/index.php?topic=307717.msg2075780#msg2075780


Edit:
Evo i oficijalnog odgovora smf-a, o ovom problemu:
http://www.simplemachines.org/community/index.php?topic=313201.0

NikolaSN

E super, prvom prilikom cim navatam vremena, probacu da uradim scan.

P.S. Da li je vec neko radio scan sa ovom scriptom od vas?

Advertisement: