ALERTA - A TODA LA GENTE DE SMF 1.1.7

[elgatemm]

Alerta me hackearon el foro SMF 1.1.7 Les dejo la conver qe tube con el:

Administrador dice:
Me podes decir como hiciste para hackear?

Administrador dice:
Sr.
El hacker dice:
Si
El hacker dice:
te encontre un bug de injeccion sql en tu foro
El hacker dice:
igualmente te lo deje parchiado.
El hacker dice:
No doy el bug, porque es un bug que encontre yo, y es priv8 y no lo quiero dar a conocer
Administrador dice:
Claro pero parchiado
Administrador dice:
en que forma lo dejaste?
El hacker dice:
Y yo entre adentro de tu server
El hacker dice:
y te arregle la tabla en donde se encontraba el bug.
Administrador dice:
ahhh. de lujo..
Administrador dice:
Pero chee. decime asi veo si lo puedo arreglar
El hacker dice:
ya esta arreglado
El hacker dice:
no te van a volver a entrar.
El hacker dice:
no creo que muchos conoscan el bug tampoco
El hacker dice:
eso si tengo tus bases de datos . smf_users
El hacker dice:
etc etc.

[chaky!]

Estaria bueno que compartas tu db con algun admin/mod... para ver que es lo que se hizo o si te versio...



Saludos

[elgatemm]

y a qien se la doy (Nombre).

Les dejo las img

[chaky!]

[darksteel], el bar ®, sneijder23, NIBOGO

son moderadores del foro español...

[emilio05]

Ahi tenes las Imagenes

tomen decisiones!! yaaa
porque van a seguir!

[chaky!]

emmilio05=elgattem

[elgatemm]

nono somos amigos y los 2 estamos interesados en el tema

[emilio05]

Asi es, toy interesaod por lo mismo
ya que ami tambien me paso

Asique porfavor ayudenos.

[emilio05]

Gente tendriamos que debatir este tema porque el bug esta en todos los smf 1.1.7, hablemos  ya!

[mario994]

http://www.simplemachines.org/community/index.php?topic=279068.0

http://www.simplemachines.org/community/index.php?topic=278740.0

[ElDon]

Bueno estoy leyendo algunas informaciones y creo que hay que tener cuidado con lo que puedan subir en nuestros servers....

[Peludo_08]

el tipo ese gangsta killa tiene varios defeaces hechos busca en google nomas gangsta killa y salen muchos...

[M@nNiak]

y bueno en que va la cosa?  ya contactaron a algun mod o gente de SMF directamente para reportarle este problema?

Esto es serio no deberia pasar desapercibido.

[frat2005]

Para mi te metio verso!!! Seguro habia un bug en el servidor y entro por ahi y te dijo que era en smf para hacerte creer que es muy bueno Eso opino yo.

[M-DVD]

Pienso igual que frat2005

Además, fíjate en esto:

El hacker dice:
te encontre un bug de injeccion sql en tu foro
.
.
.
El hacker dice:
y te arregle la tabla en donde se encontraba el bug.

Lo segundo desde mi ignorancia no le veo ningún sentido que digamos, pero además ni cuadra con lo primero.

[chaky!]

Pienso igual que frat2005

Además, fíjate en esto:

El hacker dice:
te encontre un bug de injeccion sql en tu foro
.
.
.
El hacker dice:
y te arregle la tabla en donde se encontraba el bug.

Lo segundo desde mi ignorancia no le veo ningún sentido que digamos, pero además ni cuadra con lo primero.

Un hacker decente tiene como objetivo vulnerar, no destuir... despues de que entro, y se encargo que todos supieran eso.. "tapo" la entrada para que no entre otro tan facilmente...

de todos modos tiene un cierto aire a verso...

[lean]

hablando del tema les cuento lo que me paso. En mi foro se registro un tal pablito1 y se puso como administrador. Es imposible ya que yo soy el unico que puede dar ese rango. Me parece rarisimo que alla hecho eso. Hice un seguimiento de los movimientos que hizo por el foro, y deduje que en algo raro estaba porque vio mi perfil muchas veces, el perfil del otro admin y avatares subidos. Asi que me parece que viene por el lado de avatar. Se los cuento asi toman medidas en sus webs ya que no seria nada bueno perder todo el trabajo por unos idiotas molestos.
saludos!!

[puchitus]

Es un bug de PHP y de la configuración de los servers.

Saludos.

[ElDon]

Si es como dicen algunos de ustedes, tiene que ver con alguna subida porque lei tambien algo sobre esto busca algo en las webs tambien, pero no es un bugs del foro en si.....

[emilio05]

entran por el foro amigo
tenemos que apurarnos!

[MarioH]

o.O y en que quedaron?

tu servidor es de pago o gratuito?

que dijieron los administradores de tu servidor?

[lean]

mi servidor es pago y es uno de los mejores de argentina. Es el mismo servidor de taringa. Wiroos.
No es problema del servidor, eso me dijeron los administradores del host.

[TuxtlaClik]

que feo esta eso si es ciertooo   ojala que no sea cierto pero por lo que e leido segun es una imagen ke segun trae como un codigo ke hace ke accedan ala base de datos ................peromirenlo por es te ladoo si fuera cierto..........

pues solo  un buen programador podria hacer eso  o no ?   

[M-DVD]

Un hacker decente tiene como objetivo vulnerar, no destuir... despues de que entro, y se encargo que todos supieran eso.. "tapo" la entrada para que no entre otro tan facilmente...

de todos modos tiene un cierto aire a verso...

Entiendo, pero no cuadra lo que dice, me suena a que no sabe lo que dice o dijo cualquier cosa para salirle al paso.

1.- "te arregle la tabla en donde se encontraba el bug"
¿como se supone es una tabla con bug?

2.- y más arriba dice
"te encontre un bug de injeccion sql en tu foro"
¿no y que era una tabla con bug? (sea lo que sea que signifique eso) 

--

Lo de las imágenes ya es otra historia TOTALMENTE diferente a "lo que dice el hacker por el chat".

Sobre las imágenes, hasta donde se es mentira partiendo una "media verdad".

1.- ¿Hace falta conocimiento?. Si, pero nada que no se logre si "se sigue manual" y se curra un poco la cosa.

2.- ¿Es posible subir imágenes con código? (específicamente en el avatar). NO y en parte si. Directamente un archivo con código NO es posible subirlo, SMF comprueba las imágenes que son subidas.

Aplicando un truco que no mucha gente sabe si es posible hacerlo, pero entonces el código queda inutilizable para lo que quieren.

3.- No es problema que suban "imágenes con código", ya que para el host serán "imágenes" y no lo ejecutará. El host solo ejecuta archivos php (a menos que le hayan indicado otra cosa), y a menos que el software tenga un bug (4).

Además, las subidas en SMF se hacen a una carpeta a la cual el usuario no tiene acceso. Por lo que solo deja la opción de que el software tenga un bug que permita la ejecución (4).

4.- Parece que hubo unos bugs que según permitían eso, pero ya eso es historia bastante vieja y han sido reportado hace tiempo y justamente las últimas versiones deberían tenerlo parchado.

5.- Hay algo más que me reservaré.

--

Mi palabra final es que si han visto cosas raras en su foro.

1.- Quizás alguien está intentado cosas, lo que no quiere decir que "este logrando cosas".

2.- Pueden tomar la medida que deseen para sentirse seguro.

3.- Si les ha ocurrido algo, averiguar bien de que pudo tratarse y no caer en pánico ni creer en agüeros y rumores.

[scrash]

puede que lo del avatar sea cierto
puede que un archivo txt con codigo malicioso aya sido cambiada su extencion a .png o .jpg para asi poderla subir
para asi tenerla en el servidor victama, da lo mismo si no puede vizualizar la imagen el foro la idea solo es tener la imagen ( codigo maliciosos ) en el servidor
asi pueden usar rfi ... que es bastante comun en php ... y de esta manera cargar el code malicioso desde su servidor
algun codigo de la shell puede facilmente cambiar desde su servidor la extencion .png o .jpg a txt o etc.
ejemplo: en batch se puede hacer muy facilmente
no se si estoy en lo correcto pero le veo relacion ^^

saludos ^w^

[kenet]

lo mas macil, se bajan el SSS y esanean su web. miraran las vulneravilidades que tienen en su web y ya reportan. saludos

[M-DVD]

puede que lo del avatar sea cierto
puede que un archivo txt con codigo malicioso aya sido cambiada su extencion a .png o .jpg para asi poderla subir
para asi tenerla en el servidor victama, da lo mismo si no puede vizualizar la imagen el foro la idea solo es tener la imagen ( codigo maliciosos ) en el servidor
asi pueden usar rfi ... que es bastante comun en php ... y de esta manera cargar el code malicioso desde su servidor
algun codigo de la shell puede facilmente cambiar desde su servidor la extencion .png o .jpg a txt o etc.
ejemplo: en batch se puede hacer muy facilmente
no se si estoy en lo correcto pero le veo relacion ^^

saludos ^w^

Una cosa es lo fácil que se dice y otra cosa es como sea la realidad y otra cosa que si quiera sea posible. No todo lo que se oye por ahí es cierto.

No se si en foros MUY viejos, pero incluso en foros viejos como 1.1.4 no es posible hacer eso de esa manera "tan simple" porque la imagen no es una imagen válida y no se sube. SMF comprueba todas las imágenes que se suben.

Haz la prueba y saldrás de duda.

Y el rfi no "es común en php", es vulnerabilidad del software en cuestión, se tiene o no se tiene.

Para mi todo el royo con este tema ya se por donde viene, por eso no diré más sobre el asunto.

[SERBice]

2.- ¿Es posible subir imágenes con código? (específicamente en el avatar). NO y en parte si. Directamente un archivo con código NO es posible subirlo, SMF comprueba las imágenes que son subidas.

puede que lo del avatar sea cierto
puede que un archivo txt con codigo malicioso aya sido cambiada su extencion a .png o .jpg para asi poderla subir
para asi tenerla en el servidor victama, da lo mismo si no puede vizualizar la imagen el foro la idea solo es tener la imagen ( codigo maliciosos ) en el servidor
asi pueden usar rfi ... que es bastante comun en php ... y de esta manera cargar el code malicioso desde su servidor
algun codigo de la shell puede facilmente cambiar desde su servidor la extencion .png o .jpg a txt o etc.
ejemplo: en batch se puede hacer muy facilmente
no se si estoy en lo correcto pero le veo relacion ^^

saludos ^w^

cierto en parte, ambos.

No se puede subir un txtx con extension gif ya que smf comprueba que sea un gif usando GD... ahora bien ¿se puede engañar a GD?, si, se puede, solo basta con incluir los primeros bytes de un gif (su cabecera), que contiene la info del formato y propiedades de la imagen, luego se trunca el gif y se pone codigo.

¿Puede ser interpretado por el servidor un .gif?, a menos que se haya especificado al servidor que interprete archivos .gif, no; salvo que haya un LFI (Local File Include) en SMF que permita incluir un gif e interpretarlo como codigo.





EDIT: emilio05 :A ¿como andas capo?... te encuentro en todas partes jajaja.....


decinos que mods usas en tu foro, capas que ahi esta tu vulnerabilidad.

[emilio05]

Tengo host pago!
Y  bueno esto lo tiene que arreglar si o si, sino tamos todos chau..

osea ¡Owned!

Como veo nibogo todavia ni se paso por aca :S

[SERBice]

La vulnerabilidad (si la hubiera) no necesariamente debe estar en el SMF en si mismo, quizas este en algun mod que instalaste o modificacion manual que hayas hecho, por eso te sugiero (yo y otros) que nos digas que mods tenias instalados, para poder corroborar que la vulnerabilidad (si la hubiera) no esta en los mods.

[M-DVD]

2.- ¿Es posible subir imágenes con código? (específicamente en el avatar). NO y en parte si. Directamente un archivo con código NO es posible subirlo, SMF comprueba las imágenes que son subidas.

puede que lo del avatar sea cierto
puede que un archivo txt con codigo malicioso aya sido cambiada su extencion a .png o .jpg para asi poderla subir
para asi tenerla en el servidor victama, da lo mismo si no puede vizualizar la imagen el foro la idea solo es tener la imagen ( codigo maliciosos ) en el servidor
asi pueden usar rfi ... que es bastante comun en php ... y de esta manera cargar el code malicioso desde su servidor
algun codigo de la shell puede facilmente cambiar desde su servidor la extencion .png o .jpg a txt o etc.
ejemplo: en batch se puede hacer muy facilmente
no se si estoy en lo correcto pero le veo relacion ^^

saludos ^w^

cierto en parte, ambos.

Deberías haber leído completo el punto 2) que citaste.

--

La razón por las que decidí no hablar más en este tema, es porque en este tema no se está diciendo nada, solo se está especulando y quienes lo han abierto no han dado información precisa de su caso, al contrario.

Y lamentablemente para lo único que podría servir y está sirviendo este tema es para enseñarle cosas al grupillo de Juankers que andan por este Foro.

[Impsat-1]

Mmm... después de haber leido un par de veces todos los post's de este tema, solo puedo agregar 1ª: Que SMF no tiene Bug. 2ª: Coincido con M-DVD y creo que esta en lo correcto (este tema sólo esta dando ideas). 3ª Este tema ya debería estar cerrado.

Si SMF Tuviese un bug el Staff ya hubiera lanzado un parche, es elemental para el Exito mismo de SMF... por lo que de posta creo que todo lo que trataron aquí es sólo para generar polémica al respecto ya que el mismo creador del post se lavó las manos y se olvidó del tema. La verdad es que... me pa que no pasa nada y solo es paranoia, o lo habrán hackeado a él con algún troyano y listo... después le venden cualquier cosa y chauchas, si esto fuere posible ya habría un parche... en fin gente, a ver si cierran este tema... Mis Saludos y Deseos de EXITOS!!! .-

FELICES FIESTAS PARA TODOS!!!

[SERBice]

Como antes dije, es importante saber que mods usaba para constatar de que no haya una vulnerabilidad en los mismos.

De por si, y por la confianza que tengo en SMF, descarto un bug en el foro, pero no en los mods.


y si, tienen razon, este thread esta dando ideas, pero vamos, como si fuera el unico lugar donde pueden aprender estas "fantasticas cosas".... aca, al menos, se mira, se plantea y debate desde el punto de vista de la seguridad y a modo constructivo, lo que aqui hablemos sobre bugs y diferentes formas de explotarlos es unicamente con el fin de protegernos. hay cientos de foros "de hackers" (jaja, eso me da risa) en el que le buscan el pelo al huevo, hacen shell's y toda esa chorrada.... creo que no hay que cerrar el tema solo poruqe se dicen un par de cosas que podrian llegar a usarse par aun deface.


PD: M-DVD, si, es verdad, con lo apresurado que vivo, no interprete todo tu post (lectura veloz, solo le di un vistazo rapidisimo).