• Welcome to Simple Machines Community Forum. Please login or sign up.
October 19, 2021, 01:32:06 AM

News:

SMF 2.0.18 has been released! Please update. Read more.


Zastita vaseg SMF-a...

Started by Dzonny, May 12, 2009, 01:37:18 PM

Previous topic - Next topic

Dzonny

Javice se neko ako je radio...
Mada se javljaju mnogi a engleskom delu foruma koji su uspeshno obavili scan i ochistili fajlove...

srbija-tip.com

Ja sam uradio, posto nisam bio zarazen cisto ovako. Otvori se kao neki text doc i pregledava sve fajlove koje se nalaze u root fajlovima (skenira da vidi dal ima virus). Imao sam neki djavo u source folderu i obrisao je. Baza je manja za 500kb

dan555

Ja sam upravo skenirao u lokalu (prethodno sam napravio bekap svih fajlova sa hosta i preneo ih na lokal) i sve mi je zeleno. :)
Dopada mi se što skenira baš sve php fajlove unutar foldera "forum", a ne samo SMF-ove. Skenirao je i php strane koje sam ja dodao i koje nemaju direktne veze sa forumom (doduše, neke koriste SSI.php).
Nije loše proveriti.

Founder 2008

Neko je gore navodio da upload za ovu zarazu ide preko attachment-a, samo koliko vidim 90% je bilo preko avatara.

LOVELORD

Quote from: * Charobnjak * on May 27, 2009, 01:37:36 PM
Neko je gore navodio da upload za ovu zarazu ide preko attachment-a, samo koliko vidim 90% je bilo preko avatara.

Pa avatare i attacmente obicno cuva u istom folderu...

Dzonny

Charobnjak, bilo je i sluchajeva sa attachmentima, svejedno, radi na istom principu....

Founder 2008

Primetio sam sve to ali sam napisao iz drugog razloga.

Quote from: bt~S]ETI_explorer link=topic=309997.msg2074228#msg2074228 date=1243093418]
Fora je bila u tome da skripta registruje novog korisnika, koji ce ostaviti odredjenu poruku na forumu kao i attachment uz istu. Kada bi admin pogledao taj post, napadac bi imao shell pristup Vasem serveru... Ako Vas interesuje kako exploit funkcionise... pa pogledajte source.. ;)

Covek je objasnjavao ali nigde nije spomenuo avatare, sto moze da zbuni nekog laika.



sablja

Ако су на форуму били искључени аватари и додавање датотека да ли постоји могућност да је форум заражен кодом?

Dzonny

Uvek postoji mogucnost da ti uhakuju forum, na ovaj ili onaj nacin...
Ovo je samo jedan propust, koji je za sada saniran, ali hackeri uvek mogu naci (ako stvarno hoce) da ti upadnu na host....
Skeniraj forum sa prethodno pomenutim toolom ako sumnjas na nesto....
Pozdrav.

sablja

Ако немам никаквих грешака на форуму и форум ми се понаша нормално, онда ваљда немам разлога за коришћење овог алата... На време сам искључио додавање аватара и датотека, извршио надоградњу СМФ-а, ...

Dzonny

U pravu si, nemas razloga... :)
Pozdrav!

sablja

Такав сам одговор тражио, пријатељу. ;)

Founder 2008


Jos ne mogu da verujem da im je tako nesto promaklo ali desava se...


NikolaSN

Pozdrav svima,

kao sto sam ranije napisao, u clanovima mi je bio lik pod imenom krisbarteo i naravno da mi je zarazio forum.

Malopre sam pokrenuo skriptu kb_scan.php koju sam skinu sa sledeceg linka:

http://www.simplemachines.org/community/index.php?topic=313201.0

i pokrenuo je kako je objasnjeno.

Skripta se pokrece tako sto je prvo iskopirate u root foruma gde su ostali index.php SSI.php fajlovi i pokrenete je iz browsera, kucanjem sledeceg linka: www.vasforum.nesto/kb_scan.php

Zatim ce vam se otvoriti svi fajlovi koji su u root-u koji su *.php i bice prikazani u tabeli u tri boje ( crvena=zarazen code, zelena=sve OK i zuta=nesto ( objasnjeno je na gore pomenutom linku, meni se nije pojavljivala ))

Uglavnom kliknuo sam na fix tih fajlova koji su mi bili zarazeni, i mogu vam reci da je skripta FENOMENALNO odradila posao i sve *.php fajlove koji su bili zarazeni vratila na prvobitno stanje, sem tri fajla koji su prikazani na sledecoj slici:

http://img34.imageshack.us/img34/2111/exploit.jpg

pa bih vas ovom prilikom pitao, da li ove fajlove mogu rucno da obrisem jer mi 99% netrebaju na forumu ( ticu se teme koju koristim ali ovo je u delu za Nemacki jezik, koji ne koristimo )?

Sve u svemu toplo preporucujem skriptu.

S druge strane, pre njegovog upada na forum, back up baze iz admin panela je bio oko 3.5Mb, nakon njegovog upada back up baze iz admin panela je oko 11.4Mb, nazalost ova velicina baze se i dalje  zadrzala i nakon ovog skeniranja ( sto je i logicno jer je skenirao samo php fajlove ),ali, da li postoji nacin da vidim sta je to dodato u bazu nakon njegovog upada i da to eventualno iscistim?

Mada,

Iz phpMyAdmin-a baza je ostala skoro ne promenjena, tj. sada je oko 3.7Mb, a pre upada Krisbartea, bila je oko 3.4 ( pre 15 dana )!

Pitanje je, zasto je ovolika razlika izmedju backup-a iz phpmyadmin-a i admin panela nakon upada krisbartea na forum?

pozdrav
;)



Dzonny

Sloodno izbrishi te fajlove koje ti je prijavio...
Prvo nemacki ne koristish, a drugo style.css.php ne postoji u originalnom smfu, a i po samom nazivu fajla se vidi da mu mesto nije tu...


Krisbarteo ubacuje kod u neke php fajlove, a te fajlove ova skripta i chisti, tako da ako je to odradjeno kako treba, i ako ti ne vidish greshke na forumu, sve bi trebalo biti ok...
Za svaki sluchaj pregledaj avatars i attachment direktorijum i pogledaj ima li neshto chudno ili neshto shto nije okaceno na forumu....

sablja

June 08, 2009, 03:37:50 AM #95 Last Edit: June 08, 2009, 04:26:49 AM by sablja
Имам пар питања. Да ли треба имати посебан налог за администратора, а посебан за писање на форуму? Да ли треба убацити фајл .htaccess у ./attachments?

http://www.simplemachines.org/community/index.php?topic=260745.0

Founder 2008

Quote from: sablja on June 08, 2009, 03:37:50 AM
Да ли треба имати посебан налог за администратора, а посебан за писање на форуму?

Zbog cega?

Quote from: sablja on June 08, 2009, 03:37:50 AM
Да ли треба убацити фајл .htaccess у ./attachments?

Taj fajl vec treba da bude tamo.

Dzonny

Pa mozes da napravish poseban nalog za pisanje, ali ti to nece puno znachiti....
(svejedno admin ce imati ID 1)
Da, imash prilozen .htaccess u postu sa linka koji si postavio pa ga uploaduj ili samo edituj ako ga vec imash....

sablja

June 08, 2009, 04:53:03 AM #98 Last Edit: June 08, 2009, 05:00:40 AM by sablja
Хвала на одговорима.  Како то да ја немам тај фајл?

Мислио сам да скинем статус админа ID 1, а да направим нови налог који ће бити админ. Ма, пусти, постао сам параноичан... ;)

Dzonny

I ja se pitam :P

Pa mozes to uraditi, ali svejedno se lako moze saznati ID admina, tako da zbog toga sumnjam da ce ti to koristiti previshe....
Paranoja nekad moze i da bude korisna.. :P

Advertisement: