Fanns en exploit i 1.1.8 som man kunde utnyttja genom att ladda upp lämplig avatar (med php-kod i). Detta hände oss så jag har fipplat en massa nu under förmiddagen för att lösa det.
http://www.youtube.com/watch?v=1pSyYhRYeIM (http://www.youtube.com/watch?v=1pSyYhRYeIM)
Fan jag blir kissenödig av regnandet! :)
Kan vara på sin plats att byta sitt lösenord till forumet eftersom man aldrig är säker på vad hacket gjorde...
Hmm. Hoppas allt är i sin ordning. Finns det inga uppdateringar till forumet?
Jo, men det var inte uppdaterat. Så ofta är gamm-mannen inte inne och kollar. Själv ger jag mig inte på sånt utan sköter mer modererande och sånt. Men om baloo vill så kan jag gå in och kolla då och då eftersom jag ändå surfar in på forumet några gånger per dag.
Allt är i sin ordning igen. Så vitt jag sett så har inget gjorts med databasen och jag har gjort en ominstallation av mjukvaran samt patchat till senaste utgåvan så det hål som utnyttjades i 1.1.8 borde inte ställa till det igen för oss.
Någonting har definitivt gjorts! Jag ser ju ut som en nedknarkad grungeartist som spelar med gitarren åt helt fel håll! Fan, ni kan lika gärna börja kalla mig Kurt!
Hehe. Du ser ut som en nerknarksd sådan. ;D
Vad var symptomen på hacket? Jag administrerar ett annat forum som också hade samma version. Det är uppgraderat och jag kan inte se nåt som ser ut att vara i oordning.
Griffin, kolla efter användare krisbarteo. Forumet verkar utnyttjats till att sätta upp ett nytt forum vid sidan av och jag har inte kunnat hitta något annat konstigt. Såg att något var skumt när jag backade forumets filsystem. Hittade en massa filer med slumpmässiga namn i Themes/Revisited/languages. Tittade jag i dom så var det forumtrådar och inte från vårat forum så jag tog bort skräpet. Låg kvar en del kod i vissa filer så jag blåste det gamla filsystemet och gjorde en nyinstallation som jag sedan pekade ut den gamla databasen ifrån. Griffin, du kan köra en grep på eval(base64_decode( i ditt forums filsystem. Helst skall du inte få några träffar :)
krisbarteo skapade sig ett konto på Nosig och laddade upp en jpg med lite base64kodad phpkod i EXIF-delen. På så sätt lyckades han/hon köra sin kod på maskinen. Kontot skapades den 27/4 så det hade legat ett tag utan att jag märkt något. Verkar som det är en del som har fått sina SMF 1.1.8-forum hackade på samma sätt. Vi har alltid tillåtit nya användare att posta direkt efter att de skapat sitt konto. Nu har jag ändrat så att någon admin måste tillåta kontot innan man kan börja använda det. Hjälper ju inte denna gången men kanske nästa gång iaf.
Griffin, kör du med öppen registrering på det forum du administrerar?
Plopp
Yay, uppe igen! :)
Forumet i fråga ligger på ett webhotell så jag kan inte köra grep och liknande.
Men jag tror inte det är hackat, vi kör med den mest återhållsamma registreringen som går - vi lägger in användare manuellt. Vi hade problem med modererad registrering med då bottar spammade med registeringsförsök så då gick vi över till att helt köra manuellt. Det är så pass få nyregistreringar över tiden så det går smidigare än att behöva plöja igenom massor med fake-reggar för att hitta de få riktiga.
Däremot kan det ändå vara av intresse, för det är ju inte alltid man märker att man blivit hackad. Att veta vad man skall hålla utkik efter underlättar.
Quote from: bALoO on May 24, 2009, 15:32:22
Griffin, kolla efter användare krisbarteo. Forumet verkar utnyttjats till att sätta upp ett nytt forum vid sidan av och jag har inte kunnat hitta något annat konstigt. Såg att något var skumt när jag backade forumets filsystem. Hittade en massa filer med slumpmässiga namn i Themes/Revisited/languages. Tittade jag i dom så var det forumtrådar och inte från vårat forum så jag tog bort skräpet. Låg kvar en del kod i vissa filer så jag blåste det gamla filsystemet och gjorde en nyinstallation som jag sedan pekade ut den gamla databasen ifrån. Griffin, du kan köra en grep på eval(base64_decode( i ditt forums filsystem. Helst skall du inte få några träffar :)
krisbarteo skapade sig ett konto på Nosig och laddade upp en jpg med lite base64kodad phpkod i EXIF-delen. På så sätt lyckades han/hon köra sin kod på maskinen. Kontot skapades den 27/4 så det hade legat ett tag utan att jag märkt något. Verkar som det är en del som har fått sina SMF 1.1.8-forum hackade på samma sätt. Vi har alltid tillåtit nya användare att posta direkt efter att de skapat sitt konto. Nu har jag ändrat så att någon admin måste tillåta kontot innan man kan börja använda det. Hjälper ju inte denna gången men kanske nästa gång iaf.
Griffin, kör du med öppen registrering på det forum du administrerar?
Jag fattar inte ett jota men...jag är mega-imponerad av alla er som fattar ovanstående (och kan skapa upprättelse)...nice work! ;D
Alla påminnelsemail om att ett ämne har fått ett nytt inlägg har haft olika avsändaradresser den senaste veckan (båda mailen ;)), är den senaste bapman den som kommer att gälla i fortsättningen? Mina mail sorteras på avsändare till rätt mapp, men eftersom det byter blir man orolig!?
Japp, jag installerade om forumet och insåg då att jag hade en gammal epostadress som inte finns längre varför jag bytte. Skall försöka hålla mig ifrån fler ominstallationer om möjligt.