Søg
Avatar billede futurefreak Nybegynder
16. april 2007 - 12:11 Der er 15 kommentarer og
1 løsning

Vores index side blev hacket og ændret til noget tyrkisk.

Hej E
Jeg hjælper www.isore.dk og dens webmaster med deres hjemmeside og i fredags kunne kasseren med rædsel ringe og fortælle at siden var lavet om til noget ytrkisk eller lign.
Dvs. hacket af nogen.

Nu ved jeg ikke så meget om emnet.

Men hvor kan sikkerhedshullet være?
Er det på serveren?
Er det i det SMF forum vi bruger?
Er det vores PC'er?

Kan det have noget at gøre med at på min egen PC fandt Symantec en "backdoor.bifrose"????
(Det er nu i karantæne, men kan åbenbart ikke slettes. Mere om det i et andet spm.)

Hvordan kan vi sikre os at dette ikke sker igen og hvad skal vi ændre/gøre.

Måske har spm. været oppe tidligere, men jeg håber I så vil linke til svaret.

Vh
Avatar billede bufferzone Praktikant
16. april 2007 - 12:20 #1
Det er med stor sansynelighed jeres SMF forum der er synderen eller anden funktionalitet i har implementeret. Jeg prøver at se om jeg kan finde noget åbenbart om SMF og vender tilbage
Avatar billede futurefreak Nybegynder
16. april 2007 - 12:31 #2
Bufferzone >>
Takker.
Avatar billede bufferzone Praktikant
16. april 2007 - 13:02 #3
Her har du et exploit der kan virke

http://milw0rm.com/exploits/2021

Her er lidt info

http://secunia.com/advisories/21079/danish/
http://www.securityfocus.com/bid/18924

Om der er kommet en patch ved jeg ikke, kontroller om i har seneste version liggende, ellers opgrader.

Alternativt forsøg sammen med udbyder at blokkerer tyrkerne
Avatar billede futurefreak Nybegynder
16. april 2007 - 14:06 #4
Alle >>

Ja, tror nu også at det er forumet fra SMF der er skyldneren.
Har hentet verson 1.1.2 og vil prøve at opdatere forumet. (Skal lige sætte mig ind i det).

Jeg tror at det skyldes vi har tilladt udefrakommende at poste/skrive i forumet uden at være logget på og det igen giver adgang til en 2. og 3. fil som går systemet sårbart.
Tror jeg ... *s*
Avatar billede bufferzone Praktikant
16. april 2007 - 14:28 #5
Som jeg læser de forskellige beskrivelser så er versioner til om med (mindst) version 1.1.3 sårbare og der er kommet noget nyere ved jeg ikke
Avatar billede futurefreak Nybegynder
16. april 2007 - 16:13 #6
bufferzone >>
Ja, du har nok ret.
Mener du også at det skyldes at enkelte boards sættes som global settings og derfor er forumet sårbart?
Avatar billede bufferzone Praktikant
16. april 2007 - 16:22 #7
Her er hvad secunia foreskriver

Input suppleret til parameteren "mosConfig_absolute_path" i omponents/com_smf/smf.php kontrolleres ikke korrekt, før det benyttes til at inkludere filer. Dette kan udnyttes til at eksekvere vilkårlig PHP-kode ved at inkludere lokale og eksterne filer.

Succesfuld udnyttelse forudsætter, at "register_globals" er aktiveret.

Sårbarheden er rapporteret i version 1.3.1.3, men andre versioner kan også være berørte.

Løsning:
Editér kildekoden for at sikre, at input kontrolleres korrekt.
Avatar billede futurefreak Nybegynder
16. april 2007 - 18:22 #8
bufferzone >>
Sorry, men på dansk betyder det?
Vi er ikke så gode til hardcore programering :-)
Avatar billede futurefreak Nybegynder
17. april 2007 - 01:39 #9
Bufferzone >>
Se/læs dette: http://www.simplemachines.org/community/index.php?topic=165393.0
Avatar billede bufferzone Praktikant
17. april 2007 - 07:55 #10
Vi er ude i semantik. Der er tale om SMF komponenter der er sårbare, f.eks. milw0rm exploitet går efter smf.php filen og det er vel en del af smf så????

Ar rette koden er ikke s ådan lige, så havde det allerede været gjort. Hvis du kan deaktiverer "register_globals" så skulle dette exploit ikke kunne virke.

Hvis du har serverlogfilen fra den periode hvor hacket skete, kunne det være interessant at se hvad der faktisk er foregået, så kan man også finde præcist det rigtige exploite og ¨åske få nogle input tih hvordan man kan lukke for tingene
Avatar billede futurefreak Nybegynder
17. april 2007 - 12:57 #11
bufferzone >>

Når nu du siger "register_globals", ved du så hvor og hvad det er i SMF? Jeg ved det nemlig ikke. :-/

Hvor vil jeg kunne finde serverlogfilen?
Avatar billede bufferzone Praktikant
18. april 2007 - 14:31 #12
Jeg er ikke klar over hvor disse globals findes. Mht server logfilerne, så afhænger det stærkt af om vi taler IIS eller apache, Hvad køre du?
Avatar billede futurefreak Nybegynder
18. april 2007 - 22:11 #13
Gætter på jeg kører Apache ... *s*
Avatar billede bufferzone Praktikant
19. april 2007 - 08:31 #14
På apache ligger de, som jeg husker det, i /var/log/ (kan være /var/logs/) og der er to forskellige biblioteker en til access log og en til error logs og du skal kikke i begge.

Lige nu er jeg på arbejde og har ikke adgang til mine linux maskiner
Avatar billede futurefreak Nybegynder
23. april 2007 - 10:11 #15
Det sidste svar jeg har fået fra webhotellet, var det der vistnok var en buggy i PHP 5.1.6 som nu er rettet.
Avatar billede akyhne Nybegynder
18. november 2008 - 01:59 #16
Jeg kan se isoere.dk kører med version 1.1.6. Den nyeste version er 1.1.7. Det er en god ide at opgradere, da der er lukket nogle sikkerhedshuller.

Desuden bruger du ikke den nyeste danske sprogpakke.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Generator til strømafbrydelse Af arnepedersen i Andet sikkerhed 11 06/10/202510:26 07/10/202516:37
Sophus Scan og Clean på USB- samler den "snavs" op? Af Uvanga i Andet sikkerhed 7 24/09/202522:06 25/09/202518:27
synology surveillance Af johnnylassen i Andet sikkerhed 2 09/06/202514:49 09/06/202518:18
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
27/1222:02 Låse brugt iPad op Af drstein i iOS, iPhone & iPad
27/1219:21 Hvor finder jeg en oversigt over mine spørgsmål Af KurtG i Hjælp og fejl
27/1211:31 TP-Link Wifi extender opsat som accesspoint giver 50% up- og download, Af Uvanga i Wifi
26/1213:05 Hvorfor bliver tiff-filer større ved konvertering til samme format Af KurtG i Billedbehandling
23/1221:36 Gøre Ikonerne lidt større i proceslinjen (Windows 10) Af Ikke-ekspert i Windows
White papers
Flere white papers »