Серьезная уязвимость в форуме SMF. Решение найдено!

20.05.2009 | smart | |

В последнее время участились сообщения о взломах форумов, работающих на SMF (Simple Machines Forum), среди пострадавших оказался и форум русского сообщества Ubuntu. Но в чем именно проблема и чего бояться непонятно, информации было крайне мало.

Сегодня появилась дополнительная информация. Данной уязвимости подвержены все версии форума, включая последнюю стабильную версию 1.1.8. Уязвимость существует в функции масштабирования аватаров, поэтому до выхода официального патча рекомендуется выполнить следующие действия:

• Запретить загрузку аватаров как с внешних сайтов, так и с локального компьютера.
• Отключить функцию масштабирования аватаров
• Проверить не зарегистрирован ли на форуме пользователь с логином krisbarteo и если таковой присутствует, рекомендуется провести ревизию файлов форума.

Ревизию рекомендую сделать даже если такой пользователь не обнаружен. Скачиваете себе на локальный компьютер все файлы форума и проверяете на наличие в файлах вот такого кода: eval(base64_decode

В оригинальных файлах форума таких строчек быть не должно, если у вас они присутствуют необходимо заменить эти файлы оригинальными из дистрибутива SMF.

Решение проблемы

Необходимо в директорию, куда сохраняются аттачменты и аватары, поместить .htaccess файл следующего содержания:

 
<Files *>
  Order Deny,Allow
  Deny from all
  Allow from localhost
</Files>
RemoveHandler .php .php3 .phtml .cgi .fcgi .pl .fpl .shtml

Особенно важна последняя строка, она отключит выполнение PHP в этой папке и все решится само-собой.