andrax

Precisamos da sua atenção sobre este assunto. Foi descoberta uma sabotagem na versão xoopers - XT e XM e está é muito grave.

Em algum momento o projeto que estava hospedado no sourceforge.net foi hackeado e o pacote da versão XT e XM foi adulterado e nele foi incluído um arquivo que contém um código malicioso e que pode levar servidores abaixo.

Se você baixou este pacote em qualquer lugar, por favor pesquisar se existe este aquivo:

Caso você encontre este arquivo, você precisa salvar este arquivo e logo em seguida remove-lo de seu servidor. Para sua segurança, analise algum trecho deste código e faça uma pesquisa por palavras iguais em todo o seu servidor. Se encontrar o mesmo trecho de código, remover imdediatamente. Faça isto com a maior urgência possível.

Este código foi plantado para dar a impressão de que o time do XT fosse o autor deste arquivo. Foi inserido neste arquivo créditos a um membro da comunidade brasileira com o intuito de sabotagem e depreciar este trabalho.

Por enquanto nós pedimos desculpas por qualquer problema que esta situação está causando e esperamos que fatos como este não se repitam.

Contamos com a colaboração de todos para ajudar a localizar e resolver este grave problema.

Este código é muito destrutivo. Se ele for instalado em um servidor ele poderá ler o conteúdo dos arquivos de outros diretórios e até mesmo da área Trust deste local.

Assim que soubermos de mais detalhes sobre este problema estaremos informando.


P.s: Execute o código abaixo para verificar em todo o servidor

Citação:

find . -type f -name "*.php" |xargs grep -Hn "File Manager Actions"

Esse script se encontrado no servidor pode abrir as portas, dando acesso a todos os arquivos. :-(

Atenciosamente,

Team Xoopers.

beduino

oi andrax...
que coisa ...

mas, soh pra confirmar... se achar o tal xml.php eh soh rapar o dito cujo fora?
abracos e
sorte pra nos!
b

"The Kingdom of God is within you and all around you, not in mansions of wood and stone. Split a piece of wood and I am there; lift a stone and you will find me."
"O reino de Deus esta dentro de você e ao seu redor, não em construções de madeira e pedra. Lasque um pedaço de madeira e estarei lá; erga uma pedra e me encontrarás"

izzy

Andrax, deixa o link para o site oficial do Xoopers, pois, o pessoal pode ir buscar da própria fonte o download desse Xoops.

Abraços,
Izzy

andrax

A princípio basta apenas remover o arquivo, mas estamos analizando para ver se não existe mais nenhum arquivo malicioso escondido em outras partes...

o giba disse ter encontrado tb os arquivos:

- modules/system/language/english/admin/index.php
- db.php


Mas aqui não encontrei esses arquivos, o que pode já indicar uma ação dos malfeitores nos diretórios do giba!!!

Em todo caso, estou fazendo uma verificação completa de meu servidor para evitar que qualquer arquivo malicioso tenha sido inserido... e recomendo a todos que tiveram essa versão instalada em servidor web que façam o mesmo!!!

No linux, pelo que pude perceber ele tem as mesmas permissões que o apache, mas no windows ele dá visibilidade total(não sei se tem como configurar para aumentar o nível de restrição), cheguei a deletar um arquivo em uma outra partição em minha maquina!!!

No mais é isso, em breve teremos mais informações... as investigações continuam!!!

andrax

izzy, o site era o x2016.xoopers.com.br...

Mas infelizmente, após eu publicar a notícia informando o problema, parece que os malfeitores fizeram uso da ferramenta (pravavelmente plantada em outro local já que o eyekeeper, gibaphp e o TheRplima estavam sabendo) e deletaram todo o site...

Pela conversa que tive com o giba hj pela manhã, parecer que deletaram tb os arquivos do x2015.xoopers.com.br que se não me engano nem estav mais no ar!!!

O Rodrigo(TheRplima) está verificando agora os arquivos da ultima versão para empacotar e disponibilizar(claro sem o arquivo dos infernos)...

No mais, por enquato é só!!

beduino

Achei em uma instalacao e jah rapei fora o dito cujo script...
Se executado ele cria alguma tabela no banco de dados?

"The Kingdom of God is within you and all around you, not in mansions of wood and stone. Split a piece of wood and I am there; lift a stone and you will find me."
"O reino de Deus esta dentro de você e ao seu redor, não em construções de madeira e pedra. Lasque um pedaço de madeira e estarei lá; erga uma pedra e me encontrarás"

beduino

prezados!
alguem podia me falar se o script grava alguma tabela no bd???

"The Kingdom of God is within you and all around you, not in mansions of wood and stone. Split a piece of wood and I am there; lift a stone and you will find me."
"O reino de Deus esta dentro de você e ao seu redor, não em construções de madeira e pedra. Lasque um pedaço de madeira e estarei lá; erga uma pedra e me encontrarás"

izzy

Eu ainda não usei essa versão bixada, estou esperando o Andrax me enviar por e-mail para eu analisar, daí vou instalar e ver para onde caminha o estrago.

Só aguardo, daí já passo vários informes.

Abraços,
Izzy

andrax

@Beduino...
Pela análise rapida que fiz no código ele não grava nada em base não!! Tb não encontrei nenhuma base estranha em meu servidor... Pode ficar tranquilo!!! ;-)

Por sinal, baixei a ultima versão do php file manager, pretendo estudar ele depois... :-D


@all
Sinceramente, tô ficando cansado dessas merdas de briguinhas de quem fez o que ou deixou de fazer..., quem alertou o giba do problema fui eu sim..., e coloquei a notícia no x2016.xoopers.com.br ontem no inicio da noite e hj aqui no x-trad e no xoopsbr tb... pedi a ele pra avisar o maximo possível de pessoas sobre o problema... saco, eu só quero ver a continuidade de um trabalho que está bem feito e saber que estou fazendo parte disso!!!(Se é pra ter créditos, quero quando estiver tudo pronto!!! :-P)

Agora será que dá pra focar no problema e esquecer questões pessoais???

Temo que isso tb possa ter ocorrido com a versão do X.O... da forma que estão brincando por lá não duvido!!! Mas pelas verificações que fiz aqui estão limpas... em todo caso o phppp já está ciente e espero que verifique tb!!!

P.s: Não Vejo essa versão como um fork, mas como uma forma de mostrar as possibilidades de melhorias no xoops e de certa forma pressionar o core team a ter uma posição mais ativa!!!

No mais é isso ae!!!

edipinho

Roupa suja aqui

Já vi algo parecido a uns 3 ou 4 anos atrás, muito chato.
Mas acredito que o pessoal tenha crescido um pouco.

e sem cobranças.


E sobre o que andrax falou

Tche Louco

izzy

prometheus

UFA! Todos os sites que instalei estão 100% clean!

Corro risco de pegar essa "infecção"?

beduino

Oi prometheus - pelo q li ateh agora nao corre nao.
Eu achei um - devidamente deletado. Procurei o dito cujo e - pelo q vi [e o andrax falou] ele nao cria tabelas no bd. A minha observaçao eh q o script altera permissoes dando a um user o acesso ao teu host. Tambem fiquei um tempao procurando o dito cujo
abraços e sorte pra nos
beduino

"The Kingdom of God is within you and all around you, not in mansions of wood and stone. Split a piece of wood and I am there; lift a stone and you will find me."
"O reino de Deus esta dentro de você e ao seu redor, não em construções de madeira e pedra. Lasque um pedaço de madeira e estarei lá; erga uma pedra e me encontrarás"

andrax

Pra quem quiser maiores detalhes sobre o arquivo inserido, pode encontrar aqui... ...:::: PHP File Manager

Não é necessáriamente uma "praga", mas uma brecha(ou pq não dizer uma grande porta) inserida propositadamente no pacote pelos meliantes!!!

É um recurso interessante, mas que requer cuidados e precisa estar com o servidor devidamente configurado!!!

@prometheus
Não há risco de "infecção"..., apenas quem baixou o pacote adulterado tem esse problema... ;-)

fabioegas