<div class="gmail_quote">On Wed, Jan 27, 2010 at 10:37 AM, Marc Weustink <span dir="ltr"><<a href="mailto:marc.weustink@cuperus.nl">marc.weustink@cuperus.nl</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">


The "infection" is removed. We're currently investigating where it came from.<br>
The smf forum was  uptodate (1.1.11). Unfortunately when restoring things, a previous index.php was used, which reports the older version. (which is the only diff of the file)<br>
<br>
I fear the ease of the update process made it also possible to write new contents.<br><font color="#888888">
<br>
Marc</font><div><div></div><div class="h5"><br></div></div></blockquote><div> </div></div>I don't see how the ease of the update process would give hackers an advantage... after all, you still have to have an admin account to perform that activity.<div>

<br></div><div>Keep in mind:</div><div>1. An outdated index.php could be a possible culprit, if it had any security vulnerabilities with it (although I highly doubt this)</div><div>2. Any  mods installed may have vulnerabilities</div>

<div>3. If the person updating the forum to 1.1.11 ignored warning messages about files not being writable, etc, there may still be an outdated file with a vulnerability from 1.1.10</div><div>4. SMF doesn't necessarily have to be the culprit. Exploits in other software may have given the intruder file/ftp access, allowing him to change any files anywhere.</div>