Форум русской поддержки Joomla!® CMS
10.12.2016, 16:49:16 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Обнаружина уязвимость в верии 2.7, 2.8, 2.9, возможно и более ранних

 (Прочитано 1011 раз)
0 Пользователей и 1 Гость смотрят эту тему.
LS_D
Осваиваюсь на форуме
***

Репутация: +16/-0
Offline Offline

Сообщений: 155


« : 06.07.2015, 18:22:21 »

Сегодня обнаружил, что сайт взломали, судя по логам через компонент  com_adsmanager.
Вот что в логах:
36.80.135.239 - - [06/Jul/2015:--:--:-- +0300] "POST /путь/?task=upload&tmpl=component HTTP/1.0" 200 71 "-" "Mozilla/5.0 (Windows NT 6.1; rv:32.0) Gecko/20100101 Firefox/32.0"
36.80.135.239 - - [06/Jul/2015:--:--:-- +0300] "GET //tmp/plupload/404.php HTTP/1.0" 200 167 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 UBrowser/5.1.1369.1226 Safari/537.36" и т.д.

Авторы рандомной атаки опубликовали сайты на странице в facebook: https://www.facebook.com/permalink.php?story_fbid=441988275980975&id=267849786728159
На большинстве  сайтов используют AdsManager.
В общем надо искать уязвимость, пока уязвимость не устранена на папку  "/tmp/plupload" ставьте атрибуты 754 или 744.

« Последнее редактирование: 06.07.2015, 20:03:56 от LS_D » Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #1 : 06.07.2015, 18:29:24 »

Мдаа... Это что же, компонент даёт загружать PHP файлы? Sad
Записан
LS_D
Осваиваюсь на форуме
***

Репутация: +16/-0
Offline Offline

Сообщений: 155


« Ответ #2 : 06.07.2015, 18:30:57 »

Мдаа... Это что же, компонент даёт загружать PHP файлы? Sad
Видимо, нужна помощь тех кто хорошо знает компонент "куда копать", будем заплату ставить =)
Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #3 : 06.07.2015, 18:39:34 »

А чего до 3.0.2 не обновитесь? Там-то наверное исправлено.
Записан
LS_D
Осваиваюсь на форуме
***

Репутация: +16/-0
Offline Offline

Сообщений: 155


« Ответ #4 : 06.07.2015, 18:41:10 »

А чего до 3.0.2 не обновитесь? Там-то наверное исправлено.
Сильно модифицирован компонент, а м.б и не исправлено.
Записан
LS_D
Осваиваюсь на форуме
***

Репутация: +16/-0
Offline Offline

Сообщений: 155


« Ответ #5 : 06.07.2015, 18:55:49 »

В файле /components/com_adsmanager/controller.php, после строки:
$fileName = preg_replace('/[^\w\._]+/', '', $fileName);
Добавляем проверку:
$ext = strrpos($fileName, '.');
$fileName_b = strtolower(substr($fileName, $ext+1));
      if (!in_array($fileName_b,array("jpg","jpeg","gif","png"))) {
               exit();
      }

Видимо Томас пропатчил в верии 310, в 2,8 и 2,9 тоже нет проверки.
« Последнее редактирование: 06.07.2015, 22:00:44 от LS_D » Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #6 : 06.07.2015, 18:56:54 »

Блин, ошибка просто детская...
Записан
LS_D
Осваиваюсь на форуме
***

Репутация: +16/-0
Offline Offline

Сообщений: 155


« Ответ #7 : 06.07.2015, 18:57:49 »

Блин, ошибка просто детская...
Так вот, а кто знал, пипец блин....
Записан
LS_D
Осваиваюсь на форуме
***

Репутация: +16/-0
Offline Offline

Сообщений: 155


« Ответ #8 : 06.07.2015, 19:15:22 »

После установки заплаты, ОБЯЗАТЕЛЬНО поменяйте все пароли!
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3595


« Ответ #9 : 06.07.2015, 22:39:38 »

В файле /components/com_adsmanager/controller.php, после строки:
$fileName = preg_replace('/[^\w\._]+/', '', $fileName);
Добавляем проверку:
$ext = strrpos($fileName, '.');
$fileName_b = strtolower(substr($fileName, $ext+1));
      if (!in_array($fileName_b,array("jpg","jpeg","gif","png"))) {
               exit();
      }

Видимо Томас пропатчил в верии 310, в 2,8 и 2,9 тоже нет проверки.

file extension можно подделать, если разрешаются только изображения, то лучше использовать getimagesize().
Записан
LS_D
Осваиваюсь на форуме
***

Репутация: +16/-0
Offline Offline

Сообщений: 155


« Ответ #10 : 07.07.2015, 00:36:23 »

file extension можно подделать, если разрешаются только изображения, то лучше использовать getimagesize().
Проверку я скопипастил с версии 3.10, если делать по уму, то и файлы с разрешенным расширением нужно проверять, да и полный аудит всего компонента делать. Дыра найдена, флаг в руки =)
Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #11 : 07.07.2015, 07:59:34 »

Отправьте его на эту статью
http://joomlablog.ru/razrabotka/547-sozdaem-bezopasnye-rasshireniya-dlya-joomla#file-uploads
Azn
Записан
max_1985
Завсегдатай
*****

Репутация: +55/-0
Offline Offline

Сообщений: 598



« Ответ #12 : 07.07.2015, 11:22:58 »

После установки заплаты, ОБЯЗАТЕЛЬНО поменяйте все пароли!
Файлы могут уже быть раскиданы по всему сайту...

1. Надо вырубить сайт полностью, найти все вредоносные коды и файлы - удалить их. Если на сайте используются публикация статей, скорее всего там куча ссылок.
2. Если Ваш сайт с тИЦ, зарегистрируйтесь на всех возможных биржах временных ссылок и попробуйте добавить свой сайт, скорее всего он там есть. Пробуйте наказать этих уродов.
3. Раскидайте файл htaccess (с запретом на выполнение файлов) во все временные папки и папки с картинками, также разберитесь с правами на папки, тк код выше не полностью защищает от злоумышленников, а Joomprod считает что этого достаточно. Зная директорию с нужными правами можно легко закинуть файл через загрузчик с помощью перехвата.

Сталкивался я с этой проблемой и тут это уже вроде обсуждалось.
Записан
max_1985
Завсегдатай
*****

Репутация: +55/-0
Offline Offline

Сообщений: 598



« Ответ #13 : 07.07.2015, 11:30:59 »

Может кто хорошо знает компонент, сможет реализовать достойную защиту по этим рекомендациям http://habrahabr.ru/post/148999/
Записан
fred
Осваиваюсь на форуме
***

Репутация: +13/-0
Offline Offline

Пол: Мужской
Сообщений: 135


Прошлое лишено смысла


« Ответ #14 : 19.07.2015, 11:21:27 »

спасибо, помогло
Записан
max_1985
Завсегдатай
*****

Репутация: +55/-0
Offline Offline

Сообщений: 598



« Ответ #15 : 24.07.2015, 13:40:26 »

Вроде в последней версии довели все до ума ) Будем переводить!
Записан
fisher2000ru
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #16 : 30.07.2015, 11:42:38 »

Тоже столкнулся с той же проблемой.

Вопрос к тем кто уже все выправил -

восстановление сайта из резервной копии (на дату до появления вирусов) + обновление АдсМанагера - решают проблему?

Или раз дыра была, то теперь уже по всему сайту распихан вредносный код и обновление компонента просто закроет на будущее доступ, а текущие проблемы останутся?

Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet