Обнаружина уязвимость в верии 2.7, 2.8, 2.9, возможно и более ранних - AdsManager

Сегодня обнаружил, что сайт взломали, судя по логам через компонент  com_adsmanager.
Вот что в логах:
36.80.135.239 - - [06/Jul/2015:--:--:-- +0300] "POST /путь/?task=upload&tmpl=component HTTP/1.0" 200 71 "-" "Mozilla/5.0 (Windows NT 6.1; rv:32.0) Gecko/20100101 Firefox/32.0"
36.80.135.239 - - [06/Jul/2015:--:--:-- +0300] "GET //tmp/plupload/404.php HTTP/1.0" 200 167 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 UBrowser/5.1.1369.1226 Safari/537.36" и т.д.

Авторы рандомной атаки опубликовали сайты на странице в facebook: https://www.facebook.com/permalink.php?story_fbid=441988275980975&id=267849786728159
На большинстве  сайтов используют AdsManager.
В общем надо искать уязвимость, пока уязвимость не устранена на папку  "/tmp/plupload" ставьте атрибуты 754 или 744.

Мдаа... Это что же, компонент даёт загружать PHP файлы?

Мдаа... Это что же, компонент даёт загружать PHP файлы?

Видимо, нужна помощь тех кто хорошо знает компонент "куда копать", будем заплату ставить =)

А чего до 3.0.2 не обновитесь? Там-то наверное исправлено.

А чего до 3.0.2 не обновитесь? Там-то наверное исправлено.

Сильно модифицирован компонент, а м.б и не исправлено.

В файле /components/com_adsmanager/controller.php, после строки:
$fileName = preg_replace('/[^\w\._]+/', '', $fileName);
Добавляем проверку:
$ext = strrpos($fileName, '.');
$fileName_b = strtolower(substr($fileName, $ext+1));
      if (!in_array($fileName_b,array("jpg","jpeg","gif","png"))) {
               exit();
      }

Видимо Томас пропатчил в верии 310, в 2,8 и 2,9 тоже нет проверки.

Блин, ошибка просто детская...

Блин, ошибка просто детская...

Так вот, а кто знал, пипец блин....

После установки заплаты, ОБЯЗАТЕЛЬНО поменяйте все пароли!

В файле /components/com_adsmanager/controller.php, после строки:
$fileName = preg_replace('/[^\w\._]+/', '', $fileName);
Добавляем проверку:
$ext = strrpos($fileName, '.');
$fileName_b = strtolower(substr($fileName, $ext+1));
      if (!in_array($fileName_b,array("jpg","jpeg","gif","png"))) {
               exit();
      }

Видимо Томас пропатчил в верии 310, в 2,8 и 2,9 тоже нет проверки.

file extension можно подделать, если разрешаются только изображения, то лучше использовать getimagesize().

file extension можно подделать, если разрешаются только изображения, то лучше использовать getimagesize().

Проверку я скопипастил с версии 3.10, если делать по уму, то и файлы с разрешенным расширением нужно проверять, да и полный аудит всего компонента делать. Дыра найдена, флаг в руки =)

Отправьте его на эту статью
http://joomlablog.ru/razrabotka/547-sozdaem-bezopasnye-rasshireniya-dlya-joomla#file-uploads

После установки заплаты, ОБЯЗАТЕЛЬНО поменяйте все пароли!

Файлы могут уже быть раскиданы по всему сайту...

1. Надо вырубить сайт полностью, найти все вредоносные коды и файлы - удалить их. Если на сайте используются публикация статей, скорее всего там куча ссылок.
2. Если Ваш сайт с тИЦ, зарегистрируйтесь на всех возможных биржах временных ссылок и попробуйте добавить свой сайт, скорее всего он там есть. Пробуйте наказать этих уродов.
3. Раскидайте файл htaccess (с запретом на выполнение файлов) во все временные папки и папки с картинками, также разберитесь с правами на папки, тк код выше не полностью защищает от злоумышленников, а Joomprod считает что этого достаточно. Зная директорию с нужными правами можно легко закинуть файл через загрузчик с помощью перехвата.

Сталкивался я с этой проблемой и тут это уже вроде обсуждалось.

Может кто хорошо знает компонент, сможет реализовать достойную защиту по этим рекомендациям http://habrahabr.ru/post/148999/

спасибо, помогло

Вроде в последней версии довели все до ума ) Будем переводить!

Тоже столкнулся с той же проблемой.

Вопрос к тем кто уже все выправил -

восстановление сайта из резервной копии (на дату до появления вирусов) + обновление АдсМанагера - решают проблему?

Или раз дыра была, то теперь уже по всему сайту распихан вредносный код и обновление компонента просто закроет на будущее доступ, а текущие проблемы останутся?