Форум русской поддержки Joomla!® CMS
10.12.2016, 20:43:10 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Опасное расширения для Joomla - AdsManager все версии, разработчик не добросовестный!

 (Прочитано 847 раз)
0 Пользователей и 1 Гость смотрят эту тему.
1-F7
Давно я тут
****

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 219



« : 06.10.2016, 10:33:01 »

В компоненте Joomla AdsManager обнаружена критическая уязвимость, позволяющая хакеру загрузить на сайт веб-шеллы (бэкдоры или другие произвольные php скрипты).

Файлы загружаются в каталог /tmp/plupload.

Достаточно выполнить один POST запрос, чтобы взломать сайт и получить над ним полный контроль, а на большинстве виртуальных хостингов и над всеми сайтами аккаунта.

В логах веб-сервера атаку можно найти по запросу
Код:
index.php?option=com_adsmanager&task=upload&tmpl=component

Данная уязвимость присутствует как минимум в версии AdsManager 2.9.9 (возможно и в более поздних версиях).

Для проверки уязвимости на вашем сайте, достаточно в браузере открыть адрес

Код:
http://вашсайт/index.php?option=com_adsmanager&task=upload&tmpl=component


Если результат выглядит так, как на скриншоте ниже, то ждите "гостей" (если, конечно, "гости" уже не пришли).

Настоятельно рекомендуем запретить исполнение скриптов в каталоге tmp, разместив в нем файл .htaccess следующего содержимого
Код:
Order Deny,Allow
Deny from All

Это не позволит получить доступ к загруженным файлам. Для сайтов, работающих под nginx необходимо прописать аналогичное правило, запрещающее доступ в /tmp в файле nginx.conf.

Поскольку теоретически в каталог загрузить могут файл .htaccess с разрешающим Allow from All, то более надежно заблокировать доступ к каталогу через ModRewrite в корневом .htaccess, добавив строки
Код:
RewriteEngine On
RewriteRule ^tmp/ - [F]
Также рекомендуем обновить компонент AdsManager до самой последней версии.

Если есть подозрения на взлом - проверьте свой сайт сканером AI-BOLIT.

Для интересующихся: видео с процессом взлома.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #1 : 06.10.2016, 10:48:48 »

А ссылку на источник, где и видео есть ?
https://revisium.com/ru/blog/adsmanager_afu.html
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Offline Offline

Пол: Женский
Сообщений: 4723



« Ответ #2 : 06.10.2016, 11:01:19 »

Новость от 21/07/2015
Записан
1-F7
Давно я тут
****

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 219



« Ответ #3 : 06.10.2016, 11:39:17 »

Многие об этой новости не знают, а устанавливают компонент, через которого потом ломают сайт.
Записан
flyingspook
Профи
********

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #4 : 06.10.2016, 19:27:01 »

закройте папку админки http авторизацией и спите спокойно  Grin
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7784



« Ответ #5 : 06.10.2016, 23:07:21 »

так заливают же вроде через фронт?
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #6 : 06.10.2016, 23:55:11 »

закройте папку админки http авторизацией и спите спокойно  Grin
+1!
Что за паника? ...Полез папку закрывать )))
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #7 : 06.10.2016, 23:57:01 »

Ниработает )
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7784



« Ответ #8 : 06.10.2016, 23:58:41 »

Ниработает )
Azn ну значит в актуальной версии уже залатали видимо. судя по тому, что
Новость от 21/07/2015
вероятно разработчики тоже прочли все таки эту новость Azn
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #9 : 07.10.2016, 00:04:30 »

Человек открыл для себя что обновление - это не просто так.
Через пару месяцев может поймет еще важность качать с оффсайтов ))
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #10 : 07.10.2016, 00:45:50 »

Человек открыл для себя что обновление - это не просто так.
Через пару месяцев может поймет еще важность качать с оффсайтов ))
Ну просвещение не сразу приходит.  Сначала идут злобные хаскеры, потом приходит боль и разочерование и только потом просвещение.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7784



« Ответ #11 : 07.10.2016, 00:47:58 »

ну наверное все через это в какой то мере прошли Azn
Записан
1-F7
Давно я тут
****

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 219



« Ответ #12 : 07.10.2016, 13:36:14 »

Это разработчики эту уязвимость и создали, чтоб ломать сайты, через папку /tmp/plupload. Вы код с помощью поиска поищите например plupload и убедитесь, что это вина разработчиков.

У меня на Joomla 1.5 стоял этот компонент, заливали файлы и шеллы каждую неделю, не успевал удалять. После удалиось закрыть дыру с помощью удаления одного кода в двух файлах и атаки перестали.

Но я снес полностью сайт на Joomla 1.5 и создал новый на 3.5.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7784



« Ответ #13 : 07.10.2016, 13:50:20 »

вина разработчиков безусловно есть. но не думаю, что это было сделано специально.
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #14 : 07.10.2016, 15:09:02 »

Но я снес полностью сайт на Joomla 1.5 и создал новый на 3.5.
А вы знали что разработчики Joomla тоже очень недобросовестные, они специально сделали уязвимость 0 дня и залатали только в 3.x и все это ради того чтобы ломать лично ваш сайт. (просто первая которая вспомнилась)

Мне кажется или ТС давно пора снять розовые, без обид.
Во первых у вас был древний один из самых популярных бесплатных движоков с бесплатным компонентом. Чего вы ожидали.
Во вторых вы вините разработчиков которые дали вам на халяву компонент с широким функционалом вы даже морально обвинить их не можете потому что компонент и движок бесплатный.
В третьих как вы не старайтесь не латайте ды они все равно будут. Качнем с главной дыры php один из самых простых языков.
В четвертых даже если вы команду из супер спецов они создадут вам уникальную систему, вы запрете сервер в бункер, отрубите все системы связи, поставите вооруженную охрану. все равно не бывает не уязвимых систем, поэтому и существуют премии за нахождение уязвимостей
В пятых Безопасность - это каждодневный, даже ежечасный труд. Все на что способны меры которые вы делаете пост фактум защитят разве что от ботов, и то на время.
Записан
max_1985
Завсегдатай
*****

Репутация: +55/-0
Offline Offline

Сообщений: 598



« Ответ #15 : 10.10.2016, 09:56:48 »

Это разработчики эту уязвимость и создали, чтоб ломать сайты, через папку /tmp/plupload.
Эту тему уже поднимали здесь, более года назад. Разработчики давным давно выпустили версию с исправлением. И эта уязвимость была не только в бесплатной версии, но и в платной, которую я покупал за 100 евро. Так что думаю они не специально это сделали, просто на тот момент не было достаточно опыта чтоб предвидеть такое.
Обновляйте вовремя движек и компонент и будет Вам счастье!
Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #16 : 10.10.2016, 10:01:58 »

Интересно посмотреть на код уязвимости. У кого-то осталась эта старая версия?
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #17 : 10.10.2016, 13:23:13 »

Интересно посмотреть на код уязвимости. У кого-то осталась эта старая версия?
Думаю через Google реально найти, нужно только знать какая именно.
Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #18 : 10.10.2016, 13:25:36 »

Думаю через Google реально найти, нужно только знать какая именно.
Ну 2.2.9 и ниже. В Гугле 100% будет какой нибудь варез, а нужна просто Free версия.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7784



« Ответ #19 : 10.10.2016, 13:26:05 »

да не проверяли небось какой файл заливают, и php можно было залить. вот и вся уязвимость

Ну 2.2.9 и ниже. В Гугле 100% будет какой нибудь варез, а нужна просто Free версия.
так устанавливать же не надо, качнуть первое попавшееся и посмотреть что в task=upload происходит. наверняка просто не было проверки.
Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #20 : 10.10.2016, 13:34:40 »

да не проверяли небось какой файл заливают, и php можно было залить. вот и вся уязвимость
Тоже так подумал, но ради интереса хотел убедиться Wink
Записан
1-F7
Давно я тут
****

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 219



« Ответ #21 : 11.10.2016, 11:36:26 »

Заливали кучу файлов зашифрованных.
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #22 : 11.10.2016, 14:12:13 »

Было бы неплохо название темы переименовать ближе к сути, а то выходит что разработчика обижаем.
Записан
1-F7
Давно я тут
****

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 219



« Ответ #23 : 11.10.2016, 14:48:02 »

Так это разработчик и создал, чтоб чужие сайты ломать.
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #24 : 11.10.2016, 14:55:27 »

Так это разработчик и создал, чтоб чужие сайты ломать.
Так создайте свое чтоб не ломали. да и вообще об этом известно уже более года и давно залотали. Более того скажу когда обычные люди читают об уязвимости, то об этом уже очень давно знают те кому это нужно, а у разработчиков готовиться апдейт.
Да и мы все делаем расширения чтобы специально ломать ваш сайт.
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #25 : 11.10.2016, 15:09:19 »

Эти разработчики специально для взлома сделали компонент, притом кальный.
Да специально для вас, они сделали один самых мощных cck для досок объявлений и на протяжении нескольких лет поддерживали его дожидаясь именно вас. Чтобы через год после устранения одной из 1 000 000 уязвимостьей, взломать ваш сайт на котором они предварительно оставили старую версию.

P.S Очередной топик для свалки.
Записан
1-F7
Давно я тут
****

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 219



« Ответ #26 : 11.10.2016, 15:14:46 »

Они это делали на протяжении года. Заливали файлы. Как вы не можете понять разработчик не добросовестный.
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #27 : 11.10.2016, 15:17:12 »

Они это делали на протяжении года. Заливали файлы. Как вы не можете понять разработчик не добросовестный.
Как бы вам сказать разработчку чтобы вломать ваш сайт юязвимость не нужна =) после установки комопнент уже у вас на сайте, можно творить что хочешь.
Записан
b2z
Support Team
*****

Репутация: +710/-0
Offline Offline

Пол: Мужской
Сообщений: 7538


Разраблю понемногу


« Ответ #28 : 11.10.2016, 15:18:29 »

Мда, посмотрел я код - красавцы конечно. Единственная проверка:
Код
// Clean the fileName for security reasons
$fileName = preg_replace('/[^\w\._]+/', '', $fileName);
Записан
Ishti39
Осваиваюсь на форуме
***

Репутация: +8/-0
Offline Offline

Пол: Мужской
Сообщений: 140



« Ответ #29 : 12.10.2016, 22:18:26 »

http://вашсайт/index.php?option=com_adsmanager&task=upload&tmpl=component
у меня белый экран, версия 2.9.13
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet