Новый релиз безопасности Joomla! 3.4.6 - страница 4 - Joomla 3.x: Установка, обновление и настройка

Почему?

тема топика иная,
создайте отдельный топик и мусольте

потому что вариаций попыток взлома может быть много. какая разница сравнивать как что и куда зальют. мои непропатченые сайты как я посмотрел долбили с запросом "mysqli и пр." выше. , было 2 его вариации. изменений на сайтах нет - все идентично бэкапу. то есть пока вообще не сломали.

Вы взламывать собираетесь? 
Механика уже давно одна и та же, ни чего нового.
Почитайте, про механику поверхностно в интернете много написано, остальное поймете если разбираетесь в вопросе.

В том-то и дело, что в вопросе я не доконца разбираюсь, поэтому и спрашиваю, но я разбираюсь в некоторых других вещах и серьезно планирую приступить к разработке файрвола для Joomla! на правах JPL, как только разберусь с текущими проектами. Об этом писал в другой теме:

Если большинство эксплойтов производится при помощи изменённых GET, POST запросов и подделки значений серверных переменных, почему бы не ввести по умолчанию фильтр для Joomla, который будет обрывать соединение в момент инициализации CMS? Ведь 99 процентов атак однотипные, пихают в POST eval,base64, в GET пихают SQL комментарии и функции. Не лучше ли будет убить проблему на корню, чем потом копаться в тысячи файлах, пытаясь залатать решето уязвимостей? Получается, что отрубают гидре голову, а у неё вырастает 3 новых.

Поэтому сейчас потихоньку изучаю предмет. Буду рад за любую предоставленную информацию по существу, можно непублично.

Интересно и у меня ломятся с IP 46.148.22.18

Я вот теперь задумался: ModSecurity включить в апаче или лучше GreenSQL поставить?

Вот давайте тут не будем ещё и механику разбирать, а?

потому что вариаций попыток взлома может быть много. какая разница сравнивать как что и куда зальют. мои непропатченые сайты как я посмотрел долбили с запросом "mysqli и пр." выше. , было 2 его вариации. изменений на сайтах нет - все идентично бэкапу. то есть пока вообще не сломали.

Вот, что крест животворящий делает!!
https://en.wikipedia.org/wiki/ModSecurity
https://ru.wikipedia.org/wiki/Suhosin
...
Ну да, наверное, люди по-разному понимают термин "механика".
Конечно, выкладывание простыней логов сюда смысла особо не имеет. Интереснее разобраться в сути уязвимости, в частности куда приходит переменная, как обходятся фильтры переменных, и как она потом десериализуется, превращаясь в объект. Мне, например, общаться на таком уровне было бы интереснее - это и есть процесс обучения..
Потому что, наверняка, в движке есть еще уязвимости (как и во всём, что нас окружает), просто они в силу определенных причин не найдены или найдены, но не эксплуатируются активно.
А с подходом "давайте не будем обсуждать", тогда вообще, тему можно закрывать. Сказали обновляться, значит обновляйтесь без вопросов.
А у кого сайт при обновлении сломается - не нужно даже отдельную тему создавать. Заказчику нужно объяснить, что после обновления сайт сломался, т. к. предыдущий мастер не "по понятиям" работал, теперь только с 0 делать сайт нужно, а лучше еще на Bitrix, там встроенный WAF стоит и сама компания надежная.

Я так понял, уязвимость стала возможна совместно с багом unserialize в php, древним багом, но самые последние версии ему не подвержены.
На реддите есть обсуждение и несколько статей в буржунете.

Да это лишь готовые шеллы. Механизм то взлома один.

Конечно, выкладывание простыней логов сюда смысла особо не имеет. Интереснее разобраться в сути уязвимости

второй пример из моего лога в части ASCII имеет примерно такой угрожающий вид:
думаю варианты безграничны.
я так понимаю что многие хостеры могут сами фильтровать такие хак попытки - я у себя ничего не нашел.
вот интересная статья (смотрел поверхностно - может уже все в курсе, но на всякий выкладываю):
Кто-то мог эксплуатировать эту дыру около 8 лет, 8 лет Карл!
на своем сервере пока не патчил - может взлом поможет сервер подстроить. мало ли что еще пока не нашли в Joomla а найдут как всегда после.

Мой хостер уже блокирует еще со вчера.
Наоборот, пришлось умерять его паранойю, чтоб статью про безопасность написать )

Мой хостер уже блокирует еще со вчера

каким образом не говорили?

вот интересная статья (смотрел поверхностно - может уже все в курсе, но на всякий выкладываю):
Кто-то мог эксплуатировать эту дыру около 8 лет, 8 лет Карл!

Вот это уже интереснее, спасибо.

каким образом не говорили?

Они всё блокируют, можно даже жить на старых версиях ))
yutex в подписи.
Где-то тут темка была их.

А как узнать что сайт взломали или нет, если в логах видно что такие атаки были, или лучше восстановить бекап и обновиться сразу

Господа, которые не понимают взломали их или нет...
Если на сервере, на котором стоит сайт отключена функция php eval, которая используется в данном запросе хакеров, то скорее всего ваш сайт остался целым и не "принял атаку"... Судя по "простыням логов", которые тут выложены, (да и по моим тоже) эта функция используется всегда.
Или я не прав?

Дыра в Joomla напрямую связана с дырами в php, закрытыми в сентябре в версиях 5.5.29+, 5.6.13+

Господа, которые не понимают взломали их или нет...
Если на сервере, на котором стоит сайт отключена функция php eval, которая используется в данном запросе хакеров, то скорее всего ваш сайт остался целым и не "принял атаку"... Судя по "простыням логов", которые тут выложены, (да и по моим тоже) эта функция используется всегда.
Или я не прав?

assert() - identical to eval()
preg_replace('/.*/e',...) - /e does an eval() on the match
exec
passthru
system
shell_exec
`` (backticks) - Same as shell_exec()
popen
proc_open
pcntl_exec
create_function()
include()
include_once()
require()
require_once()
$_GET['func_name']($_GET['argument']);

Это не полный список http://stackoverflow.com/questions/3115559/exploitable-php-functions
Выше давали ссылку http://www.skillz.ru/dev/php/article-Joomla-remote-code-vulnerability-cve-2015-8562.html не могу оценить насколько информация достоверна, но если это завязано на UTF8 в MySQL, то не понимаю, как этот баг в MySQL еще не пофиксен.. 

http://blog.patrolserver.com/2015/12/17/in-depth-analyses-of-the-joomla-0-day-user-agent-exploit/
Вот подробный разбор уязвимости.

Вот, что крест животворящий делает!!
https://en.wikipedia.org/wiki/ModSecurity
https://ru.wikipedia.org/wiki/Suhosin

Mod Security - отличная вещь! Надо разобраться и изучить правила, по которым он работает. Вот ещё одна хабровская статья о модулях Apache: mod_evasive и mod_security

Вовремя я на новый сервер с новой версией php переехал.
Раньше у меня взламывали сайты знакомых, которые я по доброте душевной держу у себя. Сайты  на wp, ломали и начинали рассылать спам. Знакомым пофиг, типа я сайт сделал, шаблон скачал поставил, ничё больше знать не хочу. А мне абузы идут.
За папку свою они выйти не могут, только на сайте пакостить, ну я и недолго думая отключил на серваке возможность отправки почты, т.к. самому это тоже не нужно. Несчастные кулхацкеры с тех пор как ветром сдуло их. Какая там версия wp больше никого не интересует)))

судя по сообщениям атаки начались 12 декабря. единственный наиболее верный способ узнать заражен ли сайт это сравнить с бэкапом файлы и БД на подозрительные изменения. также, насколько я понял, в логе должен быть POST запрос с того же IP, с которого шли вышеупомянутого типа GET запросы (после них). в моем случае такого POST запроса не было. итого, если нет бэкапа или нет желания его восстанавливать по каким то причинам - смотрим логи с 11 декабря. если ничего не POSTил бот значит скорее всего все ок.

атаки начались 12 декабря

точнее - атаки были обнаружены 12 декабря

согласен, может лет 8 назад начались:-). пароли бы надо еще сменить, как уже выше советовали - на случай уж очень хитрых ботов, которые все-таки подрезали конфиг и ждут своего часа 

Mod Security - отличная вещь! Надо разобраться и изучить правила, по которым он работает. Вот ещё одна хабровская статья о модулях Apache: mod_evasive и mod_security

Поставил посмотреть. С правилами не разбирался пока, но что интересно - есть "спецконфиг" для Joomla. Может его достаточно?

Поставил посмотреть. С правилами не разбирался пока, но что интересно - есть "спецконфиг" для Joomla. Его достаточно?

Пока не смотрел. Надо ещё по Гитхабу пройтись, там тоже, наверняка, полно фаерволов разных!

Пока не смотрел. Надо ещё по Гитхабу пройтись, там тоже, наверняка, полно фаерволов разных!

Ну может "разных" и полно, а этот "искаропки"...

Если кому-то интересно вот часть скрина забаненых попыток влупить мне шелл, используя эту уязвимость. Можете прикинуть время и количество айпишников )) Все школьники из 5-го класса теперь пытаются взломать Joomla! Им же всё разжевали, что где и как!
https://onedrive.live.com/redir?resid=79347FA83E014512!116&authkey=!AEKJM175E0sJC74&v=3&ithint=photo%2cpng
PS [joomla-invasion] это как раз попытка данного взлома

завтра попробую нахлобучить его на centos. http://www.remoteshaman.com/server/apache/ustanovka-i-nastrojka-modsecurity-na-apache-2-na-primere-centos

Если кому-то интересно вот часть скрина забаненых попыток влупить мне шелл, используя эту уязвимость. Можете прикинуть время и количество айпишников )) Все школьники из 5-го класса теперь пытаются взломать Joomla! Им же всё разжевали, что где и как!
https://onedrive.live.com/redir?resid=79347FA83E014512!116&authkey=!AEKJM175E0sJC74&v=3&ithint=photo%2cpng
PS [joomla-invasion] это как раз попытка данного взлома

А конфиг joomla-invasion для fail2ban можно "обнародовать"?

завтра попробую нахлобучить его на centos. http://www.remoteshaman.com/server/apache/ustanovka-i-nastrojka-modsecurity-na-apache-2-na-primere-centos

Ну и конфиги свежие возьмите сразу.