Крупнейшая биржа рекламы в Телеграм
0 Пользователей и 1 Гость просматривают эту тему.
  • 14 Ответов
  • 2981 Просмотров
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
SQL-инъекция через RSGallery2?
« : 07.03.2008, 10:19:21 »
Вчера вечером взломали один мой сайт. Думаю, что причиной является RSGallery2 v.1.11.7

1. Пришли из Гугла. В реферрале видно, как искали уязвимый компонент.

Код
81.215.204.110 xxxxxxxx.valuehost.ru - [06/Mar/2008:20:10:08 +0300] "GET /component/option,com_rsgallery2/Itemid,59/page,inline/id,14/catid,3/limitstart,0/ HTTP/1.1" 200 0 "http://www.google.com.tr/search?q=allinurl:+com_rsgallery2+catid+%22page%3Dinline+id%22+site:.ru&hl=tr&start=80&sa=N" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)"

2. Следующим запросом, как мне кажется, сменили пароль администратора:

Код
81.215.204.110 xxxxxxxx.valuehost.ru - [06/Mar/2008:20:10:10 +0300] "GET /index.php?option=com_rsgallery2&page=inline&id=S@BUN&catid=-999999%2F%2A%2A%2Funion%2F%2A%2A%2Fselect%2F%2A%2A%2F0%2C0%2C0x3a%2C0%2Cconcat(username,0x3a,password)%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2C0%2F%2A%2A%2Ffrom%2F%2A%2A%2Fjos_users HTTP/1.1" 200 12667 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)"

3. Через минуту вошли в админку с административными правами и творили, что захотели.

Код
81.215.204.110 xxxxxxxx.valuehost.ru - [06/Mar/2008:20:11:49 +0300] "GET /administrator/index2.php HTTP/1.1" 200 42793 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)"

Сейчас восстановил БД из бэкапа, галерею пока "отключил".
Вопрос: прав ли я, относительно технологии взлома? Кто может подсказать, как это лечится (при условии, что галерея очень нужна)?
*

oppo

  • Захожу иногда
  • 367
  • 82 / 8
  • ΨΨΨ я - УКРАЇНЕЦЬ
Re: SQL-инъекция через RSGallery2?
« Ответ #1 : 07.03.2008, 10:42:11 »
Посмотри в самом верху файла rsgallery.html.php наличие строки

defined( '_VALID_MOS' ) or die ( 'Direct Access to this location is not allowed.' );

поиск в гугле по словам com_rsgallery  EXPLOIT
http://www.milw0rm.com/exploits/1959

*

tsesl

  • Захожу иногда
  • 363
  • 87 / 0
  • Терпение и труд всё перетрут?
Re: SQL-инъекция через RSGallery2?
« Ответ #2 : 07.03.2008, 10:42:45 »
2-м шагом они просто проверили работоспособность уязвимости - сделали select из твоей базы пользователей...
Начнем с того, какая версия Joomla у тебя стоит?
FAQ смотрел? Версию указал?
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Re: SQL-инъекция через RSGallery2?
« Ответ #3 : 07.03.2008, 11:03:32 »
oppo, есть такая строка

tsesl, Joomla 1.0.12
*

oppo

  • Захожу иногда
  • 367
  • 82 / 8
  • ΨΨΨ я - УКРАЇНЕЦЬ
Re: SQL-инъекция через RSGallery2?
« Ответ #4 : 07.03.2008, 11:12:07 »
вот твой эксплоит
http://milw0rm.com/exploits/4691
тебе надо обновиться
*

tsesl

  • Захожу иногда
  • 363
  • 87 / 0
  • Терпение и труд всё перетрут?
Re: SQL-инъекция через RSGallery2?
« Ответ #5 : 07.03.2008, 11:27:16 »
...
tsesl, Joomla 1.0.12

Во-первых, сама система rsgallery имеет уязвимость, судя по эксплоиту, но там странная версия...
Во-вторых, нет ли красных полей в админке на вкладке Система - Системная информация?
FAQ смотрел? Версию указал?
*

oppo

  • Захожу иногда
  • 367
  • 82 / 8
  • ΨΨΨ я - УКРАЇНЕЦЬ
Re: SQL-инъекция через RSGallery2?
« Ответ #6 : 07.03.2008, 11:44:39 »
у меня не установлена эта галлерея (славу богу нигде :) )
но судя по эксплоиту
Код
catid=-1%20union%20select%201,2,3,4,
не фильтруется catid и достаточно ее привести к цифре
$catid = intval( mosGetParam( $_REQUEST, 'catid') );
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Re: SQL-инъекция через RSGallery2?
« Ответ #7 : 07.03.2008, 14:09:30 »
oppo, большое спасибо. Как только мне разрешат нажимать на "плюсик" обещаю вспомнить :)
Пока сделал так: в .htaccess: php_flag magic_quotes_gpc on
Галерею сразу перезалить не получится, поскольку она изрядно похакана. Но буду этим заниматься.

А насчёт обновиться...

Цитировать
Affected software description:
~~~~~~~~~~~~~~~~~~~~~~~~~~~
Application   : rsgallery 
version       : <= 2.0 beta 5
Последняя версия, выложенная на сайте разработчиков, 1.14.3
Где есть эта 2.0 beta 5 я не нашёл.
« Последнее редактирование: 07.03.2008, 15:17:50 от WebDisaster »
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Re: SQL-инъекция через RSGallery2?
« Ответ #8 : 07.03.2008, 17:48:27 »
Странно. Пересмотрел свой .htaccess -- php_flag magic_quotes_gpc on там уже было написано. Тем не менее, хак удался.


Добавил в .htaccess

RewriteCond %{QUERY_STRING} id(=S@BUN)
RewriteRule ^(.*)$ index.php [F,L]

Проверил, против даннойго эксплоита это работает.

Кроме того, (скорее со злости) запретил весь диапазон IP ТюркТелеком.

И ещё комментарий. Эксплоит пароль администратора не меняет, а вынимает из БД админский логин и хэш пароля (который, видимо, потом хакается на локальной машине). Но в этом случае очень удивительно, что семизначный буквенно-цифровой и совершенно бессмысленный пароль вскрыли за 1 минуту. Возможно, пароль из БД достали раньше. Либо где-то существует вторая дыра, позволяющая получать доступ, сравнивая непосредственно хэши паролей (из БД и отправляемый хакером).
« Последнее редактирование: 07.03.2008, 18:07:18 от WebDisaster »

Re: SQL-инъекция через RSGallery2?
« Ответ #9 : 07.03.2008, 17:58:08 »
Странно. Пересмотрел свой .htaccess -- php_flag magic_quotes_gpc on там уже было написано. Тем не менее, хак удался. ...
У меня тоже стоит rs gallery 2, у меня пока пару раз подменяли (вставляли) свои строки в index. файлы... Вот оже смотрю на ваш вариант и думаю, не может ли такого же быть?
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Re: SQL-инъекция через RSGallery2?
« Ответ #10 : 09.03.2008, 21:58:58 »
Если речь про basic-пароль Apache, то его не было и нет. Поскольку данный хостинг (Валуй) этого делать не позволяет (будь проклят тот день, когда он мне достался в наследство вместе со старым html'ным сайтом). Как только закончится предоплаченный клиентом срок -- ноги моей на этом хосте не будет.

Re: SQL-инъекция через RSGallery2?
« Ответ #11 : 25.03.2008, 19:38:41 »
Если речь про basic-пароль Apache, то его не было и нет. Поскольку данный хостинг (Валуй) этого делать не позволяет (будь проклят тот день, когда он мне достался в наследство вместе со старым html'ным сайтом). Как только закончится предоплаченный клиентом срок -- ноги моей на этом хосте не будет.
Если не секрет - куда переезжаете ? Я устал с валуем воевать и хочу переехать, благо проплаченого осталось две недели...
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Re: SQL-инъекция через RSGallery2?
« Ответ #12 : 26.03.2008, 17:14:16 »
CarSoft, потихоньку всё перетаскиваю на Агаву.

Re: SQL-инъекция через RSGallery2?
« Ответ #13 : 26.03.2008, 19:32:09 »
Почитал http://forum.hostobzor.ru/index.php?act=Search&CODE=show&searchid=0d16bdb0ca7117735578d2c2d032af3d&search_in=posts&result_type=topics&highlite=%C0%E3%E0%E2%E0   - задумался...
Интересно, а есть хороший хостер у кого сайт на Joomla не тормозит ???  А то на Валуе страница по 30 секунд открывается, а в ответ - наш сервер работает в штатном режиме !!!

PS Sorry за офтоп - ответ можно в личку.
« Последнее редактирование: 26.03.2008, 22:01:35 от CarSoft »
*

Greycat

  • Захожу иногда
  • 298
  • 64 / 0
Re: SQL-инъекция через RSGallery2?
« Ответ #14 : 26.03.2008, 19:56:04 »
Так, народ, давайте котлеты и мух держать отдельно. Здесь обсуждение уязвиимостей в RSGallery. Обсуждения хостингов - в разделе "хостинг".
Я.д.=41001239962471  |  WMR=R271925495206  |  WMZ=Z144922023512
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Не могу зайти на сайт через админку, ввожу имя пользователя и пароль - не совп

Автор kolia2918

Ответов: 4
Просмотров: 683
Последний ответ 01.09.2018, 13:37:56
от wishlight
Делаю почту в общих настройках через smtp - в тот же день ящик взломан

Автор Mehanick

Ответов: 22
Просмотров: 675
Последний ответ 25.05.2018, 08:11:19
от dmitry_stas
Белый список под доменов через htacces

Автор dm-krv

Ответов: 0
Просмотров: 317
Последний ответ 14.05.2018, 18:52:40
от dm-krv
Взлом сайта через шаблон

Автор Mr-fan

Ответов: 11
Просмотров: 1917
Последний ответ 13.12.2017, 16:06:49
от SeBun
А воровство паролей FTP происходит, через вирус на компьютере?

Автор 1-F7

Ответов: 22
Просмотров: 977
Последний ответ 13.10.2016, 00:13:47
от Филипп Сорокин