0 Пользователей и 1 Гость просматривают эту тему.
  • 16 Ответов
  • 1262 Просмотров
*

LS_D

  • Осваиваюсь на форуме
  • 155
  • 16
Сегодня обнаружил, что сайт взломали, судя по логам через компонент  com_adsmanager.
Вот что в логах:
36.80.135.239 - - [06/Jul/2015:--:--:-- +0300] "POST /путь/?task=upload&tmpl=component HTTP/1.0" 200 71 "-" "Mozilla/5.0 (Windows NT 6.1; rv:32.0) Gecko/20100101 Firefox/32.0"
36.80.135.239 - - [06/Jul/2015:--:--:-- +0300] "GET //tmp/plupload/404.php HTTP/1.0" 200 167 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 UBrowser/5.1.1369.1226 Safari/537.36" и т.д.

Авторы рандомной атаки опубликовали сайты на странице в facebook: https://www.facebook.com/permalink.php?story_fbid=441988275980975&id=267849786728159
На большинстве  сайтов используют AdsManager.
В общем надо искать уязвимость, пока уязвимость не устранена на папку  "/tmp/plupload" ставьте атрибуты 754 или 744.

« Последнее редактирование: 06.07.2015, 19:03:56 от LS_D »
*

LS_D

  • Осваиваюсь на форуме
  • 155
  • 16
Мдаа... Это что же, компонент даёт загружать PHP файлы? :(
Видимо, нужна помощь тех кто хорошо знает компонент "куда копать", будем заплату ставить =)
*

LS_D

  • Осваиваюсь на форуме
  • 155
  • 16
А чего до 3.0.2 не обновитесь? Там-то наверное исправлено.
Сильно модифицирован компонент, а м.б и не исправлено.
*

LS_D

  • Осваиваюсь на форуме
  • 155
  • 16
В файле /components/com_adsmanager/controller.php, после строки:
$fileName = preg_replace('/[^\w\._]+/', '', $fileName);
Добавляем проверку:
$ext = strrpos($fileName, '.');
$fileName_b = strtolower(substr($fileName, $ext+1));
      if (!in_array($fileName_b,array("jpg","jpeg","gif","png"))) {
               exit();
      }

Видимо Томас пропатчил в верии 310, в 2,8 и 2,9 тоже нет проверки.
« Последнее редактирование: 06.07.2015, 21:00:44 от LS_D »
*

LS_D

  • Осваиваюсь на форуме
  • 155
  • 16
Блин, ошибка просто детская...
Так вот, а кто знал, пипец блин....
*

LS_D

  • Осваиваюсь на форуме
  • 155
  • 16
После установки заплаты, ОБЯЗАТЕЛЬНО поменяйте все пароли!
*

robert

  • Профи
  • 4081
  • 376
В файле /components/com_adsmanager/controller.php, после строки:
$fileName = preg_replace('/[^\w\._]+/', '', $fileName);
Добавляем проверку:
$ext = strrpos($fileName, '.');
$fileName_b = strtolower(substr($fileName, $ext+1));
      if (!in_array($fileName_b,array("jpg","jpeg","gif","png"))) {
               exit();
      }

Видимо Томас пропатчил в верии 310, в 2,8 и 2,9 тоже нет проверки.

file extension можно подделать, если разрешаются только изображения, то лучше использовать getimagesize().
  • Не будь паразитом, сделай что-нибудь самостоятельно!
  • В личке и по Skype не даю советов.
*

LS_D

  • Осваиваюсь на форуме
  • 155
  • 16
file extension можно подделать, если разрешаются только изображения, то лучше использовать getimagesize().
Проверку я скопипастил с версии 3.10, если делать по уму, то и файлы с разрешенным расширением нужно проверять, да и полный аудит всего компонента делать. Дыра найдена, флаг в руки =)
*

max_1985

  • Завсегдатай
  • 598
  • 55
После установки заплаты, ОБЯЗАТЕЛЬНО поменяйте все пароли!
Файлы могут уже быть раскиданы по всему сайту...

1. Надо вырубить сайт полностью, найти все вредоносные коды и файлы - удалить их. Если на сайте используются публикация статей, скорее всего там куча ссылок.
2. Если Ваш сайт с тИЦ, зарегистрируйтесь на всех возможных биржах временных ссылок и попробуйте добавить свой сайт, скорее всего он там есть. Пробуйте наказать этих уродов.
3. Раскидайте файл htaccess (с запретом на выполнение файлов) во все временные папки и папки с картинками, также разберитесь с правами на папки, тк код выше не полностью защищает от злоумышленников, а Joomprod считает что этого достаточно. Зная директорию с нужными правами можно легко закинуть файл через загрузчик с помощью перехвата.

Сталкивался я с этой проблемой и тут это уже вроде обсуждалось.
*

max_1985

  • Завсегдатай
  • 598
  • 55
Может кто хорошо знает компонент, сможет реализовать достойную защиту по этим рекомендациям http://habrahabr.ru/post/148999/
*

fred

  • Осваиваюсь на форуме
  • 135
  • 13
  • Прошлое лишено смысла
Прошлое лишено смысла
*

max_1985

  • Завсегдатай
  • 598
  • 55
Вроде в последней версии довели все до ума ) Будем переводить!
*

fisher2000ru

  • Новичок
  • 5
  • 0
Тоже столкнулся с той же проблемой.

Вопрос к тем кто уже все выправил -

восстановление сайта из резервной копии (на дату до появления вирусов) + обновление АдсМанагера - решают проблему?

Или раз дыра была, то теперь уже по всему сайту распихан вредносный код и обновление компонента просто закроет на будущее доступ, а текущие проблемы останутся?

Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Возможно ли сделать примерно такой сайт на ADS?

Автор HouseMD

Ответов: 0
Просмотров: 621
Последний ответ 03.10.2014, 16:00:36
от HouseMD
Как сделать более наглядный выбор категории при добавлении?

Автор srg

Ответов: 46
Просмотров: 12294
Последний ответ 16.04.2013, 17:41:19
от adjuster
В IE 9 создается более одного объявления и ошибка

Автор Antonlogs

Ответов: 1
Просмотров: 574
Последний ответ 17.02.2013, 19:24:34
от Dimit1
Не возможно менять положение полей в админке. Почему такое происходит.

Автор lionman

Ответов: 3
Просмотров: 845
Последний ответ 13.04.2012, 14:52:07
от lionman
разные поля для разных категорий. Возможно ли?

Автор NatalIia

Ответов: 4
Просмотров: 1517
Последний ответ 18.02.2010, 18:43:45
от Yolqin