0 Пользователей и 1 Гость просматривают эту тему.
  • 127 Ответов
  • 11283 Просмотров
*

jurassik

  • Давно я тут
  • 689
  • 52 / 1
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #90 : 17.12.2015, 13:03:45 »
Почему?
тема топика иная,
создайте отдельный топик и мусольте
сам шучу - сам смеюсь
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #91 : 17.12.2015, 13:57:09 »
потому что вариаций попыток взлома может быть много. какая разница сравнивать как что и куда зальют. мои непропатченые сайты как я посмотрел долбили с запросом "mysqli и пр." выше. , было 2 его вариации. изменений на сайтах нет - все идентично бэкапу. то есть пока вообще не сломали.
Спойлер
[свернуть]
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #92 : 17.12.2015, 14:46:24 »
Вы взламывать собираетесь?  :laugh:
Механика уже давно одна и та же, ни чего нового.
Почитайте, про механику поверхностно в интернете много написано, остальное поймете если разбираетесь в вопросе.

В том-то и дело, что в вопросе я не доконца разбираюсь, поэтому и спрашиваю, но я разбираюсь в некоторых других вещах и серьезно планирую приступить к разработке файрвола для Joomla! на правах JPL, как только разберусь с текущими проектами. Об этом писал в другой теме:

Цитировать
Если большинство эксплойтов производится при помощи изменённых GET, POST запросов и подделки значений серверных переменных, почему бы не ввести по умолчанию фильтр для Joomla, который будет обрывать соединение в момент инициализации CMS? Ведь 99 процентов атак однотипные, пихают в POST eval,base64, в GET пихают SQL комментарии и функции. Не лучше ли будет убить проблему на корню, чем потом копаться в тысячи файлах, пытаясь залатать решето уязвимостей? Получается, что отрубают гидре голову, а у неё вырастает 3 новых.

Поэтому сейчас потихоньку изучаю предмет. Буду рад за любую предоставленную информацию по существу, можно непублично.
*

blik

  • Захожу иногда
  • 80
  • 13 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #93 : 17.12.2015, 15:01:03 »
Интересно и у меня ломятся с IP 46.148.22.18
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #94 : 17.12.2015, 15:55:02 »
Я вот теперь задумался: ModSecurity включить в апаче или лучше GreenSQL поставить?
*

al707

  • Осваиваюсь на форуме
  • 42
  • 2 / 0
  • Тамиров Александр
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #95 : 17.12.2015, 16:05:26 »
Цитировать
Вот давайте тут не будем ещё и механику разбирать, а?
потому что вариаций попыток взлома может быть много. какая разница сравнивать как что и куда зальют. мои непропатченые сайты как я посмотрел долбили с запросом "mysqli и пр." выше. , было 2 его вариации. изменений на сайтах нет - все идентично бэкапу. то есть пока вообще не сломали.
Вот, что крест животворящий делает!!
https://en.wikipedia.org/wiki/ModSecurity
https://ru.wikipedia.org/wiki/Suhosin
...
Ну да, наверное, люди по-разному понимают термин "механика".
Конечно, выкладывание простыней логов сюда смысла особо не имеет. Интереснее разобраться в сути уязвимости, в частности куда приходит переменная, как обходятся фильтры переменных, и как она потом десериализуется, превращаясь в объект. Мне, например, общаться на таком уровне было бы интереснее - это и есть процесс обучения..
Потому что, наверняка, в движке есть еще уязвимости (как и во всём, что нас окружает), просто они в силу определенных причин не найдены или найдены, но не эксплуатируются активно.
А с подходом "давайте не будем обсуждать", тогда вообще, тему можно закрывать. Сказали обновляться, значит обновляйтесь без вопросов.
А у кого сайт при обновлении сломается - не нужно даже отдельную тему создавать. Заказчику нужно объяснить, что после обновления сайт сломался, т. к. предыдущий мастер не "по понятиям" работал, теперь только с 0 делать сайт нужно, а лучше еще на Bitrix, там встроенный WAF стоит и сама компания надежная.
*

voland

  • Легенда
  • 11028
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #96 : 17.12.2015, 16:15:08 »
Я так понял, уязвимость стала возможна совместно с багом unserialize в php, древним багом, но самые последние версии ему не подвержены.
На реддите есть обсуждение и несколько статей в буржунете.
*

voland

  • Легенда
  • 11028
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #97 : 17.12.2015, 16:17:45 »
Да это лишь готовые шеллы. Механизм то взлома один.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #98 : 17.12.2015, 16:38:50 »
Цитировать
Конечно, выкладывание простыней логов сюда смысла особо не имеет. Интереснее разобраться в сути уязвимости
второй пример из моего лога в части ASCII имеет примерно такой угрожающий вид:
Спойлер
[свернуть]
думаю варианты безграничны.
я так понимаю что многие хостеры могут сами фильтровать такие хак попытки - я у себя ничего не нашел.
вот интересная статья (смотрел поверхностно - может уже все в курсе, но на всякий выкладываю):
Кто-то мог эксплуатировать эту дыру около 8 лет, 8 лет Карл!
на своем сервере пока не патчил - может взлом поможет сервер подстроить. мало ли что еще пока не нашли в Joomla а найдут как всегда после.




« Последнее редактирование: 17.12.2015, 16:54:42 от capricorn »
*

voland

  • Легенда
  • 11028
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #99 : 17.12.2015, 16:42:27 »
Мой хостер уже блокирует еще со вчера.
Наоборот, пришлось умерять его паранойю, чтоб статью про безопасность написать )
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #100 : 17.12.2015, 16:55:20 »
Цитировать
Мой хостер уже блокирует еще со вчера

каким образом не говорили?
*

al707

  • Осваиваюсь на форуме
  • 42
  • 2 / 0
  • Тамиров Александр
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #101 : 17.12.2015, 17:00:38 »
Цитировать
вот интересная статья (смотрел поверхностно - может уже все в курсе, но на всякий выкладываю):
Кто-то мог эксплуатировать эту дыру около 8 лет, 8 лет Карл!
Вот это уже интереснее, спасибо.
*

voland

  • Легенда
  • 11028
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #102 : 17.12.2015, 17:13:06 »
каким образом не говорили?
Они всё блокируют, можно даже жить на старых версиях ))
yutex в подписи.
Где-то тут темка была их.
*

sabnok

  • Захожу иногда
  • 126
  • 1 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #103 : 17.12.2015, 18:46:10 »
А как узнать что сайт взломали или нет, если в логах видно что такие атаки были, или лучше восстановить бекап и обновиться сразу
*

Arhitektorius

  • Осваиваюсь на форуме
  • 18
  • 2 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #104 : 17.12.2015, 20:15:12 »
Господа, которые не понимают взломали их или нет...
Если на сервере, на котором стоит сайт отключена функция php eval, которая используется в данном запросе хакеров, то скорее всего ваш сайт остался целым и не "принял атаку"... Судя по "простыням логов", которые тут выложены, (да и по моим тоже) эта функция используется всегда.
Или я не прав?
*

voland

  • Легенда
  • 11028
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #105 : 17.12.2015, 20:42:04 »
Дыра в Joomla напрямую связана с дырами в php, закрытыми в сентябре в версиях 5.5.29+, 5.6.13+
*

al707

  • Осваиваюсь на форуме
  • 42
  • 2 / 0
  • Тамиров Александр
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #106 : 17.12.2015, 21:03:48 »
Господа, которые не понимают взломали их или нет...
Если на сервере, на котором стоит сайт отключена функция php eval, которая используется в данном запросе хакеров, то скорее всего ваш сайт остался целым и не "принял атаку"... Судя по "простыням логов", которые тут выложены, (да и по моим тоже) эта функция используется всегда.
Или я не прав?
assert() - identical to eval()
preg_replace('/.*/e',...) - /e does an eval() on the match
exec
passthru
system
shell_exec
`` (backticks) - Same as shell_exec()
popen
proc_open
pcntl_exec
create_function()
include()
include_once()
require()
require_once()
$_GET['func_name']($_GET['argument']);

Это не полный список http://stackoverflow.com/questions/3115559/exploitable-php-functions
Выше давали ссылку http://www.skillz.ru/dev/php/article-Joomla-remote-code-vulnerability-cve-2015-8562.html не могу оценить насколько информация достоверна, но если это завязано на UTF8 в MySQL, то не понимаю, как этот баг в MySQL еще не пофиксен.. 
*

voland

  • Легенда
  • 11028
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #108 : 17.12.2015, 21:12:24 »
Вот, что крест животворящий делает!!
https://en.wikipedia.org/wiki/ModSecurity
https://ru.wikipedia.org/wiki/Suhosin

Mod Security - отличная вещь! Надо разобраться и изучить правила, по которым он работает. Вот ещё одна хабровская статья о модулях Apache: mod_evasive и mod_security
*

ChaosHead

  • Гуру
  • 5241
  • 451 / 13
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #109 : 17.12.2015, 21:51:43 »
Вовремя я на новый сервер с новой версией php переехал.
Раньше у меня взламывали сайты знакомых, которые я по доброте душевной держу у себя. Сайты  на wp, ломали и начинали рассылать спам. Знакомым пофиг, типа я сайт сделал, шаблон скачал поставил, ничё больше знать не хочу. А мне абузы идут.
За папку свою они выйти не могут, только на сайте пакостить, ну я и недолго думая отключил на серваке возможность отправки почты, т.к. самому это тоже не нужно. Несчастные кулхацкеры с тех пор как ветром сдуло их. Какая там версия wp больше никого не интересует)))
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #110 : 17.12.2015, 21:55:51 »
судя по сообщениям атаки начались 12 декабря. единственный наиболее верный способ узнать заражен ли сайт это сравнить с бэкапом файлы и БД на подозрительные изменения. также, насколько я понял, в логе должен быть POST запрос с того же IP, с которого шли вышеупомянутого типа GET запросы (после них). в моем случае такого POST запроса не было. итого, если нет бэкапа или нет желания его восстанавливать по каким то причинам - смотрим логи с 11 декабря. если ничего не POSTил бот значит скорее всего все ок.
« Последнее редактирование: 17.12.2015, 22:10:36 от capricorn »
*

voland

  • Легенда
  • 11028
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #111 : 17.12.2015, 22:02:11 »
атаки начались 12 декабря
точнее - атаки были обнаружены 12 декабря
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #112 : 17.12.2015, 22:09:51 »
согласен, может лет 8 назад начались:-). пароли бы надо еще сменить, как уже выше советовали - на случай уж очень хитрых ботов, которые все-таки подрезали конфиг и ждут своего часа  ;D
« Последнее редактирование: 17.12.2015, 22:13:27 от capricorn »
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #113 : 17.12.2015, 22:12:41 »
Mod Security - отличная вещь! Надо разобраться и изучить правила, по которым он работает. Вот ещё одна хабровская статья о модулях Apache: mod_evasive и mod_security

Поставил посмотреть. С правилами не разбирался пока, но что интересно - есть "спецконфиг" для Joomla. Может его достаточно?
« Последнее редактирование: 17.12.2015, 22:18:28 от shweew »
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #114 : 17.12.2015, 22:18:39 »
Поставил посмотреть. С правилами не разбирался пока, но что интересно - есть "спецконфиг" для Joomla. Его достаточно?

Пока не смотрел. Надо ещё по Гитхабу пройтись, там тоже, наверняка, полно фаерволов разных!
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #115 : 17.12.2015, 22:20:19 »
Пока не смотрел. Надо ещё по Гитхабу пройтись, там тоже, наверняка, полно фаерволов разных!

Ну может "разных" и полно, а этот "искаропки"...
*

Arhitektorius

  • Осваиваюсь на форуме
  • 18
  • 2 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #116 : 17.12.2015, 22:26:45 »
Если кому-то интересно вот часть скрина забаненых попыток влупить мне шелл, используя эту уязвимость. Можете прикинуть время и количество айпишников )) Все школьники из 5-го класса теперь пытаются взломать Joomla! Им же всё разжевали, что где и как!
https://onedrive.live.com/redir?resid=79347FA83E014512!116&authkey=!AEKJM175E0sJC74&v=3&ithint=photo%2cpng
PS [joomla-invasion] это как раз попытка данного взлома
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #117 : 17.12.2015, 22:30:27 »
завтра попробую нахлобучить его на centos. http://www.remoteshaman.com/server/apache/ustanovka-i-nastrojka-modsecurity-na-apache-2-na-primere-centos
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #118 : 17.12.2015, 22:42:26 »
Если кому-то интересно вот часть скрина забаненых попыток влупить мне шелл, используя эту уязвимость. Можете прикинуть время и количество айпишников )) Все школьники из 5-го класса теперь пытаются взломать Joomla! Им же всё разжевали, что где и как!
https://onedrive.live.com/redir?resid=79347FA83E014512!116&authkey=!AEKJM175E0sJC74&v=3&ithint=photo%2cpng
PS [joomla-invasion] это как раз попытка данного взлома

А конфиг joomla-invasion для fail2ban можно "обнародовать"?
*

shweew

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Новый релиз безопасности Joomla! 3.4.6
« Ответ #119 : 17.12.2015, 22:49:39 »
завтра попробую нахлобучить его на centos. http://www.remoteshaman.com/server/apache/ustanovka-i-nastrojka-modsecurity-na-apache-2-na-primere-centos

Ну и конфиги свежие возьмите сразу.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Trouble Upgrading from Joomla 3.8 to 3.9

Автор melissa00

Ответов: 0
Просмотров: 422
Последний ответ 26.07.2024, 10:03:51
от melissa00
Версии РНР и Joomla 3

Автор Ebelous

Ответов: 7
Просмотров: 1285
Последний ответ 18.07.2024, 15:02:12
от melissa00
SP polls в Joomla 3.8.2

Автор wawont

Ответов: 2
Просмотров: 2128
Последний ответ 22.02.2024, 21:03:15
от Zegeberg
Исправление уязвимости в Joomla 3.10.12

Автор Sulpher

Ответов: 8
Просмотров: 1608
Последний ответ 12.01.2024, 22:15:52
от stepan39
Заявки с сайта на Joomla

Автор ivs1

Ответов: 8
Просмотров: 1360
Последний ответ 18.12.2023, 12:37:45
от SeBun