Письмо Marco's interceptor warning - Безопасность сайтов на Joomla

Всем доброго времени суток!
На мой ящик пришло письмо Marco's interceptor warning и не одно!
Тема письма Root User
В сообщении текст похож на код:
** Union Select [GET:tid] => 1/**/union/**/select/**/0,0x33633273366962,0x33633273366962/**/from/**/mos_users--
** Union Select [REQUEST:tid] => 1/**/union/**/select/**/0,0x33633273366962,0x33633273366962/**/from/**/mos_users--
.... ну и далее еще куча всего!

Что это значит, может кто сталкивался!

Сразу извиняюсь, если продублировал тему, но на форуме не нашел ни чего по этому вопросу!

А почему бы не поискать в Google, по фразе "Marco´s Interceptor warning"? Результатов - полно...

А почему бы не поискать в Google, по фразе "Marco´s Interceptor warning"? Результатов - полно...

У меня везде выдает результаты на англ. !

У меня везде выдает результаты на англ. !

ставьте Хром - там автоматом переводит

А разве проблема открыть страницу в переводчике? Судя по сообщению у вас стоит какое-то расширение, которое анализирует сайт на предмет потенциальных уязвимостей.

Marco's SQL Injection Plugin


Оно? Хорошая штука... Если обновлённая и настроеная. Вас наверно взломать хотели, скорее всего боты которые сканят сайты на Joomla автоматом.

ставьте Хром - там автоматом переводит

Хром есть, перевел, но смысл и проблема так и не понятна и как её устранить тоже.

А разве проблема открыть страницу в переводчике? Судя по сообщению у вас стоит какое-то расширение, которое анализирует сайт на предмет потенциальных уязвимостей.

Знать бы еще какое!
Вообще стоит Joomla 1.5.22 + VirtueMart 1.1.4 stable
И еще Phoca Guestbook 1.4.4, недавно в список блокируемых IP внес несколько адресов.

Marco's SQL Injection Plugin


Оно? Хорошая штука... Если обновлённая и настроеная. Вас наверно взломать хотели, скорее всего боты которые сканят сайты на Joomla автоматом.

Вот это не установлено!

Кстати, установлено jSecure Authentication !

Но устранение проблемы актуально! Сегодня еще 6 писем обнаружил!

Вот текст последнего письма:

** Union Select [GET:iid] => -3333/**/union/**/select/**/0,1,2,3,0x33633273366962/**/from/**/jos_users--
** Union Select [REQUEST:iid] => -3333/**/union/**/select/**/0,1,2,3,0x33633273366962/**/from/**/jos_users--

**PAGE / SERVER INFO


*REMOTE_ADDR :
173.212.213.36

*HTTP_USER_AGENT :
Mozilla/5.2 (Windows; U; Windows NT 5.2; en-EN) Gecko/20080919 Firefox/3.5.6

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_paxxgallery&Itemid=85&gid=7&userid=S@BUN&task=view&iid=-3333%2F%2A%2A%2Funion%2F%2A%2A%2Fselect%2F%2A%2A%2F0%2C1%2C2%2C3%2C0x33633273366962%2F%2A%2A%2Ffrom%2F%2A%2A%2Fjos_users--



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_paxxgallery
 -[Itemid] => 85
 -[gid] => 7
 -[userid] => S@BUN
 -[task] => view
 -[iid] => -3333/**/union/**/select/**/0,1,2,3,0x33633273366962/**/from/**/jos_users--


*$_POST DUMP


*$_COOKIE DUMP


*$_REQUEST DUMP
 -[option] => com_paxxgallery
 -[Itemid] => 85
 -[gid] => 7
 -[userid] => S@BUN
 -[task] => view
 -[iid] => -3333/**/union/**/select/**/0,1,2,3,0x33633273366962/**/from/**/jos_users--

Вот это не установлено!

Опачки, извиняюсь, установлен! Сразу и не обратил внимание что это плагин. Забыл про него совсем!
Вот теперь что сделать то дальше, что б устранить эту атаку, если это она!?

Вот теперь что сделать то дальше, что б устранить эту атаку, если это она!?

вопрос риторический, видимо жестоко покарать наглеца
Это попытка SQL-иньекции, к чему она приводит не знаю, возможно к взлому, а может и не к чему. Лучше глянуть на этот запрос в access.log сервера и посмотреть что он ответил на это. А так же глянуть на сайт в целом.

вопрос риторический, видимо жестоко покарать наглеца
Это попытка SQL-иньекции, к чему она приводит не знаю, возможно к взлому, а может и не к чему. Лучше глянуть на этот запрос в access.log сервера и посмотреть что он ответил на это. А так же глянуть на сайт в целом.

Если честно, я не знаю как это сделать, глянуть в запрос access.log!?

На данный момент, в С-Panel в разделе IP бан добавил адрес, в письме заметил:
 *REMOTE_ADDR :
173.212.213.36
во всех письмах IP начинается на 173. внес его, посмотрим что будет дальше!

обновить и настроить этот плагин. обновить все расширения и забить...

Такая же проблема. Вот уже два дня лезут с SQL инъекциями на сайт. При этом запросы по разным компонентам
... option=com_netinvoice.... jos_users-
... option=com_ponygallery&Itemid=x&fun.... jos_users-
и т.д.
Такое ощущение, что идет тупой перебор компонентов.
Я уже заблокировал ветку 173.212.*.*
Теперь лезут с веток 66.197. и 96.9.
Тоже заблокировал.
Вроде и не страшно - у меня другой префикс баз данных. Но вот есть один нюанс:
в логах хостера сначало идет 194.ххххххх /... option=com_ponygallery&Itemid=x&fun.... jos_users- (это IP моего сайта)
а затем 173.212.ххххххх /... option=com_ponygallery&Itemid=x&fun.... jos_users- (это IP пытающегося произвести SQL инъекцию, кстати у меня уже внесен этот диапазон в блокируемые адреса)
При этом Marco's interceptor сообщает что *REMOTE_ADDR : 194.28.хххххх (опять это IP моего сайта т.е. я сам взламываю свой сайт)

Ребята. Прошу вашего совета. Это это может быть?

Такая же проблема. Вот уже два дня лезут с SQL инъекциями на сайт. При этом запросы по разным компонентам
... option=com_netinvoice.... jos_users-
... option=com_ponygallery&Itemid=x&fun.... jos_users-
и т.д.
Такое ощущение, что идет тупой перебор компонентов.
Я уже заблокировал ветку 173.212.*.*
Теперь лезут с веток 66.197. и 96.9.
Тоже заблокировал.
Вроде и не страшно - у меня другой префикс баз данных. Но вот есть один нюанс:
в логах хостера сначало идет 194.ххххххх /... option=com_ponygallery&Itemid=x&fun.... jos_users- (это IP моего сайта)
а затем 173.212.ххххххх /... option=com_ponygallery&Itemid=x&fun.... jos_users- (это IP пытающегося произвести SQL инъекцию, кстати у меня уже внесен этот диапазон в блокируемые адреса)
При этом Marco's interceptor сообщает что *REMOTE_ADDR : 194.28.хххххх (опять это IP моего сайта т.е. я сам взламываю свой сайт)

Ребята. Прошу вашего совета. Это это может быть?

Сегодня тоже обнаружил что с этих IP 66.197. и 96.9. лезут!
что за фишка такая? Кто знает?

что за фишка такая? Кто знает?

это обычные боты
В данном случае блокировка по IP будет бессмысленной)

это обычные боты
В данном случае блокировка по IP будет бессмысленной)

Ну а что делать тогда ?

Ну а что делать тогда ?

если данный запрос ни к чему не приводит, то ничего.

если данный запрос ни к чему не приводит, то ничего.

А откуда узнать приведёт или нет ), вдруг сайт взломают и всё, пипец!

А откуда узнать приведёт или нет ), вдруг сайт взломают и всё, пипец!

читать Ответ #12

читать Ответ #12

Я не знаю просто как глянуть на запрос access.log, не подскажете?

Я не знаю просто как глянуть на запрос access.log, не подскажете?

Если у тебя cPanel, то  смотришь Журналы -> Последние посетители 
Только установи показ колонки Status там будет показан ответ сервера.
Или в cPanels выбери   Журналы -> Необработанные журналы доступа и  там выбери Скачать, а в скаченном логе смотри уже ответы сервера

Если у тебя cPanel, то  смотришь Журналы -> Последние посетители 
Только установи показ колонки Status там будет показан ответ сервера.
Или в cPanels выбери   Журналы -> Необработанные журналы доступа и  там выбери Скачать, а в скаченном логе смотри уже ответы сервера

Спасибо!

В общем просмотрел я лог.
И вот что обнаружил по этим IP адресам:
64.191.99.110 - - [08/Dec/2011:22:20:29 +0000] "GET /index2.php?option=ds-syndicate&version=1&feed_id=1%2F%2A%2A%2Funion%2F%2A%2A%2Fall%2F%2A%2A%2Fselect%2F%2A%2A%2F1%2C0x33633273366962%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C0%2C11%2C12%2C13%2C14%2C15%2C16%2C17%2C18%2C19%2C20%2F%2A%2A%2Ffrom%2F%2A%2A%2Fjos_users-- HTTP/1.1" 500 1814 "-" "Mozilla/5.2 (Windows; U; Windows NT 5.2; en-EN) Gecko/20080919 Firefox/3.5.6"

Только не пойму что к чему!?

немоного флейма.. не могу не поделиться!

вчера из любопытства поползал по форуму http://forum.xakep.ru/
прикольно

Темы, типа "Помогите, пожалуйста! Никак не могу взломать сайт..."
Про Joomla, постов не очень много ...
На вопрос "где дыры в 1.5.20" дальше ответа "а хз!" дело не пошло
Или новичок спрашивает- "залез в файл configuration.php-dist, а там нифига нету...", а ему отвечают "дурак! это установочный..."

Вобщем, как неоднократно уже писалось на форуме - права на папки, файлы и никаких префиксов jos_ !
Если уже jos, то переименовать.
И можно жить относительно спокойно

В общем просмотрел я лог.
И вот что обнаружил по этим IP адресам:
64.191.99.110 - - [08/Dec/2011:22:20:29 +0000] "GET /index2.php?option=ds-syndicate&version=1&feed_id=1%2F%2A%2A%2Funion%2F%2A%2A%2Fall%2F%2A%2A%2Fselect%2F%2A%2A%2F1%2C0x33633273366962%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C0%2C11%2C12%2C13%2C14%2C15%2C16%2C17%2C18%2C19%2C20%2F%2A%2A%2Ffrom%2F%2A%2A%2Fjos_users-- HTTP/1.1" 500 1814 "-" "Mozilla/5.2 (Windows; U; Windows NT 5.2; en-EN) Gecko/20080919 Firefox/3.5.6"

Только не пойму что к чему!?

64.191.99.110 -Ip адрес с которого пришел запрос
Далее дата и время запроса
Затем сам запрос
Протокол запроса
Вот эта цифра 500 означает, что сервер ответил на данных запрос Ошибка 500 (Internal Server Error)
Т.е. "послал". ))) (Ну почти послал - при этом он выдал клиенту параметры запроса)
Затем кол-во скаченных на клиента байт
И последнее браузер с которого заходил клиент

Всем здрасте!
В общем как я заметил, после внесения бана по IP сайт пропал из поисковика Google, файл robots.txt показывал что заблокирован, так же Sitemap не мог просканировать. После снятия бана все стало ок!
Будем смотреть дальше...