Новости Joomla

Вышли релизы Joomla 5.1.0 и Joomla 4.4.4

Проблема с id в URL материалов Joomla при обновлении большого старого сайта до Joomla 5

В старых версиях Joomla URL адрес формировался по схеме [id материала + алиас материала]. Например, 145-my-article-alias. Однако. старый роутер Joomla был не идеален и плодил дубли страниц, с чем усиленно боролись СЕО специалисты с помощью различных плагинов и хаков ядра CMS.

Используем поля Joomla для фильтрации материалов

Перевод статьи одного из разработчиков ядра Joomla Брайана Тимэна (Brian Teeman).

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 20 Ответов
  • 6927 Просмотров
*

Lix

  • Захожу иногда
  • 56
  • 4 / 0
Взлом (залили шелл) и наблюдения в логах
« : 20.03.2013, 12:25:25 »
В общем в один день взломали 4 сайта (2.5.9, расширения разные стоят, учетки разные) залив шелл. По результатfм работы вставляет множественные iframe

Общее - в tmp файл j.php с таким содержимым
Спойлер
[свернуть]
Там же файлs с меняющимися именами типа jos_d9yn.php (если что, то никакого  vBulletin в помине нет)
Спойлер
[свернуть]

Далее, по разным папкам распиханны файлы типа 07add02e4.php (спасибо создателю far http://secu.ru/scripts/find-and-replace - с его помощью быстро отыскал все по образцу)
Спойлер
[свернуть]
Подозреваю что есть еще где-то включения, но пока не нашел, просто не знаю по какой сигнатуре искать.


Теперь самое интересное. Сделав поиск по логам по айпишнику из первого файла обнаружил везде одинаковое первое вхождение такого вида
"POST /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.1"

Сам index.php не переписан, сравнивал побайтно с оригинальной версией. Возникает вопрос - что за переменная nn_qp, и почему ее обрабатывает оригинальный index.php, да еще и принимая URL  придачу? Судя по оптовову взлому (там же еще два сайта, их не взломали, но они и практически незасвеченные, там 1-2 посетителя в день) использовали какую-то уязвимость. Но конфигурация сайтов разная, JCE или там Vitruemart нигде не используется, общее на всех сайтах (ну помимо самой Joomla) только использование Xmap и плагина mavik Thumbnails.
« Последнее редактирование: 04.05.2013, 21:49:44 от flyingspook »
Записан
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #1 : 20.03.2013, 13:13:40 »
Цитата: Lix от 20.03.2013, 12:25:25
Сделав поиск по логам по айпишнику из первого файла обнаружил везде одинаковое первое вхождение такого вида
"POST /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.1"
Стоят ли какие-то расширения от nonumber? В Nonumber framework была дырка, патч вышел ещё в 2011 году.

Цитата: Lix от 20.03.2013, 12:25:25
что за переменная nn_qp, и почему ее обрабатывает оригинальный index.php, да еще и принимая URL  придачу?
В оригинальный корневой index.php весь движок идёт инклудом. Переменная относится к Nonumber (фреймворк так должен получать информацию об апдейтах)

Цитата: Lix от 20.03.2013, 12:25:25
Xmap
Дважды выявлялись SQL-инъекции (последняя 2011-07-14).
Записан
*

SolopoV

  • Давно я тут
  • 573
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #2 : 04.05.2013, 21:13:20 »
Цитата: WebDisaster от 20.03.2013, 13:13:40
Стоят ли какие-то расширения от nonumber? В Nonumber framework была дырка, патч вышел ещё в 2011 году.
В оригинальный корневой index.php весь движок идёт инклудом. Переменная относится к Nonumber (фреймворк так должен получать информацию об апдейтах)
Дважды выявлялись SQL-инъекции (последняя 2011-07-14).
Есть заплатка у кого нибудь на Nonumber framework ?
Записан
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #3 : 04.05.2013, 21:46:23 »
http://www.nonumber.nl/news/releases/285-security-fixes--all-nonumber-extensions. Но! Несоответствующее расширение фреймворку ложит сайт. Так что просто качаем обновления расширений с сайта нонумбера и ставим их. Фреймворк в комплекте. Все последние расширения для Joomla 1.5 доступны в старых версиях.
Записан
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #4 : 06.05.2013, 21:53:11 »
Цитата: wishlight от 04.05.2013, 21:46:23
http://www.nonumber.nl/news/releases/285-security-fixes--all-nonumber-extensions. Но! Несоответствующее расширение фреймворку ложит сайт. Так что просто качаем обновления расширений с сайта нонумбера и ставим их. Фреймворк в комплекте. Все последние расширения для Joomla 1.5 доступны в старых версиях.
Разве доступны расширения для Joomla 1.5? Например, Cash Cleaner для Joomla 1.5 нет.
Записан
*

SolopoV

  • Давно я тут
  • 573
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #5 : 06.05.2013, 22:04:54 »
Цитата: playtoppokerru от 06.05.2013, 21:53:11
Разве доступны расширения для Joomla 1.5? Например, Cash Cleaner для Joomla 1.5 нет.
Я просто обновил фреймворк, потому как после установки новых версий плагинов типа Cash Cleaner - сайт падает. Думаю вообще отказаться от NoNumber.
Записан
*

SmiP

  • Захожу иногда
  • 262
  • 35 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #6 : 06.05.2013, 22:09:04 »
Cash Cleaner
29-Jun-2012 : v2.2.0
Download: Free
+ [J2.5] Added ability to purge the update cache when choosing Purge Expired
! Removed ability to install on Joomla 1.6 and 1.7
! [J1.5] LAST VERSION COMPATIBLE WITH Joomla 1.5
^ Cleaned a lot of code
^ Updated translations: hu-HU, lt-LT, sl-SI
Записан
*

SolopoV

  • Давно я тут
  • 573
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #7 : 06.05.2013, 22:25:28 »
Цитата: SmiP от 06.05.2013, 22:09:04
Cash Cleaner
29-Jun-2012 : v2.2.0
Download: Free
+ [J2.5] Added ability to purge the update cache when choosing Purge Expired
! Removed ability to install on Joomla 1.6 and 1.7
! [J1.5] LAST VERSION COMPATIBLE WITH Joomla 1.5
^ Cleaned a lot of code
^ Updated translations: hu-HU, lt-LT, sl-SI
А какую там версию качать Modalizer и AdminBar Docker, не подскажешь? Что то я там нифига понять не могу..
Записан
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #8 : 06.05.2013, 22:31:06 »
Цитата: SmiP от 06.05.2013, 22:09:04
Cash Cleaner
29-Jun-2012 : v2.2.0
Download: Free
+ [J2.5] Added ability to purge the update cache when choosing Purge Expired
! Removed ability to install on Joomla 1.6 and 1.7
! [J1.5] LAST VERSION COMPATIBLE WITH Joomla 1.5
^ Cleaned a lot of code
^ Updated translations: hu-HU, lt-LT, sl-SI
Как Вы выходите на эту ссылку? Мне еще последний modalayzer нужен для Joomla 1.5. Все, нашел.
Спасибо. Хотя эти версии уже не поддерживаются и могут быть уязвимы, как я понимаю.
« Последнее редактирование: 06.05.2013, 22:35:17 от playtoppokerru »
Записан
*

SmiP

  • Захожу иногда
  • 262
  • 35 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #9 : 06.05.2013, 22:38:38 »
Зайдите на сайт nonumber.nl
выбирите интересующий Вас компонент или плагин
Внизу, где указывается крайняя версия выбирите "Download old versions" и поищите для J1.5
Записан
*

SolopoV

  • Давно я тут
  • 573
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #10 : 06.05.2013, 22:50:16 »
Цитата: SmiP от 06.05.2013, 22:38:38
Зайдите на сайт nonumber.nl
выбирите интересующий Вас компонент или плагин
Внизу, где указывается крайняя версия выбирите "Download old versions" и поищите для J1.5
Это я знаю, мать писала :)
В Changelog for Modalizer найдите хоть одно упоминание про 1.5
Приходится через гимор.. методом тыка. К примеру мне подошел только cachecleaner-v2.1.0 (обновлять PHP на сервере и локалке с 5.2 до 5.3 из за пары плагинов :)?  ) - смешно. В общем, эту дырку толком не решить видимо.
« Последнее редактирование: 07.05.2013, 00:08:13 от SolopoV »
Записан
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #11 : 07.05.2013, 07:56:44 »
Кто не может, тому в коммерческий раздел. Многие так и поступили. Там очень четкие упоминания, что куда подходит.
Записан
*

SolopoV

  • Давно я тут
  • 573
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #12 : 07.05.2013, 08:12:57 »
Цитата: wishlight от 07.05.2013, 07:56:44
Кто не может, тому в коммерческий раздел. Многие так и поступили. Там очень четкие упоминания, что куда подходит.
Смысл? Когда для Юзера все решается Виджекитом или JCE.
Признателен за дискуссию.
Записан
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #13 : 07.05.2013, 08:17:10 »
cache cleaner, а не cash... Кому нужно говорю.
Записан
*

SolopoV

  • Давно я тут
  • 573
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #14 : 07.05.2013, 09:09:07 »
Цитата: wishlight от 07.05.2013, 08:17:10
cache cleaner, а не cash... Кому нужно говорю.
Это не суть.. Редирект на сервере - вот суть.
Записан
*

SolopoV

  • Давно я тут
  • 573
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #15 : 07.05.2013, 09:11:43 »
Код
125.253.118.88 - - [27/Apr/2013:11:23:55 +0600] "POST /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.0" 200 26 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv:1) Gecko/20110403 Firefox/3.6a1pre"
125.253.118.88 - - [27/Apr/2013:11:24:00 +0600] "POST /images/j.php HTTP/1.0" 200 183 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv:1) Gecko/20110403 Firefox/3.6a1pre"
125.253.118.88 - - [27/Apr/2013:11:24:03 +0600] "POST /images/j.php HTTP/1.0" 200 174 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv:1) Gecko/20110403 Firefox/3.6a1pre"
125.253.118.88 - - [27/Apr/2013:11:24:05 +0600] "GET /images/jos_ihxu.php HTTP/1.0" 200 35674 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; ja; rv:1.9.2a1pre) Gecko/20090403 Firefox/3.6a1pre"
И тут всем помог Andrew!
В индекс корня:
Код
if (isset($_REQUEST['nn_qp'])) 
{
header("Location: http://natribu.org/"); 

exit;
}
Через SSH
Код
find ./ -type f -name "*.js" -exec chmod 444 {} \;

find ./ -type f -name "*.php" -exec chmod 644 {} \;
Ну и в любом плагине блокировки: (хотя все в этом мире относительно)
Код
BAN IP

195.16.226.202
65.202.239.135
194.242.59.43
175.107.185.52
91.192.171.51
91.232.96.17
89.218.192.128
109.254.21.92
109.92.101.23
178.125.150.102
76.164.194.90
178.125.205.189
218.58.83.232
173.208.45.178
123.235.79.15
188.143.232.84
209.68.4.185
145.100.191.24
108.170.86.114
201.18.37.26
194.206.227.78
195.42.102.25
5.149.214.15
201.151.156.254
83.140.154.254 
14.0.70.161
199.19.249.196
219.87.157.2
212.118.244.162
132.68.13.33
67.210.109.185
95.211.224.38
188.136.172.129
14.0.70.138
211.144.72.154 
24.212.204.53
24.155.88.186
210.157.20.86
85.47.52.202 
65.213.70.116 
2.50.44.226
61.174.9.250 
195.54.62.22
189.62.114.139
111.223.228.99
108.40.88.122
186.92.130.189
91.146.35.50
94.242.233.80
94.41.170.29
94.242.233.47
213.171.204.130
213.108.248.110
65.36.241.79
188.16.4.170
175.107.185.52
108.168.159.58
94.23.14.30
82.145.44.49
87.73.2.26
142.90.107.59
212.143.93.29
216.162.21.129
178.137.234.238
178.219.249.252
79.133.136.204
125.253.118.88

Все папки и файлы на root, исключение - куда грузим картинки в JCE, определяем. И все долбо-бы на куй отправлены. Не удаляйте мой пост, пожалуйста..... :)
« Последнее редактирование: 07.05.2013, 20:21:21 от SolopoV »
Записан
*

Aleks_k

  • Осваиваюсь на форуме
  • 27
  • 0 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #16 : 10.05.2013, 16:58:33 »
В индекс корня:
Код
if (isset($_REQUEST['nn_qp'])) 
{
header("Location: http://natribu.org/"); 

exit;
}
проясните вышеуказанный скрипт не работает
Записан
*

SolopoV

  • Давно я тут
  • 573
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #17 : 10.05.2013, 18:02:30 »
Цитата: Aleks_k от 10.05.2013, 16:58:33
В индекс корня:
Код
if (isset($_REQUEST['nn_qp'])) 
{
header("Location: http://natribu.org/"); 

exit;
}
проясните вышеуказанный скрипт не работает

Любой запрос, содержащий
Код
nn_qp
должен отправляться в официальное представительство  http://natribu.org/

То есть начало index.php для Joomla 1.5 выглядит примерно так:

Код
<?php
if (isset($_REQUEST['nn_qp'])) 
{
header("Location: http://natribu.org/"); 

exit;
}
/**
* @version		$Id: index.php 14401 2010-01-26 14:10:00Z louis $
* @package		Joomla
* @copyright	Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
* @license		GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/

// Set flag that this is a parent file
define( '_JEXEC', 1 );

define('JPATH_BASE', dirname(__FILE__) );

Результат проверен Advanced REST client для Хрома.
« Последнее редактирование: 10.05.2013, 18:14:45 от SolopoV »
Записан
*

Aleks_k

  • Осваиваюсь на форуме
  • 27
  • 0 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #18 : 10.05.2013, 18:26:52 »
я повторил такой запрос от себя - это напоминание от производителя об обновлении компонента
[16:53:47.834] Объект Components устарел. Скоро он будет удалён.
собственно вот и производитель http://www.nonumber.nl/
хотя может и ошибаюсь j.php у меня не создается

проверил - работает жестко :o
« Последнее редактирование: 10.05.2013, 18:35:20 от Aleks_k »
Записан
*

SolopoV

  • Давно я тут
  • 573
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #19 : 10.05.2013, 18:41:47 »
Цитата: Aleks_k от 10.05.2013, 18:26:52
я повторил такой запрос от себя - это напоминание от производителя об обновлении компонента
[16:53:47.834] Объект Components устарел. Скоро он будет удалён.
собственно вот и производитель http://www.nonumber.nl/
хотя может и ошибаюсь j.php у меня не создается

проверил - работает жестко :o

POST запрос делали?
Записан
*

Aleks_k

  • Осваиваюсь на форуме
  • 27
  • 0 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #20 : 10.05.2013, 19:27:33 »
да
 и что это было

[19:17:00.375] GET [HTTP/1.1 200 OK 110мс]
[19:17:00.376] GET [HTTP/1.1 200 OK 219мс]
[19:17:00.376] GET http://counter.yadro.ru/hit?t44.1;r;s1680*1050*24;uhttp%3A//natribu.org/;0.4636192368005707 [HTTP/1.1 200 OK 79мс]
[19:17:00.389] GET http://lleo.homeip.net:8081/cgi-bin/na?lang=ru [HTTP/1.1 404 Not Found 187мс]
--
[19:18:00.079] GET http://natribu.org/poshli.php?lang=ru&ask=0&old=0 [HTTP/1.1 200 OK 94мс]
--
[19:18:10.212] GET http://natribu.org/na/poshli.php?lang=ru&ask=1&old=54963931 [HTTP/1.1 302 Found 110мс]
[19:18:10.348] GET http://natribu.org/ [HTTP/1.1 200 OK 219мс]
[19:18:10.514] SyntaxError: syntax error @ http://natribu.org/na/poshli.php?lang=ru&ask=1&old=54963931:1

поменял http://natribu.org на адрес дяди Била
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

 Ответов: 1
Просмотров: 1010 		Последний ответ 25.05.2023, 08:49:57
от Театрал
Похоже на взлом J! 3.5

Автор memo

 Ответов: 7
Просмотров: 1503 		Последний ответ 23.09.2022, 10:56:06
от marksetter
Залили картинку в медиа-менеджер

Автор sword852d

 Ответов: 6
Просмотров: 820 		Последний ответ 12.04.2018, 07:34:54
от sword852d
Генерируются материалы (взлом?)

Автор vanchou

 Ответов: 3
Просмотров: 900 		Последний ответ 05.04.2018, 17:33:37
от wishlight
Взлом сайта через шаблон

Автор Mr-fan

 Ответов: 11
Просмотров: 2722 		Последний ответ 13.12.2017, 16:06:49
от SeBun