Взломаны сайты на Joomla! 3.1.3 и 3.1.5 - Безопасность сайтов на Joomla

Взломан сайт на Joomla! 3.1.5 umcvog.ru.

Взломан сайт на Joomla! 3.1.3 harlamenkov.ru.

И фронт и админ. панель дают одну и ту же ошибку:

Error displaying the error page: Application Instantiation Error

Так же взломаны сайты wiki.harlamenkov.ru и wiki2.harlamenkov.ru на движке WikiMedia; пишу его для полноты картины.

wiki.harlamenkov.ru даёт ошибку:

Database error
A database error has occurred
Query: SELECT lc_value FROM `l10n_cache` WHERE lc_lang = 'en' AND lc_key = 'deps' LIMIT 1
Function: LCStore_DB::get
Error: 1146 Table 'sancho_wiki.l10n_cache' doesn't exist (localhost)

wiki2.harlamenkov.ru даёт ошибку:

A database error has occurred. Did you forget to run maintenance/update.php after upgrading? See: https://www.mediawiki.org/wiki/Manual:Upgrading#Run_the_update_script
Query: SELECT page_title FROM `page` WHERE page_is_redirect = '0' AND page_namespace = '8' AND (page_title NOT LIKE '%/%' ) AND (page_len > 10000)
Function: MessageCache::loadFromDB(en)-big
Error: 1146 Table 'sancho_wiki2.page' doesn't exist (localhost)

При этом, на том же хостинге, сайт на Joomla! 2.5.11 полностью сохранил работоспособность.

Хостинг coopertino.ru.


По сообщению уважаемого Хостера,

На данный момент на сервере происходит массированная атака по перебору паролей к административным панелям управления сайтом.

и что от меня не требуется никаких действий: работоспособность сайтов восстановится автоматически после окончания атаки.


Я читал, что Joomla! не имеет средств защиты от взлома перебором паролей.

Что скажете?, уважаемые!
Как защищаться от подобных напастей?, с учётом того, что я не системный инженер, а квалифицированный пользователь Joomla!

Да никто вас пока еще не взломал.

Да никто вас пока еще не взломал.

Это верно
А если всё же после того, как запустишь сайты обратно захочешь поставить защиту от перебора, поставь просто капчу на админке

Пока закрывай админку, а там может хостер защиту настроит
.htaccess в папку /administrator


Когда нужно войти- закоментируешь.

Да никто вас пока еще не взломал.

Сие радует; но хочется, чтобы Вы объяснили Ваш вывод.

Пока закрывай админку

Пока закрывал работающие сайты - реанимировались "взломанные".


Коллеги, раскройте тайну техническую происшествия сего!
Я имею ввиду не "реанимацию", а то, что мне взломом показалось.

Так весь форум кишит такими темами во вчерашнего дня. Вам же хостер написал про атаку.

То, что написал Хостер, и что идёт массовая атака - это понятно.

Я имею ввиду именно то, что произошло на моих сайтах - ошибки вместо доступа - я о них: что это, технически, было: результат успешного взлома (здесь уже сказали, что нет), или остановка хостером сервисов, как противодействие атаке?

Просить подобных разъяснений у хостера сейчас не хотел бы, так как понимаю, что им, в данный момент, не до ЛикБеза пользователей.

KKAAZZOO! почему Вы сразу написали, что меня никто не взломал? прошу Вас - разъясните, пожалуйста.

Активировался взлом хостов, сейчас снова пытаются ломать хостеров и во многом успешно(получают доступ и не просто к сайту а к БД), сами движки брутфорсят, но это мелочи если стоит хороший пас.
Закрыть админки можно файлом htaccess, ну а остальное дело только хостера.

Joomla! 3.1.3 уже стоит обновить

Благодарю за разъяснения.

UP. Пока закрыл, по предложенному выше совету, админки всех своих сайтов.

у меня хостер еще 27 июля (может раньше) позакрывал админки

столкнулся сегодня с тем, что сайты начали неадекватно вести (падать). Хостер пишет, что начались по всем площадкам массовые подборы пароля администратора.

столкнулся сегодня с тем, что сайты начали неадекватно вести (падать). Хостер пишет, что начались по всем площадкам массовые подборы пароля администратора.

Если много сайтов, советую переезжать на свой сервер. Отбивать проще через nginx , и ресурсов меньше забирает.

пока ограничился закрытие доступа по паролю на папку /administrator .
draff как думаешь хватит?!

Хватит. У бота и так крыша едет ))
На сайте Joomla бот делает запросы к админке Битрикс, и очень много- 100 в мин

бедный и так и сяк в гости хочет!!

Давно ищу небольшой бесплатный модуль или плагин для админки Joomla с функцией антибрута(автобан по IP при превышении кол-ва неправильного ввода логина и пароля) и CAPTCHA. Но пока безрезультатно.

А не легче ли поставить плагин разрешающий доступ с одного конкретного IP?

А не легче ли поставить плагин разрешающий доступ с одного конкретного IP?

Типа так ?

Ну да, вместо того чтобы бесконечно банить тех кто брутфорсит  админку, лучше  воообще не допускать этого. Профилактика так сказать.

А не легче ли поставить плагин разрешающий доступ с одного конкретного IP?

Да, а если IP динамический?

Да, а если IP динамический?

Ну иногда нужно и поработать ))
Меняешь IP когда нужно. IP узнать очень просто на  who.is , если не хочешь скрипт запускать

draff, и каждый раз лезть править .htaccess, нет уж увольте.

Лучше плагин Brute Force Stop с автобаном по IP и каптчу OSOL Captcha на mod_login фронтэнда и админки.
И ни каких проблем, все брутфорсеры идут лесом.

От SQL Injection и XSS поможет защититься плагин jHackGuard.

А вобще Joomla жутко уязвимая CMS. Из коробки практически не содержит никакой защиты от взлома. Странно почему разработчики до сих пор не включили в дистрибутив хотябы элементарную защиту от брута. Не говоря уже о SQL Injection и XSS. Все приходится делать сторонними модулями, которые тоже могут быть уязвимыми.

Да, а если IP динамический?

а можно же и вот так:

создаем и размещаем в папке /administrator два файлика

1. /administrator/.htaccess

2. /administrator/.htpasswd
где до двоеточния - логин, а после двоеточия хэш пароля
файл .htpasswd можно сгенерировать например вот здесь: http://www.htaccesstools.com/htpasswd-generator/

.... А вобще Joomla жутко уязвимая CMS. Из коробки практически не содержит никакой защиты от взлома. ...

Пример взлома последней версии Joomla 2.5 или 3.1 из коробки можете привести? Интерес не праздный, параноя  у меня опять разыгралась :-)

А вобще Joomla жутко уязвимая CMS.

А может нечего пенять на кривое зеркало, если рожа кривая(С)
Или потролить решил?

Да, а если IP динамический?

IP прописать диапазон свой думаю он не меняется у вас полностью

пример

111.11.*
111.111.11.*

не всегда работает зависит от настроек(надо правильное написание подобрать) но работает надо просто правильно прописать и все

Не говоря уже о SQL Injection и XSS...

? ? ?

Знатоки понабежали

? ? ?

Знатоки понабежали

внимание не обращай 

тык

? Это про последнии версии Joomla да еще и из коробки (имеется в виду без установки дополнительных модулей, шаблонов и компонентов)? Я тогда чего-то не понимаю.

Ok. Пытаюсь разобраться:
Самое свежее
2013-08-07  Проверяется -  Joomla Sectionex Component 2.5.96 - SQL Injection уязвимость
комментарий - ну никак не уязвимость Joomla. Это возможная уязвимость какого-то компонента которого у меня на сайте, например, нет.
Далее
2013-05-13    Проверено   Joomla S5 Clan Roster com_s5clanroster (index.php, id param) - SQL Injection
Ну да, инъекция, но опять не для Joomla из коробки, а опять для какого-то стороннего компонента.
Смотрю далее
2013-05-06    Проверено   Joomla DJ Classifieds Extension 2.0 - Blind SQL Injection Vulnerability
разберемся - сам эксплоит  http://server/joomla/index.php/dj-classifieds/ads/0/?limitstart=0&se=1&se_regs[0]=[SQLi]
т.е. мне для этого надо поставить DJ Classifieds Extension 2.0 и тогда уязвимость появится... а где опять "Joomla из коробки уязвима"?
Хм... а что там далее..
2013-04-26 Проверено    Joomla! <= 3.0.3 (remember.php) - PHP Object Injection Vulnerability
О! вроде то, что искал, но.... читаю:

Successful exploitation of this vulnerability requires authentication because the attacker needs
to know the "hash string" used to read the cookie parameter at line 36.

Т.е. атакующий должен быть предварительно авторизован на сайте. И тогда, возможно, у него что-то и получится.
Примера работающего эксплоита почему-то нет. Т.е. кто-то анализировал исходный код и нашел место, где с его точки зрения есть недостаточный анализ печенек. Это был не хакер, а аналитик безопасности. Хакер бы попробовал сразу претворить в жизнь эту идею и тогда рядом бы лежал пример эксплоита, как например 2012-10-22 (http://www.exploit-db.com/exploits/22153/). Видимо что-то не срослось или это голая теория. Тоже касается еще более ранней предположительной уязвимости от 2013-02-27
Еще раньше даже и смотреть не стал. Не и актуально.

И кстати -  "вроде бы как" уязвимы 2.5.9 и 3.0.3, а это не последнии версии как я спрашивал! Т.е. уязвимость была вовремя обнаружена и устранена в последующих обновлениях. А поскольку эксплуатация данной уязвимости (да и 99,99% тех о устранении которых пишут в ченджлогах) требует определенных знаний у хакера, то массовых атак в этом направлении не было или они были не успешны иначе об них тут писали.

И все же я просил примеры взлома актуальных версий Joomla из коробки, если есть такие, а не примеры уязвимостей сторонних компонентов, шаблонов или скриптов и примеры того, что обнаружили и исправили ранее. С этим вроде как понятно все.

Подойдет работающий эксплоит для Joomla 2.5.14 у которой включен ЧПУ и больше ничего дополнительно не ставили. Пусть даже .htaccess дефолтный.
Хотя это может быть проблема... Все-таки свежий релиз... тогда может такие же условия, но для 2.5.12? Я вот пока не нашел такого.

И пока я склоняюсь к мнению, что уязвимость сайтов на Joomla (изрядно преувеличенная) - это уязвимость прокладки между стулом и клавиатурой.