0 Пользователей и 1 Гость просматривают эту тему.
  • 8 Ответов
  • 1607 Просмотров
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
SQL инъекции нужна помощь
« : 13.09.2016, 01:16:30 »
Доброй ночи всем!

На мой сайт заглянули "Робин гуды" которые искали уязвимости с помощью автоматизированных решение для пентеста (Acunetix, DirBuster). Получили доступ к базе MySQL прислав скрины структуры базы и скрины таблицы users. Кроме этого уважаемые сообщили что "имееться раскрытия путей .../public_html/libraries/" Ясное что "Робин гуды" попросили бабла за раскрытие информации об уязвимости.

Как именно был получен доступ к БД - из запросов не видно (их несколько тысяч, часть  - методом POST), но вероятнее всего через SQL инъекцию, так как в этом случае можно вытащить всю структуру БД.
Изменений в файловой структуре не обнаружено.

А теперь знатоки - вопросы:
1) Так и не выяснилось где дыра и как получают доступ в базу. Есть ли умельцы на форуме которые хорошо знают об SQL инъекциях и слабых местах Joomla и шоппинга?
2) Как защищаются коллеги от таких атак? Просто когда идет поиск с помощью Acunetix, DirBuster то создается нехилая нагрузка на сервак и он начинает загибаться и как следствие уходить в даун.

Сайт на Joomla 3.4.8 + JoomShopping 4.12.0
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: SQL инъекции нужна помощь
« Ответ #1 : 13.09.2016, 01:35:24 »
Скорее всего уязвимость в каком-нить левом модуле, плагине или .. (не варезный шаблон то?)

2) Есть антиддос решения, как отдельные тарифы, так и самостоятельно, если речь о VDS\сервере
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
Re: SQL инъекции нужна помощь
« Ответ #2 : 13.09.2016, 01:43:21 »
шаблонов варезных не используем. плагинов и модулей написано под себя достаточно. но как я писал выше по логам видно что использовали автоматизированный поиск инъекций - навалились за 6 часов сайт подгрузили и нашли дырку. Следовательно (помоему разумению) то что писали сами под себя врят ли дырявое - так как автоматизированные ищут дырки в публикуемых расширениях.

По подробнее можно на счет DDOS решений? Это что то типа https://www.cloudflare.com/ ? Если на счет VDS, то нет - мы на обычно хостинге. У нас посещался низкая. Ставить что то дорогое нету смысла. Было бы 5000 уников тогда уж понятно, а у нас и до 800 не дотягивает.

Вообще кому мы нужны со своим мелким сайтом вообще не ясно.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: SQL инъекции нужна помощь
« Ответ #3 : 13.09.2016, 07:38:31 »
Доброй ночи всем!

На мой сайт заглянули "Робин гуды" которые искали уязвимости с помощью автоматизированных решение для пентеста (Acunetix, DirBuster). Получили доступ к базе MySQL прислав скрины структуры базы и скрины таблицы users. Кроме этого уважаемые сообщили что "имееться раскрытия путей .../public_html/libraries/" Ясное что "Робин гуды" попросили бабла за раскрытие информации об уязвимости.

Как именно был получен доступ к БД - из запросов не видно (их несколько тысяч, часть  - методом POST), но вероятнее всего через SQL инъекцию, так как в этом случае можно вытащить всю структуру БД.
Изменений в файловой структуре не обнаружено.

А теперь знатоки - вопросы:
1) Так и не выяснилось где дыра и как получают доступ в базу. Есть ли умельцы на форуме которые хорошо знают об SQL инъекциях и слабых местах Joomla и шоппинга?
2) Как защищаются коллеги от таких атак? Просто когда идет поиск с помощью Acunetix, DirBuster то создается нехилая нагрузка на сервак и он начинает загибаться и как следствие уходить в даун.

Сайт на Joomla 3.4.8 + JoomShopping 4.12.0

Через SQL иньекции можно достать весь дамп БД, получить логин, пасс от админки и через админку залить шелл, прочитать конфиг БД и в свободном полете зайти уже в пхпмиадмин, где наглядно все видно, само по себе, если нет файловых привелегий, то конфиг нельзя прочитать...

*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
Re: SQL инъекции нужна помощь
« Ответ #5 : 13.09.2016, 08:47:29 »
актуальная версия 3.6.2

на счет актуальных версий я вкурсе. не обновлялся, так как на тестовом сайте тестировали не отвалится ли написанные плагины при обновлении + писали новые плагины и хотел разом все сделать. но не успел. Вот как раз думаю есть ли закрытые уязвимости между моей текущей версией и самой новой актуальной. Возможно по этой причине и нашли дыру. Обновляться до актуальных планирую сегодня - но вопрос в другом. Если дыра уже есть, то закроется ли.

Суть вопроса была в том, что может быть есть специалисты тут на форуме которые знакомы с большинством дырок под наш движок - ну и попробовать посмотреть наличие их. За вознаграждение конечно же.
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
Re: SQL инъекции нужна помощь
« Ответ #6 : 13.09.2016, 08:48:23 »
Через SQL иньекции можно достать весь дамп БД, получить логин, пасс от админки и через админку залить шелл, прочитать конфиг БД и в свободном полете зайти уже в пхпмиадмин, где наглядно все видно, само по себе, если нет файловых привелегий, то конфиг нельзя прочитать...

так что посоветуете сделать то?
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: SQL инъекции нужна помощь
« Ответ #7 : 13.09.2016, 08:56:21 »
Суть вопроса была в том, что может быть есть специалисты тут на форуме которые знакомы с большинством дырок под наш движок - ну и попробовать посмотреть наличие их. За вознаграждение конечно же.
Обращайтесь ссылка в подписи.
п.с.
И кто сказал что это SQL инъекция ? Просто получили доступ к файлу конфига Joomla, где указаны данные доступа к БД.
« Последнее редактирование: 13.09.2016, 09:10:07 от draff »
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: SQL инъекции нужна помощь
« Ответ #8 : 13.09.2016, 19:57:38 »
Суть вопроса была в том, что может быть есть специалисты тут на форуме которые знакомы с большинством дырок под наш движок - ну и попробовать посмотреть наличие их. За вознаграждение конечно же.
Вознаграждения может и не хватить  ;) ни кто просто так такие работы не выполняет, по ищите школьников, найдут но конечно не все. Правильно подмечено нужен только конфиг. А SQL если и были то по стандарту бот прошелся и будет приходить, стоит все обновить и не париться. Но сейчас в вашем случае придется проверять на наличие шелов, которые обязательно уже есть.

оно вам надо искать то, после драки кулаки не чешут
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Помощь в настройке Eyesite

Автор Ingener

Ответов: 29
Просмотров: 5393
Последний ответ 07.12.2023, 13:44:45
от master-smeta
Фонтомные страницы ( нужна помощь )

Автор ks8re

Ответов: 14
Просмотров: 1070
Последний ответ 01.04.2017, 10:06:41
от maximm
нужна помощь

Автор bursnab

Ответов: 1
Просмотров: 817
Последний ответ 12.09.2016, 07:46:02
от Taatshi
Нужна помощь! Вирус на сайте

Автор samarskii

Ответов: 7
Просмотров: 956
Последний ответ 26.11.2015, 19:24:30
от jlend
Помощь по защите CAPTCHAми

Автор Crazy...

Ответов: 4
Просмотров: 1152
Последний ответ 15.10.2014, 00:25:08
от busik