Уязвимость во всех версиях Virtuemart! (1.0.15 / 1.1.4) [решение] - [VM1] Установка и обновление

27 января 2010 года была найдена уязвимость во всех версиях Virtuemart! (как в 1.0.15, так и в 1.1.4)
Подробности:
Virtuemart 1.1.4: Summary: VirtueMart Input var order_status_id is vulnerable to SQLi

NB Requires Higher Level access before exploiting. Jan 27

Virtuemart 1.0.15: Summary: "com_virtuemart" http://virtuemart.net/ Version : 1.0

Vulnerability : SQL injection added Date : 07- dec -09

Источник.


Заплатка безопасности выложена здесь.

Прилагаю вместе с постом (смотрите по названию для какой версии патч). Нужно разархивировать и залить содержимое в корень сайта (не забыв предварительно сделать резервную копию сайта)

[вложение удалено Администратором]

едучий случий...

P.S> спасибо, чичас залатаем у себя

Небольшой оффтоп: тут уже есть бетка VirtueMart 1.5, скачал, сегодня посмотрю что за зверь такой. (он несовестим с 1.1, нужно использовать мигратор)

Помогите новичку, я правильно поняла из этой темы, что в версии VM 1.1.4 необходимо в файле /html/order.order_status_form.php  строку 23 изменить на следующее
$ = Order_status_id vmrequest:: getInt ('order_status_id', 0);

Взломан магазин, предполагаю, что через уязвимости VM, может какие советы дадите?

Помогите новичку, я правильно поняла из этой темы, что в версии VM 1.1.4 необходимо в файле /html/order.order_status_form.php  строку 23 изменить на следующее
$ = Order_status_id vmrequest:: getInt ('order_status_id', 0);

Не могу сказать, я не сравнивал файлы и не смотрел какие строки изменены. Записал патч поверх.

Взломан магазин, предполагаю, что через уязвимости VM, может какие советы дадите?

А что из себя представляют результаты взлома? Что нарушено? Идеально, конечно, восстановить бэкап сайта.

Не могу сказать, я не сравнивал файлы и не смотрел какие строки изменены. Записал патч поверх.
А что из себя представляют результаты взлома? Что нарушено? Идеально, конечно, восстановить бэкап сайта.

Фишинг в компоненте VM, предполагаю, что через уязвимости VirtueMart или других компонентов. Вирус с моего компьютера отпадает, проверяла тремя антивирусами, пароли тоже нигде не сохраняю. Взламывают сайт повторно, и опять фишинг, поэтому либо что-то осталось на сайте после предыдущего взлома, либо через уязвимости. Стоит Joomla 1.5.15 и VirtueMart 1.1.4

Только сейчас заметила прикрепленный патч в вашем первом сообщении, недавно на форуме, плохо ориентируюсь.

Бекап сайта до второго взлома есть, а вот до первого взлома не было, поэтому не известно все ли лишнее я удалила после первого взлома.
Что сейчас делать не знаю, может по новой обновить Joomla и VM?

Огласите список установленных расширений. Если речь идёт о фишинге, то примените патч и поменяйте всем пользователям сайта пароли.

Огласите список установленных расширений. Если речь идёт о фишинге, то примените патч и поменяйте всем пользователям сайта пароли.

Помимо VM установлен компонент com_csvimproved и com_jcomments, остальные стандартные, идущие вместе с Joomla. Комментарии на момент взлома были отключены. Для безопасности вообще удалю эти расширения, они не очень-то и необходимы мне. Патч только для VM применить? А может сначала обновить VM, а потом применить патч?

com_jcomments не содержит уязвимостей. насчет обновления - если у вас VirtueMart 1.1.4, то просто накатывайте патч сверху. если VirtueMart 1.1.3, то сначала обновите сам магазин, потом накатывайте патч. разумеется, не забыв сделать резервную копию.

И не поняла про

поменяйте всем пользователям сайта пароли.

Каким именно пользователям? Всем, кто зарагестрировался в интернет-магазине или только пароль админки?

ну если фишинг, то всем.

Не совсем понимаю, а как новые пароли узнают зарегестрированные пользователи или с ними можно попращаться? За день до взлома на сайте зарегестрировались 2 подозрительных пользователя, их наверно совсем удалить?
Папку с фишингом я удалила с компонента, а еще где-нибудь в файлах могли остаться вредоносные ссылки и прочее?

Я не могу ответить на ваш вопрос, потому что нужно разбираться конкретно с ситуацией и смотреть где и что. Я же не телепат. по поводу смены e-mail'ов, то можете персонально каждому пользователю на почту новые пароли выслать.

fanta
возьми и глянь в логи провайдера access_log, там будут строчки обращения к сайту и там все должно быть. если что то интересное найдешь скидывай сюда глянем тоже в логе поищи строчку UNION если не найдешь просмотри все строки какие содержат com_vitruemart на другие операторы SQL типа INSERT SELECT.

И еще, на всякий случай, пароли на доступ к сайту у провайдера и пароли на вход админский в Joomla обязательно должны быть разные! Мало ли что.

Я опять за советом, в итоге я написала сайт с нуля, так-как в моем инет-магазине пока немного товара. Запустила его и на данный момент в нем уже третий день регистрируется подозрительный пользователь или пользователи и ничего не покупают. Боюсь, что опять пытаются взломать через форму регистрации, была ли у кого-нибудь подобная ситуация и как с ней бороться? Напомню, что сайт на Joomla 1.5.15 и VirtueMart 1.1.4

посмотрите в папке administrator/compontents/com_virtuemart/logs.

у меня тоже существует проблема с фишинговым контентом на сайте.

именно там я нашел файлик в формате txt с вирусом Backdoor

Для VM 1.1.5 тоже актуально?

Достался мне сайт на Joomla 1.0.15 с virtuemat 1.0.15b, спасибо огромное, как раз пробили "в девяточку"!