Вот и до меня добрались.. хакают с завидной регулярностью

Тема в разделе "Вопросы безопасности", создана пользователем AnthonyS, 08.04.2008.

  1. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Добавляется код в шаблонный Index.php
    Код (CODE):
    1. <!-- b2756e9ee842177c1af26faa1881031e --> <p style="display: none"> И далее 140 ликов на порнуху...

    пару раз уже записали, с чего начать поиск не представляю..
     
  2.  
  3. ясен перец
    Offline

    ясен перец Пользователь

    Регистрация:
    04.10.2006
    Сообщения:
    49
    Симпатии:
    3
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    Этот коментарий "<!-- b2756e9ee842177c1af26faa1881031e -->" встречается в Google.

    На одном видимо германском сайте поддержки J, видимо схожая проблема.

    Открой посмотри _http://forum.dutchjoomla.org/showthread.php?p=152761
     
    Последнее редактирование: 08.04.2008
  4. sectus
    Offline

    sectus специалист

    Регистрация:
    19.04.2006
    Сообщения:
    1 210
    Симпатии:
    46
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    Оффтопик (не в тему) - жми сюда!
     
  5. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    да, я туда сразу двинул, но там нет решения, только проблема обозначена...
     
  6. ясен перец
    Offline

    ясен перец Пользователь

    Регистрация:
    04.10.2006
    Сообщения:
    49
    Симпатии:
    3
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    я конечно не спец в такого рода вопросах. Но всё же: проверь комп., если ещё у кого доступ к сайту?(пусть тоже проверят) и логи надо смотреть - я так думаю, менять полностью пароли доступа.

    вот так коснётся и руками разведёшь! грёбанные недоспаммеры. ...
     
  7. chilly_bang
    Offline

    chilly_bang специалист

    Регистрация:
    30.04.2006
    Сообщения:
    1 545
    Симпатии:
    38
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    вот ведь срака... как они это делают, недоноски? права-то на доступ к индексу бесконечно не ограничить...
     
  8. Лат
    Offline

    Лат Звоните 8 (905) 778-52-44

    Регистрация:
    31.01.2007
    Сообщения:
    1 751
    Симпатии:
    113
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    Как всегда.
    1) Последняя стабильная версия Joomla
    2) Убить все левые расширения, поставить SEF ( и убить метатег Joomla), убрать из фронтенда компонента его название и ссылку на сайт разработчика, использовать только расширения без уязвимостей, жестоко ограничить права на папки.
    3) Выкачать сайт и посмотреть какие файлы обновлялись последними
    4) Перезалить движок, обновить все расширения. Если расширение не обновлялось больше года- снести и поставить аналог.
    5) Сменить пасы в админку ( у всех админов), на фтп, на мускл, в панель управления хоста, на всякий случай на мыло, проверить комп конкретно антивирусом( плюс cureit).
    6) Для маньяков- купить Jdefender, запоролить админку и некоторые папки через htaccess, распечатать логи и перед сном читать в качестве снотворного.

    Профилактические меры:
    Сделать себе RSS фильтр ресурсов по безопасности, по названию компонентов используемых на сайте и слову Joomla. ( в моем тулбаре фильтр Securitylab.ru). Также подписаться на RSS компонентов которые вы используете.

    Поставить каптчу везде где требуется ввод данных.
    Снимать бек апы как минимум раз в месяц, проверять сколько весит сайт ( иногда позволяет найти фишинговые сайты заброшенные вам).

    Раз в месяц проводить аудит расширений которые вы используете на сайте и движка. Рыть гугл, смотреть новости расширений. В случае уязвимости- немедленно ограничивать доступ к компоненту до выхода заплатки.
     
    Последнее редактирование: 08.04.2008
  9. ясен перец
    Offline

    ясен перец Пользователь

    Регистрация:
    04.10.2006
    Сообщения:
    49
    Симпатии:
    3
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    *как они это делают, недоноски?* - пройдись по N сайтам, вполне возможно узнаешь. ... Правда "маги", своих "рецептов" не выдают.
     
  10. chilly_bang
    Offline

    chilly_bang специалист

    Регистрация:
    30.04.2006
    Сообщения:
    1 545
    Симпатии:
    38
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    куда-куда мне пойти?
     
  11. ясен перец
    Offline

    ясен перец Пользователь

    Регистрация:
    04.10.2006
    Сообщения:
    49
    Симпатии:
    3
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    читать умееешь? это не обман зрения
     
  12. Лат
    Offline

    Лат Звоните 8 (905) 778-52-44

    Регистрация:
    31.01.2007
    Сообщения:
    1 751
    Симпатии:
    113
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    да что тут выдавать-то. Большая часть взломов происходит через расширения, либо из-за того что используются древние версии ядра ( это уже реже), затем брутфорсинг паролей, шеллы, сплойты и другие непонятные слова.

    Взлом через инъекции- самый доступный, а следовательно распространенный способ взлома.

    Атака при помощи инъекции подразумевает внесение некоторых сторонних команд или данных в работающую систему с целью изменения хода работы системы, а в результате — получение доступа к закрытым функциям и информации, либо дестабилизации работы системы в целом. Наиболее популярна такая атака в сети Интернет, но также может быть проведена через командную строку системы.

    SQL-инъекция — атака, в ходе которой изменяются параметры SQL-запросов к базе данных. В результате запрос приобретает совершенно иной смысл, и способен не только произвести вывод конфиденциальной информации, но и изменить/удалить данные. Очень часто такой вид атаки можно наблюдать на примере сайтов, которые используют параметры командной строки (в данном случае — переменные URL) для построения SQL-запросов к базам данных без соответствующей проверки.


    PHP-инъекция
    — один из способов взлома веб-сайтов, работающих на PHP. Он заключается в том, чтобы выполнить нужный код на серверной стороне сайта.

    Межсайтовый скриптинг или XSS (аббр. от англ. Cross Site Scripting) — атака, аналогичная SQL-инъекции, но для проведения этой атаки крякер меняет не SQL-запрос, а внутренние переменные действующей системы (например, переменные окружения PHP, Perl, и т. д.), используя недочеты в обработке входных параметров скриптов, либо ошибки в настройке скрипт-обрабатывающих приложений. Другие названия: CSS, реже — скрипт-инъекция.

    Списки уязвимостей:
    http://www.joomlaos.de/Security.html
    http://www.securitylab.ru/search/index.php?q=joomla&x=0&y=0

    Мануал по использованию:
    http://forum.antichat.ru/threadnav50600-1-10.html

    Общие моменты взломов ( Встраивание бекдоров, брутфорсинг админки и многое другое, в чем я совершенно не разбираюсь):
    http://forum.antichat.ru/search.php?searchid=2260152
     
    Последнее редактирование: 08.04.2008
    S.E. нравится это.
  13. Dead Krolik
    Offline

    Dead Krolik специалист

    Регистрация:
    13.04.2007
    Сообщения:
    3 688
    Симпатии:
    101
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    XSS туфта, в массовом порядке им ничего не ломается. Только что-то конкретное и наболевшее.
    SQL Injection - по сути это малюсенький инструмент для взлома. Полноценного на нем не сделать.
    А вот третье - и есть хлеб некоторых людей.
     
  14. chilly_bang
    Offline

    chilly_bang специалист

    Регистрация:
    30.04.2006
    Сообщения:
    1 545
    Симпатии:
    38
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    была тема взлома через те расширения, которые не имели строки defined( '_VALID_MOS' ) or die. AnthonyS, для тебя это неактуально?
     
  15. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    Да, как говорил Штирлиц -
     
  16. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    Нудная работа по анализу содержимого дала парочечку файлецов, хотел их приложить, но оказалось, что у меня нет для этого прав :)
    найдены они были в /images/stories/
    есть догадка, что их туда забросили как картинки при помощи редактора, который уже выключен на вс. случай.
    Но вот как это могло произойти, тут вопрос большой, что то мне подвказывает, что это особенность хостинга.
     
  17. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    AnthonyS, кстати, в одном из номеров хакера, подробно описывается как такое провернуть)
     
  18. chilly_bang
    Offline

    chilly_bang специалист

    Регистрация:
    30.04.2006
    Сообщения:
    1 545
    Симпатии:
    38
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    известный баг. пользуйся кнопкой "ответить" - там получится привесить.

    FanAmura, кинь линк на хакер!

    я про взлом через визивиг слыхал.
     
  19. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    У меня на диске... надо отыскать какой номер выпуска.
    AnthonyS, к тебе веб шелл записали... ;)
     
  20. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    Вот оне :)
    ЗЫ - поищи как этот выпуск, pls!
    и еще - проблема решена, т.к. на этом хостинге есть возможность из админки управлять такими штучками, как
    safe_mode и
    allow_url_fopen
    что и было задизаблено
     
    Последнее редактирование: 11.04.2008
  21. chilly_bang
    Offline

    chilly_bang специалист

    Регистрация:
    30.04.2006
    Сообщения:
    1 545
    Симпатии:
    38
    Пол:
    Мужской
    Ответ: Вот и до меня добрались.. хакают с завидной регулярностью

    хочешь сказать, что взлом стал возможен из-за safe mode off и разрешённого метода fopen? Joomla 1.0.15 работает с safe mode on?
     

Поделиться этой страницей

Загрузка...