The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новая критическая уязвимость в Joomla использована для совершения массовой атаки

14.12.2015 23:27

Разработчики свободной системы управления web-контентом Joomla опубликовали экстренное обновление 3.4.6, в котором устранена критическая уязвимость, позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируется злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla. Всем пользователям Joomla рекомендуется незамедлительно установить обновление (патчи для уже не поддерживаемых версий) и провести полный аудит своих систем.

По данным компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.

Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.


   2015 Dec 12 16:49:07 clienyhidden.access.log
   Src IP: 74.3.170.33 / CAN / Alberta
   74.3.170.33 - - [12/Dec/2015:16:49:40 -0500] "GET /contact/ HTTP/1.1" 403 5322 "http://google.com/" "}__test|O:21:/x22JDatabaseDriverMysqli/x22:3: ..
   {s:2:/x22fc/x22;O:17:/x22JSimplepieFactory/x22:0: .. {}s:21:/x22/x5C0/x5C0/x5C0disconnectHandlers/x22;a:1:{i:0;a:2:   {i:0;O:9:/x22SimplePie/x22:5:..
   {s:8:/x22sanitize/x22;O:20:/x22JDatabaseDriverMysql/x22:0:{}s:8:/x22feed_url/x22;s:60:..


  1. Главная ссылка к новости (https://www.joomla.org/announc...)
  2. OpenNews: Критическая уязвимость в системе управления контентом Joomla (22.10.2015)
  3. OpenNews: В Joomla 3.3.5, 3.2.6 и 2.5.26 устранены уязвимости
  4. OpenNews: Проект Joomla представил собственный фреймворк для разработки приложений на языке PHP
  5. OpenNews: NIST и RSA отзывают ранее стандартизованный Dual EC DRBG из-за возможного бэкдора
  6. OpenNews: Опубликован прототип бэкдора в генераторе псевдослучайных чисел Dual_EC_DRBG, входившем в стандарт NIST
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: joomla
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (77) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, VecH (ok), 23:51, 14/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Новость прочитал на одном дыхании как какой то боевик
    хорошо что ничего с Joomla меня не связывает, хотя это была одна из первых CMS с которой я знакомился
     
  • 1.4, Ilya Indigo (ok), 00:04, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    И как это в 1.5.26 исправить?
     
     
  • 2.8, Аноним (-), 00:14, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https github com PhilETaylor Joomla1 5 999 commit 95741d8a2bbb92ea3c8aeaa5427f... текст свёрнут, показать
     
     
  • 3.10, Аноним (-), 00:22, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > + $this->set('session.client.forwarded', $_SERVER['HTTP_X_FORWARDED_FOR']);

    Ух ты! Судя по всему починив дыру с HTTP_USER_AGENT они тут же посадили точно такую же дыру, но с HTTP_X_FORWARDED_FOR. Правим эксплоит на передачу атакующего кода через HTTP-заголовок X-Forwarded-For и имеем новый 0-day.

     
     
  • 4.12, freehck (ok), 00:52, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Вряд ли. Десятью строчками выше у них стоит filter_var, с параметрами намекающими на валидацию поля.
     
  • 4.19, Аноним (-), 03:27, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Зато сколько бесполезных +/- по части whitespace... Погромисты на пхп - такие погромисты :)
     
  • 3.15, Ilya Indigo (ok), 01:24, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Благодарю.
     
  • 2.28, Аноним (28), 09:15, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –16 +/
    обновится до последней версии или закрыть доступ из вне.
    а лучше перенести сайт на bitrix например
     
     
  • 3.33, 123 (??), 09:47, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +9 +/
    да-да, где на файлы кидают 777.
     

  • 1.5, Аноним (-), 00:06, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    whois 146.0.72.83
    address:        Tussen de Bogen 6, 1013 JB Amsterdam, The Netherlands
    OrgName:        RIPE Network Coordination Centre

    whois 74.3.170.33 | grep address
    OrgName:        Shaw Telecom G.P.

    whois 194.28.174.106 | grep address
    org-name:       ON-LINE Ltd
    address:        21029, Ukraine, Vinnitsa Khmelnytske shose str 112-A

     
     
  • 2.65, Michael Shigorin (ok), 21:10, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > whois

    whob :) (lft)

     

  • 1.6, th3m3 (ok), 00:07, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я для прикола пишу в кодах сайтов, что это Joomla. Потом столько весёлых действий в логах ;)

    И ведь находятся индивидуумы, которые ещё этим говнокодов на php пользуются.

     
     
  • 2.7, joomlasenior (?), 00:11, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    чем же прикажете пользоваться кроме как не им?
     
     
  • 3.16, Аноним (-), 01:28, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Я уж совсем не программист, но свои визитки-хелловорлды делал на друпале, т к чуть быстрее и чуть безопаснее.
     
  • 3.29, Аноним (28), 09:17, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –14 +/
    на bitrix
     
     
  • 4.61, Аноним (-), 18:57, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    блин, более бессмысленного гогна чем этот твой битрикс походу вообще не существует.
     
     
  • 5.64, . (?), 20:09, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты просто пессимист! Нет предела совершенству! :)))
     
  • 3.66, Michael Shigorin (ok), 21:13, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > чем же прикажете пользоваться кроме как не им?

    Да почти чем угодно -- жумла по характеру дыр в ней и головах разработчиков сопоставима разве что с тем ещё phpNuke.

    Тут как-то приходил человек, который угробил немало времени и сил на попытки данное положение дел исправить.  Пришёл к выводу, что не лечится, и покинул проект.

    Из примерно той же категории уже названный Drupal, из более мощных систем тоже на PHP -- TYPO3.  Оба неидеальны, но ни в какое сравнение с жумловыми проблемы их эксплуатации не идут.

     

  • 1.9, dlazerka (ok), 00:20, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую, без прослойки, которая подставляет+чистит данные?

    Я думал уже давно все делают через шаблоны, типа "INSERT INTO test({foo}, {bar})"
    а потом дальше в коде говоришь возьми вот этот шаблон, и подставь туда вместо {foo} вот это значени, вместо {bar} вот это.
    В JDBC это по-моему с рождения было. А сегодня декабрь 2015-го.

     
     
  • 2.18, Аноним (-), 03:17, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кто-кто, похапешники
     
     
  • 3.20, dlazerka (ok), 03:51, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > кто-кто, похапешники

    Ну я сам писал на пехапе года 3, 8 лет назад. Но уже тогда использовал какую-то либку (может сам написал, не помню) через которую шли все 100% моих SQL запросов.

    Мне кажется это больше говорит о программистах, чем о языке. Тяжёлый недуг -- PHP рук. Слава богу, евросоюз недавно принял законы обязывающие многие IT компании серьёзнее относиться к безопасности. Ну у нас зарплаты вырастут, как следствие.

     
     
  • 4.32, Аноним (-), 09:27, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Тяжёлый недуг -- PHP рук.

    Ненене, PHP не в клозетах, а в головах.

     
  • 3.26, АнонимУася (?), 08:03, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ППЦ, на чем можешь написать ты что нибудь серьезное?
    А по делу - различных орм, всяких разных, больших и маленьких, тысячи их. На крайний случай есть PDO, в котором можно забиндить значения или переменные. И язык не виноват, что используется для быстрого создания мелких страниц, сайтов и приложений, и благодаря чему в него приходят уроды халявщики.
     
     
  • 4.49, dlazerka (ok), 11:41, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > ППЦ, на чем можешь написать ты что нибудь серьезное?
    > А по делу - различных орм, всяких разных, больших и маленьких, тысячи
    > их. На крайний случай есть PDO, в котором можно забиндить значения
    > или переменные. И язык не виноват, что используется для быстрого создания
    > мелких страниц, сайтов и приложений, и благодаря чему в него приходят
    > уроды халявщики.

    Согласен. Хотя язык всё же виноват, за то что он привлекает "уродов халявщиков". Точно так же как Scala виновата в том, что привлекает эгоистичных самодуров, которые поганят хороший язык операторами вроде :=++ или implicit-ами из которых потом не пойми откуда пуля прилетает прямо в ногу. Пускай бы шли обратно в свой любимый идеальный Lisp.

     
  • 3.31, Аноним (28), 09:21, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    https://docs.joomla.org/Inserting,_Updating_and_Removing_data_using_JDatabase

    все там есть
    только не все пользуются.

    в вашем любимом языке X - тоже можно напрямую делать запросы, без фильтрации данных.

     
  • 2.21, Отражение луны (ok), 04:41, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кто-то в 2015 году использует ненужные тормозные прослойки? Мои соболезнования. Вы не далеко ушли от этой самой джумлы.
     
     
  • 3.22, 10й Брейтовский переулок (?), 06:03, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "PHP головного мозга" детектит.
     
  • 3.36, dlazerka (ok), 10:23, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кто-то в 2015 году использует ненужные тормозные прослойки?

    А вы как эскейпите SQL параметры?

     
     
  • 4.37, Аноним (-), 10:40, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Никак. Нормальные люди юзают подготовленные выражения.
     
     
  • 5.39, angra (ok), 10:48, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Титеретик? Был бы у тебя практический опыт, ты бы знал, что они не работают для достаточно большого количества реальных запросов в БД и вообще зависят от используемой БД.
     
     
  • 6.44, dlazerka (ok), 11:25, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Титеретик? Был бы у тебя практический опыт, ты бы знал, что они
    > не работают для достаточно большого количества реальных запросов в БД и
    > вообще зависят от используемой БД.

    Не могу говорить за предыдущего участника, но я вот практик, и что-то не помню таких случаев. Давно SQL не занимался правда. Приведите примеров пару, реально интересно.

     
     
  • 7.48, angra (ok), 11:34, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Самый простой пример - имена полей и таблиц в большинстве БД не попадают под возможности prepared statement. Смотря на другие ваши комментарии, заострю внимание именно на возможностях самих БД, а не оберток типа DBI или JDBC, которые могут предоставить псевдо prepared statement за счет манипуляций со строками.

     
     
  • 8.50, Аноним (-), 11:54, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Добавлять поля в таблицы в realtime это уже не от php а от mysql наверное ... текст свёрнут, показать
     
     
  • 9.54, dlazerka (ok), 12:05, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Он имеет ввиду не добавлять, а выбирать SELECT someDynamicColumn , if someC... текст свёрнут, показать
     
  • 8.53, dlazerka (ok), 12:02, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Точно, спасибо Хорошо, что в PaaS, с которым я сейчас работаю, такое невозможно... текст свёрнут, показать
     
  • 5.45, dlazerka (ok), 11:27, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Никак. Нормальные люди юзают подготовленные выражения.

    Ну так а я о чём? PreparedStatement и есть прослойка. А вы называете её тормознутой. Противоречите себе.

     
     
  • 6.51, Аноним (-), 11:55, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Никак. Нормальные люди юзают подготовленные выражения.
    > Ну так а я о чём? PreparedStatement и есть прослойка. А вы
    > называете её тормознутой. Противоречите себе.

    Не совсем так, это прослойка немного другого уровня (которая в части применений позволяет ускорить работу по сравнению с параметрами в sqlText.

     
  • 4.42, Andrew (??), 11:19, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А вы как эскейпите SQL параметры?

    Query Parameters Binding?

     
     
  • 5.46, dlazerka (ok), 11:29, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> А вы как эскейпите SQL параметры?
    > Query Parameters Binding?

    Ну так а я о чём? См мой первый коммент с которого началась ветка: "INSERT INTO test({foo}, {bar})". Потом биндим фуу бары.

     
  • 2.40, angra (ok), 10:55, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую,
    > без прослойки, которая подставляет+чистит данные?

    Ты точно хорошо вычитал на этот предмет код всех ORM, с которыми приходится сталкиваться? Вдруг окажется, что в одной функции авторы ORM ожидают уже экранированные данные, а в другой чистые. А сможешь всегда держать в голове эти нюансы и не забывать просматривать код всех новых версий?

     
     
  • 3.43, dlazerka (ok), 11:23, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую,
    >> без прослойки, которая подставляет+чистит данные?
    > Ты точно хорошо вычитал на этот предмет код всех ORM, с которыми
    > приходится сталкиваться? Вдруг окажется, что в одной функции авторы ORM ожидают
    > уже экранированные данные, а в другой чистые. А сможешь всегда держать
    > в голове эти нюансы и не забывать просматривать код всех новых
    > версий?

    Да, я читал код JDBC, именно на предмет экранирования. Да и что там читать, Ctrl-клик на вызов preparedStatement.setString() в своём коде и вот оно экранирование.

    Не вдруг, не окажется. НЕТ функций, которые ожидают экранированные данные. Зачем вообще в коде держать экранированные?

     
     
  • 4.47, angra (ok), 11:29, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Загугли значение ORM, ну или сразу глянь в https://en.wikipedia.org/wiki/Object-relational_mapping
    Подсказка, JDBC это не ORM.
     
     
  • 5.52, Аноним (-), 11:57, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Загугли значение ORM, ну или сразу глянь в https://en.wikipedia.org/wiki/Object-relational_mapping
    > Подсказка, JDBC это не ORM.

    DDL и DML в одну кучу не надо валить.

     
  • 5.57, жабабыдлокодер (ok), 14:20, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нормальные, человеческие ORM-ы, вроде JPA и Hibernate, сидят уже поверх JDBC.
     

  • 1.11, Иван Ер0хин (?), 00:44, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ох жесть, когда уже наконец выжгут каленным железом на интересных местах о том, что любые входные данные должны фильтроваться и проверяться.
     
     
  • 2.62, Аноним (-), 19:31, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Ох жесть, когда уже наконец выжгут каленным железом на интересных местах о том, что любые входные данные должны фильтроваться и проверяться.

    Программисты тут ни при чём.

    Приходит заказчик, у тебя-умного сайт можно сделать за 1000 денег, у знакомого студента - за 250. У заказчика физически есть только 250. А ты отказываешься работать за четверть зп, а на остальные три четверти искать вторую работу. Вот они и идут к студентам.

     
     
  • 3.68, Michael Shigorin (ok), 21:17, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Приходит заказчик, у тебя-умного сайт можно сделать за 1000 денег,
    > у знакомого студента - за 250. У заказчика физически есть только 250.

    Значит, ему сейчас не нужен сайт.  Серьёзно.  Потому что потеряет он на нём сперва 2000, а потом и репутацию.

    Некоторые понимают это на второй стадии, но многие и на третьей не замечают ничего необычного...

     

  • 1.13, Аноним (-), 00:56, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Большинству, не нужны супер мега написанные движки вручную на php, которые соответсвуют стандартам правильности, культуры программирования, надежности, обхода всех нежелательных переполнений буфероф и прочих правильных вещей. Главное, чтобы крутилось и можно было получать с этого выгоду.
     
     
  • 2.69, Michael Shigorin (ok), 21:18, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Главное, чтобы крутилось и можно было получать с этого выгоду.

    Вот такие дебилы, не побоюсь этого слова, и строят скорорушащиеся дома.

    Чтоб они все подавились этой "выгодой".

     

  • 1.14, Корабельная крыса (?), 01:02, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Suhosin ?
     
     
  • 2.58, Nicknnn (ok), 15:15, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Помер?
     

  • 1.17, Аноним (-), 01:54, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо, что просветили.
     
  • 1.23, Аноним (-), 06:49, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Похапе-хейтеры в курсе, что Википедия и, если не ошибаюсь, Фейсбук с Вконтактом написаны на пхп?
     
     
  • 2.25, Аноним (-), 07:46, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Конечно в курсе,эти же люди по совместительству ненавидят социальные сети и считают, что википедия давно скатилась.
     
     
  • 3.30, Аноним (-), 09:18, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно в курсе,эти же люди по совместительству ненавидят социальные сети и считают,
    > что википедия давно скатилась.

    Пусть тогда ненавидят еще и питон за дырки в moinmoin, руби за дырки в гитхабе, си за дырки в системном софте, баш - за shellshock, ...

     
  • 2.41, Аноним (-), 11:15, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, фейсбук и контакт изначально использовали пхп, и сейчас жалеют об этом. Дело дошло до того, что им пришлось написать свои собственные интерпретаторы этого недоязыка и вынести все что можно в библиотеки на C/C++.
     
     
  • 3.63, Аноним (-), 19:35, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > изначально использовали пхп, и сейчас жалеют об этом [...] вынести все что можно в библиотеки на C/C++.

    Поверь, те, кто одновременно с фейсбуком начали писать социальную сеть на С/C++, сейчас жалеют не меньше.

     

  • 1.27, Аноним (-), 08:51, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Без предустановленных дыр тут ничего не взлетает..
     
  • 1.35, CHERTS (??), 09:50, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для 2.5.28 патчик
    http://pastebin.com/90RnzreF
     
  • 1.56, Аноним (-), 13:22, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пропатчил движки подведомственных сайтов.
    Однако на парочке серверов в логах обнаружил __test|O:21:\"JDatabaseDriverMysqli
    Двумя часами ранее, чем патчи накатил.

    Не совсем понял - как могли эту уязвимость заэксплуатировать и что теперь стоит еще проверить?

    Сторонних файлов на вскидку не обнаружил в системе. Детально пока не изучал.

     
     
  • 2.59, Игорь (??), 16:25, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А я вчера все обновил, но сегодня в логах появилось такое чудо.
     
     
  • 3.60, Аноним (-), 16:46, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Вот те раз... Это уже не радует. :(
     
  • 3.70, brandy (ok), 21:19, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    На другом сайте советуют в .htaccess так же докинуть

    RewriteCond %{HTTP_USER_AGENT} .*\{.* [NC]
    RewriteRule .* - [F,L]

     
     
  • 4.71, Владимир (??), 23:32, 15/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    а что за сайт, такое рекомендует?
     
     
  • 5.73, Аноним (-), 05:52, 16/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    http://habrahabr.ru/company/pt/blog/273213/
     
  • 2.74, Аноним (-), 05:55, 16/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Аналогично, нашел в логах упомянутые строки. Поднял старую копию из бэкапа, сверил хэши - ничего не изменено. Провел аудит системы - тоже все чисто.
     
     
  • 3.76, Ilya Indigo (ok), 10:46, 16/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Аналогично, нашел в логах упомянутые строки. Поднял старую копию из бэкапа, сверил
    > хэши - ничего не изменено. Провел аудит системы - тоже все
    > чисто.

    А вы БД сверяли?

     
     
  • 4.78, Аноним (-), 12:08, 16/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, т.к. это проблематично (делаются регулярные изменения в магазине). Но новых пользователей нет, права админов/суперадминов у определенных пользователей без изменений, доступ в админку закрыт через .htaccess


     

  • 1.67, brandy (ok), 21:14, 15/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чёрт, поздно прочитал новость, просмотр логов дал инфу о сегодняшнем посещении такого Юзер-Агента в 8 вечера с ip из Украины и ближе к 9 вечера с ip из Канады.
    А вчера, позавчера, позапоза... - всё чисто. Увидел бы вовремя, раньше бы поужинал.

    Ушел откатываться на точки автобэкапов хостинга и обновляться...

     
  • 1.72, Atla (?), 05:13, 16/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Судя по всему, эта уязвимость эксплуатировалась годами, просто выявлена была после массовой, автоматической, попытки эксплуатации.
    У меня в логах есть подобная запись от 15.12 и на этом всё: ничего не изменено, не удалено и не добавлено. Смысл уязвимости: remote code execution, так что копать нужно ОС сервера на наличие "гостей" а не бэкапы joomla откатывать :).
     
     
  • 2.75, тоже Аноним (ok), 08:48, 16/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если у вас на сервере пользователь, от которого работает сайт, может подсадить "гостей" куда-то вне каталога сайта, то вам еще глубже копать надо.
     
     
  • 3.82, Atla (?), 22:24, 16/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да, всё верно! И это уже проблемы хостера если используется хостинг. В любом из случаев: увидел подобного гостя в логах - проверяй всю систему. Хорошо если стоит какой-то *nix, хуже если поделка от майкрософта.
     

  • 1.77, йцукен (??), 10:55, 16/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дал url на эту статью веб мастеру. После не долгого прочтения было – “Та ну нах… Мы за файрволом.”
    Вопрос – “Как «стимулировать» веб мастера пропатчить jooml’у?”
     
     
  • 2.79, Аноним (-), 15:14, 16/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ответ - пригласить для веб мастера помощника и дать возможность поработать в двоем  пару  деньков.
    Пусть опытом обменяются.
     
  • 2.81, Аноним (-), 19:16, 16/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как «стимулировать» веб мастера пропатчить jooml’у?

    Попробуйте деньгами? И пообещайте оплатить время, которое (если) потребуется для исправлений, если в результате обновления что-то поломается.

     
  • 2.83, Atla (?), 22:30, 16/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Объяснить мастеру что файервол тут никак не поможет, потому как joomla разрешена в правилах файервола, уязвимость в ней же и "гости" потом могут под её же процесс замаскироваться и спокойно работать. Если веб-мастер этого не понимает - то....а вообще, что взять с веб-мастера? :))


     

  • 1.80, Аноним (80), 16:25, 16/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    юзайте yii2
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру