rajfur
16-09-2012, 09:10
Od swojego hostingu dostałem taką informację:
W dniu dzisiejszym została podjęta decyzja o natychmiastowej blokadzie, poprzez zmianę nazwy, szablonu "bluestork" który jest wykorzystywany przez skrypt Joomla jaki mają Państwo na swoim serwerze. Oto lokalizacja miejsca gdzie na Państwa koncie znajduje się ten szablon:
tu ścieżki do katalogów z instalacjami joomla2.5
Nazwa katalogu 'bluestork' została zmieniona na 'bluestork----'. Ma to na celu zapobieżenie atakom które są przeprowadzane z użyciem tego szablonu, przez nieokreśloną na chwilę obecną lukę w zabezpieczeniach tego szablonu. Hakerzy wykorzystują lukę w tym szablonie do przeprowadzania ataków DoS na zewnętrzne serwery. Powoduje to generowanie bardzo dużego obciążenia serwera, dużego transferu (rzędu kilkuset Mbps). Nadmienić należy także fakt, iż ataki DoS są podstawą do wykluczenia serwera / hosta z dostępu do sieci (tzw. banowanie IP) a co za tym idzie - koszty takiego ataku mogą być bardzo wysokie (koszty finansowe).
W związku z tym, że nasze systemy wykryły skanowanie Państwa instalacji Joomla przez zainfekowane komputery zoombie jakie są w internecie, istnieje podstawa uważać, że być może jest to przygotowywanie się do ataku na Państwa stronę, w celu wykorzystania luki template bluestork do dalszych ataków na inne serwer.
Dlatego nasza decyzja jest natychmiastowa i tak radykalna. Co ona oznacza?
1. jeżeli korzystali Państwo z szablonu 'bluestork' do logowania się do Panelu Administracyjnego skryptu Joomla - obecnie po wejściu na adres /administrator wyświetli się pusta strona (brak szablonu). Należy przez FTP zmienić nazwę katalogu 'bluestork----' ponownie na 'bluestork' i następnie szybko zalogować się do Panelu Administratora skryptu i zmienić w konfiguracji skryptu szablon panelu administracyjnego na jakiś inny (jeżeli nie mają Państwo wgranego innego szablonu - proszę go wgrać do katalogu /administrator/templates). Następnie proszę sprawdzić czy działa logowanie do Panelu Administracyjnego dla nowego szablonu - i jeżeli będzie ono poprawne - proszę usunąć szablon bluestork z serwera przez FTP. Proszę także wyłączyć opcję automatycznego rejestrowania się użytkowników na stronie (o ile opcję rejestracji użytkowników Państwo oferują) i nakazać potwierdzenia każdorazowej rejestracji nowego użytkownika przez Administratora. Proszę także sprawdzić czy nie mają Państwo zarejestrowanych w skrypcjie Joomli dodatkowych administratorów poza głównym administratorem z którego Państwo korzystają. Hakerzy atakujący skrypty Joomli wykorzystują SQL injection do nadania nowym użytkownikom prawa Administratora. Przykładową nazwą użytkownika który rejestruje się i otrzymuje prawa administratora przy tym ataku jest "alexaalexa". Oczywiście mogą być dodani inni "pseudo - administratorzy " - dlatego polecamy weryfikację bazy użytkowników i włączenie opcji wymogu potwierdzenia aktywacji konta użytkownika przez Administratora.
2. jeżeli nie korzystają Państwo z szablonu bluestork - logowanie do Panelu Administracyjnego skryptu Joomla będzie odbywało się poprawnie, jak dotychczas. Nic nie muszą Państwo zmieniać w konfiguracji skryptu, polecamy jednak usuniecie katalogu 'bluestork----' z /administrator/templates przez FTP aby całkowicie wyeliminować ryzyko związane z tym problemem. Proszę także wyłączyć opcję automatycznego rejestrowania się użytkowników na stronie (o ile opcję rejestracji użytkowników Państwo oferują) i nakazać potwierdzenia każdorazowej rejestracji nowego użytkownika przez Administratora. Proszę także sprawdzić czy nie mają Państwo zarejestrowanych w skrypcjie Joomli dodatkowych administratorów poza głównym administratorem z którego Państwo korzystają. Hakerzy atakujący skrypty Joomli wykorzystują SQL injection do nadania nowym użytkownikom prawa Administratora. Przykładową nazwą użytkownika który rejestruje się i otrzymuje prawa administratora przy tym ataku jest "alexaalexa". Oczywiście mogą być dodani inni "pseudo - administratorzy " - dlatego polecamy weryfikację bazy użytkowników i włączenie opcji wymogu potwierdzenia aktywacji konta użytkownika przez Administratora.
Poniżej przesyłamy linki do forum Joomla i innych zewnętrznych stron WWW na których użytkownicy skryptu Joomla opisują problemy jakie wynikły z ataku na ich strony WWW poprzez szablon 'bluestork':
http://translate.google.pl/translate?hl=pl&sl=cs&u=http://podpora.endora.cz/viewtopic.php%3Ff%3D5%26t%3D6052&prev=/search%3Fq%3Djoomla%2Bbluestork%2Bstph.php%26hl%3D pl%26biw%3D1272%26bih%3D639%26prmd%3Dimvns&sa=X&ei=RM1UUPTyCOSO4gT0roGYAw&ved=0CFEQ7gEwBg
http://translate.google.pl/translate?hl=pl&sl=en&u=http://forum.joomla.org/viewtopic.php%3Ft%3D737503&prev=/search%3Fq%3Djoomla%2Bbluestork%2Bstph.php%26hl%3D pl%26biw%3D1272%26bih%3D639%26prmd%3Dimvns&sa=X&ei=RM1UUPTyCOSO4gT0roGYAw&ved=0CCcQ7gEwAA
http://translate.google.pl/translate?hl=pl&sl=cs&u=http://blog.blueboard.cz/clanek/chyba-v-joomla-jde-zneuzit-pro-ddos-utok/&prev=/search%3Fq%3Djoomla%2Bbluestork%2Bstph.php%26hl%3D pl%26biw%3D1272%26bih%3D639%26prmd%3Dimvns&sa=X&ei=RM1UUPTyCOSO4gT0roGYAw&ved=0CGIQ7gEwCA
http://translate.google.pl/translate?hl=pl&sl=it&u=http://forum.joomla.it/index.php%3Ftopic%3D168635.0&prev=/search%3Fq%3Djoomla%2Bbluestork%2Bstph.php%26start %3D10%26hl%3Dpl%26sa%3DN%26biw%3D1272%26bih%3D639% 26prmd%3Dimvns&sa=X&ei=fM1UUOSSOOfd4QTr7oF4&ved=0CCMQ7gEwADgK
W/w linki korzystają z tłumacza Google - można go wyłączyć po wejściu na link
UWAGA:
Ze względu na rangę problemu oraz ewentualne skutki jakie może on pociągać, prosimy o nie odblokowywanie na stałe katalogu bluestork z szablonem panelu administracyjnego. Jeżeli mimo niniejszego ostrzeżenia, Państwa strona WWW będzie powodem ataków DoS z wykorzystaniem luk tego szablonu, i nasza firma poniesie straty finansowe wynikające z tego faktu, mogą Państwo zostać obciążeni wszelkimi kosztami jakie będą się wiązały z przywróceniem poprawnej pracy serwera oraz usunięciem blokad IP serwera z routerów sieciowych! Są to bardzo duże koszty, dlatego prosimy o potraktowanie tego problemu poważnie i nie lekceważenie go.
UWAGA2:
Jeżeli są Państwo pewni, że Państwa wersja skryptu Joomla jest wolna od problemu luki w zabezpieczeniach, jaka powoduje ataki DoS, mogą Państwo na własne ryzyko używać szablonu bluestork dla Administratora systemu. Nie jest jednak wykluczone że problem jest dużo głębszy niż sam szablon bluestorm i jest ulokowany gdzieś w rdzeniu skryptu Joomla, a szablon bluestork dla administratora jest tylko wykorzystywany jako przekaźnik do atakow. Zalecamy jednak bez wzgledu na rodzaj wykorzystywanego szablonu, Państwa wiedzę o zabezpieczeniu skryptu, aby wyłączyć opcję automatycznego rejestrowania nowych użytkowników i wymagać potwierdzenia rejestracji przez Administratora oraz sprawdzić czy nie ma w systemie skryptu innych administratorów poza tymi, których sami Państwo dodali.
W przypadku pytań dot. tego problemu - prosimy o odpowiedź na tę wiadomość email. Prosimy o nieotwieranie zgłoszeń w CentrumPomocyTechnicznej.pl dotyczących poruszanych w tej wiadomości zagadnień.
Dziękujemy,
Biuro Obsługi Klienta,
PROSCAPE - netlook.pl
Do tych zaleceń oczywiśie się zastosowałem
pozdrawiam
W dniu dzisiejszym została podjęta decyzja o natychmiastowej blokadzie, poprzez zmianę nazwy, szablonu "bluestork" który jest wykorzystywany przez skrypt Joomla jaki mają Państwo na swoim serwerze. Oto lokalizacja miejsca gdzie na Państwa koncie znajduje się ten szablon:
tu ścieżki do katalogów z instalacjami joomla2.5
Nazwa katalogu 'bluestork' została zmieniona na 'bluestork----'. Ma to na celu zapobieżenie atakom które są przeprowadzane z użyciem tego szablonu, przez nieokreśloną na chwilę obecną lukę w zabezpieczeniach tego szablonu. Hakerzy wykorzystują lukę w tym szablonie do przeprowadzania ataków DoS na zewnętrzne serwery. Powoduje to generowanie bardzo dużego obciążenia serwera, dużego transferu (rzędu kilkuset Mbps). Nadmienić należy także fakt, iż ataki DoS są podstawą do wykluczenia serwera / hosta z dostępu do sieci (tzw. banowanie IP) a co za tym idzie - koszty takiego ataku mogą być bardzo wysokie (koszty finansowe).
W związku z tym, że nasze systemy wykryły skanowanie Państwa instalacji Joomla przez zainfekowane komputery zoombie jakie są w internecie, istnieje podstawa uważać, że być może jest to przygotowywanie się do ataku na Państwa stronę, w celu wykorzystania luki template bluestork do dalszych ataków na inne serwer.
Dlatego nasza decyzja jest natychmiastowa i tak radykalna. Co ona oznacza?
1. jeżeli korzystali Państwo z szablonu 'bluestork' do logowania się do Panelu Administracyjnego skryptu Joomla - obecnie po wejściu na adres /administrator wyświetli się pusta strona (brak szablonu). Należy przez FTP zmienić nazwę katalogu 'bluestork----' ponownie na 'bluestork' i następnie szybko zalogować się do Panelu Administratora skryptu i zmienić w konfiguracji skryptu szablon panelu administracyjnego na jakiś inny (jeżeli nie mają Państwo wgranego innego szablonu - proszę go wgrać do katalogu /administrator/templates). Następnie proszę sprawdzić czy działa logowanie do Panelu Administracyjnego dla nowego szablonu - i jeżeli będzie ono poprawne - proszę usunąć szablon bluestork z serwera przez FTP. Proszę także wyłączyć opcję automatycznego rejestrowania się użytkowników na stronie (o ile opcję rejestracji użytkowników Państwo oferują) i nakazać potwierdzenia każdorazowej rejestracji nowego użytkownika przez Administratora. Proszę także sprawdzić czy nie mają Państwo zarejestrowanych w skrypcjie Joomli dodatkowych administratorów poza głównym administratorem z którego Państwo korzystają. Hakerzy atakujący skrypty Joomli wykorzystują SQL injection do nadania nowym użytkownikom prawa Administratora. Przykładową nazwą użytkownika który rejestruje się i otrzymuje prawa administratora przy tym ataku jest "alexaalexa". Oczywiście mogą być dodani inni "pseudo - administratorzy " - dlatego polecamy weryfikację bazy użytkowników i włączenie opcji wymogu potwierdzenia aktywacji konta użytkownika przez Administratora.
2. jeżeli nie korzystają Państwo z szablonu bluestork - logowanie do Panelu Administracyjnego skryptu Joomla będzie odbywało się poprawnie, jak dotychczas. Nic nie muszą Państwo zmieniać w konfiguracji skryptu, polecamy jednak usuniecie katalogu 'bluestork----' z /administrator/templates przez FTP aby całkowicie wyeliminować ryzyko związane z tym problemem. Proszę także wyłączyć opcję automatycznego rejestrowania się użytkowników na stronie (o ile opcję rejestracji użytkowników Państwo oferują) i nakazać potwierdzenia każdorazowej rejestracji nowego użytkownika przez Administratora. Proszę także sprawdzić czy nie mają Państwo zarejestrowanych w skrypcjie Joomli dodatkowych administratorów poza głównym administratorem z którego Państwo korzystają. Hakerzy atakujący skrypty Joomli wykorzystują SQL injection do nadania nowym użytkownikom prawa Administratora. Przykładową nazwą użytkownika który rejestruje się i otrzymuje prawa administratora przy tym ataku jest "alexaalexa". Oczywiście mogą być dodani inni "pseudo - administratorzy " - dlatego polecamy weryfikację bazy użytkowników i włączenie opcji wymogu potwierdzenia aktywacji konta użytkownika przez Administratora.
Poniżej przesyłamy linki do forum Joomla i innych zewnętrznych stron WWW na których użytkownicy skryptu Joomla opisują problemy jakie wynikły z ataku na ich strony WWW poprzez szablon 'bluestork':
http://translate.google.pl/translate?hl=pl&sl=cs&u=http://podpora.endora.cz/viewtopic.php%3Ff%3D5%26t%3D6052&prev=/search%3Fq%3Djoomla%2Bbluestork%2Bstph.php%26hl%3D pl%26biw%3D1272%26bih%3D639%26prmd%3Dimvns&sa=X&ei=RM1UUPTyCOSO4gT0roGYAw&ved=0CFEQ7gEwBg
http://translate.google.pl/translate?hl=pl&sl=en&u=http://forum.joomla.org/viewtopic.php%3Ft%3D737503&prev=/search%3Fq%3Djoomla%2Bbluestork%2Bstph.php%26hl%3D pl%26biw%3D1272%26bih%3D639%26prmd%3Dimvns&sa=X&ei=RM1UUPTyCOSO4gT0roGYAw&ved=0CCcQ7gEwAA
http://translate.google.pl/translate?hl=pl&sl=cs&u=http://blog.blueboard.cz/clanek/chyba-v-joomla-jde-zneuzit-pro-ddos-utok/&prev=/search%3Fq%3Djoomla%2Bbluestork%2Bstph.php%26hl%3D pl%26biw%3D1272%26bih%3D639%26prmd%3Dimvns&sa=X&ei=RM1UUPTyCOSO4gT0roGYAw&ved=0CGIQ7gEwCA
http://translate.google.pl/translate?hl=pl&sl=it&u=http://forum.joomla.it/index.php%3Ftopic%3D168635.0&prev=/search%3Fq%3Djoomla%2Bbluestork%2Bstph.php%26start %3D10%26hl%3Dpl%26sa%3DN%26biw%3D1272%26bih%3D639% 26prmd%3Dimvns&sa=X&ei=fM1UUOSSOOfd4QTr7oF4&ved=0CCMQ7gEwADgK
W/w linki korzystają z tłumacza Google - można go wyłączyć po wejściu na link
UWAGA:
Ze względu na rangę problemu oraz ewentualne skutki jakie może on pociągać, prosimy o nie odblokowywanie na stałe katalogu bluestork z szablonem panelu administracyjnego. Jeżeli mimo niniejszego ostrzeżenia, Państwa strona WWW będzie powodem ataków DoS z wykorzystaniem luk tego szablonu, i nasza firma poniesie straty finansowe wynikające z tego faktu, mogą Państwo zostać obciążeni wszelkimi kosztami jakie będą się wiązały z przywróceniem poprawnej pracy serwera oraz usunięciem blokad IP serwera z routerów sieciowych! Są to bardzo duże koszty, dlatego prosimy o potraktowanie tego problemu poważnie i nie lekceważenie go.
UWAGA2:
Jeżeli są Państwo pewni, że Państwa wersja skryptu Joomla jest wolna od problemu luki w zabezpieczeniach, jaka powoduje ataki DoS, mogą Państwo na własne ryzyko używać szablonu bluestork dla Administratora systemu. Nie jest jednak wykluczone że problem jest dużo głębszy niż sam szablon bluestorm i jest ulokowany gdzieś w rdzeniu skryptu Joomla, a szablon bluestork dla administratora jest tylko wykorzystywany jako przekaźnik do atakow. Zalecamy jednak bez wzgledu na rodzaj wykorzystywanego szablonu, Państwa wiedzę o zabezpieczeniu skryptu, aby wyłączyć opcję automatycznego rejestrowania nowych użytkowników i wymagać potwierdzenia rejestracji przez Administratora oraz sprawdzić czy nie ma w systemie skryptu innych administratorów poza tymi, których sami Państwo dodali.
W przypadku pytań dot. tego problemu - prosimy o odpowiedź na tę wiadomość email. Prosimy o nieotwieranie zgłoszeń w CentrumPomocyTechnicznej.pl dotyczących poruszanych w tej wiadomości zagadnień.
Dziękujemy,
Biuro Obsługi Klienta,
PROSCAPE - netlook.pl
Do tych zaleceń oczywiśie się zastosowałem
pozdrawiam