PDA

Zobacz pełną wersję : Dziura w Joomli 2.5.7 i Phoca Guestbook



wrs
05-11-2012, 21:23
Witam, jakiś czas temu postawiliśmy serwis na Joomla 1.7.x, dziś zrobiłem aktualizację wszystkich komponentów do najnowszych wersji i Joomla do 2.5.7. Okazało się że mam gdzieś dziurę ponieważ tabela jos_session puchnie w zastraszającym tempie. Używam szablonu MissionControl który posiada moduł RokUserStats jego tabela również powiększa się jak szalona. Wciąż są nowe rekordy pochodzące od Phoca Guestbook i nowe sesje. Przed aktualizacją wyczyściłem tabele ponieważ miały po kilkaset MB! Nie wiem gdzie mam szukać dziury. Zmieniłem użytkownikom hasła, zmieniłem hasła do bazy i nic. Co odświeżę rekordy jos_rokuserstats lub jos_session mam kolejnych kilkanaście nowych! Proszę o sugestie.

Dziudek
05-11-2012, 21:33
Ja bym podejrzewał boty, które próbują zaspamować stronę księgi gości - jeżeli chodzi o tablę jos_sessions to ona co jakiś czas sama się czyści z rekordów a jedyne co trzeba dodatkowo w bazie zrobić to wyczyścić ją z pozostałości po usuniętych rekordach poleceniem OPTIMIZE. Raczej to nie jest żadna dziura w Joomla!. A swoją drogą nie ma masy nieopublikowanych wpisów w księdze gości? Ewentualnie czy narosła w dużej ilości liczba użytkowników strony?

wrs
05-11-2012, 23:21
wciąż nowe mimo zabezpieczenia przez captcha google, użytkowników nowych nie ma

Dziudek
05-11-2012, 23:37
Tzn. sesje w jos_sessions są tworzone nawet dla kont typu gość z tego co pamiętam, ja przykładowo na serwerze gdzie trzymamy instalacje prezentujace wygląd szablonów co dwa tygodnie przeprowadzam optymalizację bazy danych właśnie ze względu na narzut generowany przez usunięte rekordy z jos_sessions.

Nie wiem czy nie warto na kilka godzin lub nawet na cały dzień ukryć tej strony z guestbookiem a potem ją włączyć ponownie - może wtedy boty sobie darują, bo raczej są to boty. Fakt faktem, że intrygująca jest ilość tych "wizyt" - żeby wygenerować taką ilość potrzeba naprawdę wielkiego ruchu na stronie - serwer to znosi?

wrs
06-11-2012, 12:18
wytrzymuje, ale jakim cudem bot przechodzi google captcha??? dzięki za rade

Dziudek
06-11-2012, 12:21
A w ogóle boty przechodzą przez captchę i dodają wpisy? Bo generalnie już sama wizyta na stronie powoduje dodanie sesji do jos_sessions.

wrs
06-11-2012, 12:34
dokładnie tak (!!!) przechodzą bez żadnego problemu więc gdzieś musi być dziura

Dziudek
06-11-2012, 12:57
Hmm... więc albo reCAPTCHA w ogóle nie ma znaczenia przy dodawaniu wpisów albo ktoś zatrudnił armię Hindusów: http://webhosting.pl/Hindusi.lamia.kody.CAPTCHA.za.grosze ;) Ewentualnie w skrypcie istnieje jakaś luka, która umożliwia dodanie wpisu bez jakiejkolwiek autoryzacji, no ale to niestety jest już pytanie do autora komponentu.

wrs
06-11-2012, 13:10
ciekawe ale nie sądzę że to hindusi, zbyt mało znacząca strona, więc albo dziura w komponencie (zainstalowałem najnowszy) albo w Joomla!

Dziudek
06-11-2012, 13:18
Podejrzewałbym raczej komponent - Joomla! została z racji otwartego kodu i swojej popularności na pewno już wiele razy dogłębnie prześwietlona i raczej sama w sobie takich podatności nie zawiera (przynajmniej takich, które są łatwo dostępne na czarnym rynku), warto sprawdzić czy ktoś nie zgłaszał podobnego problemu z tym komponentem, bo znając życie boty skanują strony w poszukiwaniu konkretnego komponentu i wtedy atakują.

Bazyl
06-11-2012, 13:26
Witajcie,


Witam, jakiś czas temu postawiliśmy serwis na Joomla 1.7.x, dziś zrobiłem aktualizację wszystkich komponentów do najnowszych wersji i Joomla do 2.5.7.

wiki -> witryna po włamaniu :)