PDA

Zobacz pełną wersję : Podrzucanie plików przez lukę w Joomla



sylwekb
18-04-2013, 12:54
Witam, pod joomla 2.5.9 dostawca hostingu zwrócił mi uwagę, że przez lukę w media/editors/tinymce/jscripts/tiny_mce/plugins/searchreplace/option.php podrzucane są pliki htaccess i rozsyłany jest za pomocą skryptów spam. Czy ktoś spotkał się z podobnym problemem? Jak się przed czymś takim zabezpieczyć? Oczywiście pliki, których nie powinno być usunąłem ale obawiam się, że problem może się powtarzać.

robak142
10-05-2013, 01:18
Witam, w jakich lokalizacjach te pliki znalazłeś i jak wyglądała ich zawartość? Jeżeli możesz to wyślij proszę na maila w txt. Mam także dziwny problem na stronie i analizuję kilka rzeczy, może mi to pomoże, a może i Tobie także. Pozdrawiam.

sylwekb
10-05-2013, 09:21
Witam przykładowa lokalizacja podrzuconego pliku to: plugins/editors/tinymce/jscripts/tiny_mce/plugins/pagebreak/dirs.php
w tym pliku był skrypt rozsyłający spam. Mój dostawca hostingu automatycznie wykrywa takie zagrożenia i wyłącza stronę.
W ciągu kilku minut rozesłał kilka tysięcy wiadomości spam spowodowało to także wzrost wysycenia procesora serwera oraz transferu.
Najdziwniejsze jest to, że miałem wyłączony dostęp FTP z przyczyn bezpieczeństwa oraz Joomla i dodatki w najnowszych wersjach.
Więc w grę wchodzi tylko włamanie przez luki w plikach Joomli zresztą taką diagnozę podał także mój dostawca hostingu.
Na szczęście to był jednorazowy incydent i póki co nie powtarza się.

alex51
10-05-2013, 16:09
Witam przykładowa lokalizacja podrzuconego pliku to: plugins/editors/tinymce/jscripts/tiny_mce/plugins/pagebreak/dirs.php
w tym pliku był skrypt rozsyłający spam. ...
Wskazana lokalizacja jest błędna. Nie ma takiej ścieżki, chyba, że na początku zamiast "plugins" powinno być "media". Poprawna lokalizacja to, podobnie jak w pierwszym poście katalog "media", a dokładniej:
media/editors/tinymce/jscripts/tiny_mce/plugins/pagebreak/
ale w tym katalogu znajdują się jedynie dwa pliki: editor_plugin.js i oczywiście index.html. Obecność u Ciebie niezidentyfikowanego i nie wchodzącego w skład standardu Joomla! pliku dirs.php świadczy jedynie o zainfekowaniu strony.
Link wskazany w pierwszym poście:
media/editors/tinymce/jscripts/tiny_mce/plugins/searchreplace/option.php
również nie wskazuje na prawidłową lokalizację, gdyż nie powinno tam być pliku option.php, co też uzasadnia tezę o włamaniu na stronie.
Postępowanie naprawcze w przypadku włamania na stronę zostało wielokrotnie omówione na forum i na wiki.joomla.pl.

qwertyqwer15
12-05-2013, 15:07
Plik na 90% został wysłany przez luke w jednym z komponentow. To, że masz najnowsze aktualizacje nie znaczy, ze nie ma w nich bledu. Rownie dobrze mozesz mieć jakies stare komponenty lub zawierajace bugi, jak np http://extensions.joomla.org/extensions/living/collecting/11346, który pozwala na upload plików na serwer.

robak142
12-05-2013, 16:53
Plik na 90% został wysłany przez luke w jednym z komponentow. To, że masz najnowsze aktualizacje nie znaczy, ze nie ma w nich bledu. Rownie dobrze mozesz mieć jakies stare komponenty lub zawierajace bugi, jak np http://extensions.joomla.org/extensions/living/collecting/11346, który pozwala na upload plików na serwer.

Zabrzmiało to jakbyś zjadł zęby na tym. Jeżeli masz doświadczenie w odnajdywaniu takich luk, to napisz coś więcej. Temat jest interesujący i wiele osób ma lub może mieć podobne problemy.

alex51
13-05-2013, 08:17
Plik na 90% został wysłany przez luke w jednym z komponentow. (...)
Jeśli już musisz ogłaszać wyroki, do czego jak podejrzewam nie masz jeszcze wystarczajacych kwalifikacji (http://forum.joomla.pl/showthread.php?71299-Strona-startowa-i-dj-imageSlider), to bądź łaskaw popierać je faktami a nie wyliczeniami procentowymi wyssanymi z palca.
Ten wątek dotyczy postawionej tezy o prawdopodobieństwie "podrzucania plików przez lukę w Joomla!" co dla mnie znaczy, że jego autor zakłada istnienie takiej luki w systemowych plikach Joomla! a nie w instalowanych do niego dodatkowych komponentach, modułach czy dodatkach. Jeśli znasz fakty dotyczące konkretnych "dziurawych" rozszerzeń, to napisz o nich w oddzielnym wątku ale swoje opinie popieraj rzetelnymi dowodami a nie gołosłownością, jak dotychczas.

zwiastun
13-05-2013, 14:13
Ten atak na @qwertyqwer chyba nie jest zbytnio potrzebny.
1. Rzeczywiście, luka umożliwiająca włamanie może być w Joomla. Autor wątku miał Joomla 2.5.9, w którym wykryto kilka powszechnie już znanych luk, umożliwiających włamanie.
2. Miejsce, w którym umieszczane są złośliwe pliki, w najmniejszym stopniu nie wskazuje na "dziurawe" rozszerzenie. Przypuszczenie, że to TinyMCE wymagałoby zatem zweryfikowania - wskazania luki. @alex51 pokazał w swoim poście, że w oprogramowaniu TinyMCE skryptów, "przez które podrzucane są pliki htaccess i rozsyłany jest spam" nie ma, bo są to skrypty umieszczone na serwerze przez włamywacza.
3. Włamanie na serwer mogło być dokonane kilka miesięcy wcześniej, zanim pojawiły się jego widoczne objawy. Wykrycie sposobu włamania to trochę żmudna droga analizy systemu plików i dzienników (i nie tylko).
"Teoretyzowanie" na ten temat nie ma najmniejszego sensu - trzeba zbadać konkretne środowisko. W procedurze odtwarzania witryny po udanym włamaniu jest sugestia, by dokonać całkowitego odtworzenia witryny drogą ponownej instalacji z plików instalacyjnych pobranych z pewnych źródeł, zarówno Joomla, jak i przede wszystkim dodatkowych rozszerzeń, które powinny być w najnowszych wersjach.
Jeśli nie udało się wykryć sposobu włamania, jest to jedyna sensowna droga zapewnienia witrynie bezpieczeństwa - dodatkowo zainstalować trzeba oprogramowanie typu AkebaTools czy RSFirewall, które wyposaża witrynę w dodatkowe i bardzo skuteczne mechanizmy obronne.
4. Zdania Kolegi @qwertyqwer nie traktowałbym jako "wyrok nie poparty faktami", a wyraz posiadania pewnej wiedzy nt. bezpieczeństwa i chęć zwrócenia uwagi, że źródłem włamania może być jakiekolwiek inne rozszerzenie, niekoniecznie Joomla. Nie sposób przy tym, by Kolega @qwertyqwer wskazywal, jakie rozszerzenie, bo niby na jakiej podstawie miałby snuć takie przypuszczenia, nie wiedząc, co jest na zhakowanej witrynie zainstalowane. Owo 90% to i tak chyba zaniżony odsetek, ale to w całości drobiazg (autorzy opracowań nt. bezpieczeństwa podkreślają takim lub podobnym współczynnikiem fakt, ze źródłem zdecydowanej większości włamań są luki w rozszerzeniach, a nie w samym Joomla!). To, że autor wątku sugeruje, iż źródłem jest luka w Joomla, jest tylko niczym niepopartym przypuszczeniem, zatem @qwertyqwer mial pełne prawo do wyrażenia swojej opinii tak, jak to uczynił.