Prośba o pomoc-portal w Joomla zaatakowany

**Aron** · 08-08-2006, 10:58

Witam Wszystkich.
Miałem podobny przypadek u mnie i już wyjaśniam gdzie jest dziura.
Otóż problem leży w zabezpieczeniu komponentu com_classfields czyli popularne Ogłoszenia. Przejrzałem logi swojego serwera i już piszę jak dokonano ataku podrzucając kod iframe do mod_mainmenu.
Atakujący wykorzystując dziurę w com_classfields wrzuca sobie jakiś plik (w moim przypadku config.php) na nasz serwer poprzez adresik: /administrator/components/com_classifieds/popups/insert_image.php (sprawdzałem działa bez problemu - można wrzucić co się chce). Następnie odpala to co wrzucił: /components/com_classifieds/adimages/config.php (czyli kod config.php w którym może być wszystko np: modyfikacja Waszego mod_mainmenu.php). Pliku config.php jeszcze nie namierzyłem bo pewnie się sam kasuje po wykonaniu ale jak go dorwę to... Ja miałem dwa ataki z adresu IP: 82.207.99.8 jakby był ktoś zainteresowany zgnębieniem gościa to zapraszam do współpracy coś się wymyśli. Jak narazie jeszcze nie miałem czasu na opracowanie zabezpieczenia (autor pewnie też nie bo sprawdzałem).
Powodzenia w tropieniu dziur. Artur
PS: (dotyczy Lamerów) oczywiście przed podanymi adresami jest http://www.waszastrona.com

Rozwiązanie problemu (tymczasowe - uniemożliwia upload plików innych niż graficzne)

Edytujemy plik /administrator/components/com_classfields/popups/ImageManager/images.php podmieniając w nim całą funkcję do_upload() na kod poniżej:

Kod:

function do_upload($file, $dest_dir,$makeThumb) 
{
	global $clearUploads;

	if(is_file($file['tmp_name'])) 
	{
		$tag = ereg_replace(".*\.([^\.]*)$", "\\1", $file['name']); //rozszerzenie pliku
		$tag = strtolower($tag); //rozszerzenie na male literki
		if($tag == 'jpg' || $tag == 'gif' || $tag == 'png' || $tag == 'bmp' || $tag == 'tif') {
			//var_dump($file); echo "DIR:$dest_dir";
			move_uploaded_file($file['tmp_name'], $dest_dir.$file['name']);	
			chmod($dest_dir.$file['name'], 0666);
			if ($makeThumb){
				$thumbsize=$_POST['thumbSize'];
				$thumbQuality=$_POST['thumbQuality'];
				$thumbFolder=$_POST['thumbFolder'];
				$resizeOpt=$_POST['resizeOpt'];
				make_thumb($dest_dir.$file['name'],$thumbsize,$thumbQuality,$thumbFolder,$resizeOpt);
			}
		}
		else {
			echo '<SCRIPT>alert(\'This file format is not allowed !\')</SCRIPT>';
		}
	}

Powodzenia

**joombo** · 11-10-2006, 23:28

U mnie wszedł prawdopodobnie także poprzez classifields. Naniosłem wskazaną poprawkę.

Trojan działał w ten sposób - dopisał taką linijkę kodu we wstępie do artykułu

Chętnie dorwę pajaca

PRzeszukałem zawartość bazy pod kątem ip 72.21.44.34 i usunąłem ten kod z artykułu (tabela jos_content). Dodatkowo znalazłem ten ip w tabeli mos_jstats_ipaddresses (statystyki)
nslookup 72.21.44.34 epsilon.xmastershost.com us

**CNK** · 13-12-2007, 22:57

a ja mam taki problem, a dokładnie z jakiegoś rosyjskiego adresu IP: 77.221.133.188. Kasperski wyświetla komunikat:

Koń trojański:
Trojan-Clicker.HTML.IFrame.fp

Plik: http://77.221.133.188/.if/go.html?1495741d86a30891

gdy szukam tego adresu w bazie czy w plikach strony to nic nie ma, nadpisanie plików pomaga na jakiś czas a kilka godzin później znów to samo.. :/

znalazłem coś o tym tu: http://forum.joomla.org/index.php?to...119.msg1107618
lecz tam tylko doradzili instalacje wszystkiego od nowa..

**joombo** · 14-12-2007, 21:37

Po pierwsze poszukaj w bazie nie adresu strony, ale kodu: iframe. Drugie, to poda j wersję joomli i liste komponentów. Do minie ten śmieć dostał sie prawdopodobnie przez ruski komponent classifields. Ten komponent ogłoszeń ma* dziurę taką, że da się załadować nie tylko obrazek, ale i skrypt, a potem może sobie to ktoś elegancko i zdalnie uruchomić. Na tę dziurę była jakas łatka (sprawdzająca, czy plik wczytywany jest w formacie grafiki), ale to była łatka nieoficjalna.

*wersja 1.4, przynajniej do niedawna ostatnia i nie rozwijana

**CNK** · 15-12-2007, 09:40

wersja joomli 1.0.13 (wcześniej nic takiego nie miałem)
lista komponentów:
1) ARTIO JoomSEF
2) Banners (domyślnie jest w joomli)
3) Joomla-Przemo 1.2
4) Komentarze :: AkoComment 1.4.6
5) Mass Mail (domyślnie)
6) News Feeds (domyślnie w każdej Joomli)
7) Polls (j.w.)
8) Syndicate (j.w)
9) Web Links (j.w.)

To tyle z komponentów.

"iframe" w bazie Joomli też nie ma

Edit:
dodam jeszcze, że wcześniej nie miałem artio sef, ani akocomments tweaked.. jakieś 2 dni temu, i tak samo wyskakiwał komunikat z trojanem..

w pliku index.php i login.php dodaje się na końcu kod:

ale jak to nie mam zielonego pojęcia z czego wywala ten kod..

ale nawet jak usunę ten kod z tych 2 plików, to kasperski dalej informuje o trojanie na stronie.. czyli jest to jeszcze gdzieś..

**joombo** · 15-12-2007, 17:09

A wszystko w porządku z uprawnieniami do katalogów/plików i htaccess? Do tego - jest metoda na zablokowanie wybranego ip z uzyciem htaccess - poszperaj na forum, a znajdziesz.

**CNK** · 21-12-2007, 19:23

tak, znalazłem tu gdzieś liste z IP do zbanowania + zablokowałem ten 77.221.133.188, zainstalowałem Joomle od nowa ale pod innym prefiksem (pliki wgrane od nowa są bez kodu), później usunąłem z bazy nowo utworzone wpisy i stary config wrzuciłem

Jak na razie wszystko ok

**inkos** · 13-01-2008, 22:34

Wysłane przez CNK

tak, znalazłem tu gdzieś liste z IP do zbanowania + zablokowałem ten 77.221.133.188, zainstalowałem Joomle od nowa ale pod innym prefiksem (pliki wgrane od nowa są bez kodu), później usunąłem z bazy nowo utworzone wpisy i stary config wrzuciłem

Jak na razie wszystko ok

Dla pewności zmień jeszcze hasła dostępowe do konta FTP na jakim masz Joomle.

Temat: Prośba o pomoc-portal w Joomla zaatakowany

Przybornik

Widok

Re: Trojany

Reguły pisania