Dodatek Spadaj nie blokuje ataku w Joomli 1.5.26?
Wyniki 1 do 7 z 7

Temat: Dodatek Spadaj nie blokuje ataku w Joomli 1.5.26?

  1. #1
    Debiutant
    Dołączył
    02-06-2009
    Wpisy
    7
    Punkty
    10

    Domyślny Dodatek Spadaj nie blokuje ataku w Joomli 1.5.26?

    Na Joomli 1.5.26 zainstalowałem dodatek Spadaj, co prawda w logach podaje ataki i przez dwa dni po je blokował, ale z jakiegoś powodu przestał blokować. Nadal są wpisy w logu, albo nie wyłapuje niektórych ataków. Po ataku uszkodzona jest baza. Wgranie backupu przywraca funkcjonalność stronie.
    Można coś z tym zrobić?

    Na marginesie dodam, że zacząłem blokować IP w htaccess, po logach z dodatku Spadaj widzę, że się zmieniają adresy napastnika.

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Wyjadacz mac awatar
    Dołączył
    09-10-2011
    Skąd
    Warszawa
    Wpisy
    879
    Punkty
    115

    Domyślny

    A latke ostatnia do 1.5.26 wgrales?

    Piszę powoli bo z komórki...

  4. #3
    Wyga Jola awatar
    Dołączył
    08-01-2008
    Skąd
    Wrocław
    Wpisy
    3 238
    Punkty
    386

    Domyślny

    Nowa funkcjonalność powstała na skutek przeglądania logów witryny po ataku ( liczba witryn badanych = 1)
    Jak widać analiza sposobów ataków jest minimalna, dlatego w opisie dodatku prosiłam o uwagi.
    Takie logi, o których piszesz - z zaznaczeniem które ataki zostały zablokowane, a które nie - byłyby bardzo przydatne.
    Cieszę się, że moje wnioski chociaż częściowo się potwierdziły.

  5. #4
    Debiutant
    Dołączył
    02-06-2009
    Wpisy
    7
    Punkty
    10

    Domyślny

    Łatkę UploadFix15v3 wgrałem.

    Mogę przesłać logi, ale jest ich dużo i najlepiej chyba jako plik, a nie cytat. Jak je wysłać?
    Poniżej wycinek z dodatku Spadaj:
    Atak na witrynę metodą POST 2014.02.22 0:59 Z adresu: http://arper.pl/pl/home?page=shop.pr...category_id=30 IP: 91.207.4.53 Referer: Wysłane z komputera Metoda POST Agent Connection: close
    Dane post lang=>pl

    Atak na witrynę metodą POST 2014.02.22 1:12 Z adresu: http://arper.pl/pl/home?page=shop.pr...category_id=30 IP: 91.207.4.53 Referer: Wysłane z komputera Metoda POST Agent Connection: close
    Dane post lang=>pl

    Atak na witrynę metodą POST 2014.02.22 1:36 Z adresu: http://arper.pl/pl/home?page=shop.pr...category_id=30 IP: 91.207.4.53 Referer: Wysłane z komputera Metoda POST Agent Connection: close
    Dane post lang=>pl

    Atak na witrynę metodą POST 2014.02.22 2:38 Z adresu: http://arper.pl/index2.php?page=shop...on=1576&cid=20 IP: 79.125.15.193 Referer: Wysłane z komputera Metoda POST Agent BOT/0.1 (BOT for JCE) Connection: close
    Dane post json=>{\"fn\":\"folderRename\",\"args\":[\"/wawalo.gif\",\"wawalo.php\"]}

    Atak na witrynę metodą POST 2014.02.22 2:39 Z adresu: http://arper.pl/index2.php?page=shop...6d0dd595c8e20b IP: 79.125.15.193 Referer: Wysłane z komputera Metoda POST Agent BOT/0.1 (BOT for JCE) Connection: close
    Dane post upload-dir=>/
    upload-overwrite=>0
    upload-name=>wawalo
    action=>upload

  6. #5
    Wyga Jola awatar
    Dołączył
    08-01-2008
    Skąd
    Wrocław
    Wpisy
    3 238
    Punkty
    386

    Domyślny

    Moje spostrzezenia:
    1. logi spadaj świadczą i są dowodem na to, że atak zapisany w logu został zatrzymany.
    Wg załączonego fragmentu mozna wysnuć następujące wnioski:
    -atakowany był komponent sklepu VirtueMart
    - atakowany był komponent jce (na witrynie, którą analizowałam również były ataki na jce)
    - prawdopodobnie próba dodania (zmodyfikowania) plików wawalo.gif, wawalo.php
    Czy masz aktualne wersje obu komponentów?
    Przeanalizuj logi serwera - możliwe, ze włamywacz nie użył metody POST - jesli innej warto wiedzieć jakiej

  7. #6
    Debiutant
    Dołączył
    02-06-2009
    Wpisy
    7
    Punkty
    10

    Domyślny

    To z logu jest zatrzymane. ale nie wszystko udało się zatrzymać.
    Virtuemart jest nieaktualny, bo do 1.5.26 nie ma aktualnego, trzeba się przesiąść na 2.5, co też robię, ale to dużo czasu zajmuje bo witryna jest rozbudowana. W międzyczasie rozpoczęły się problemy ze starą witryną.
    JCE zaktualizowałem właśnie.
    Zastanawiam się co zrobić z Virtuemartem.
    Poniżej wklejam część logów z serwera:
    112.134.153.246 - - [22/Feb/2014:14:23:17 +0100] "GET /cs/home?page=shop.product_details&amp HTTP/1.1" 303 22 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
    112.134.153.246 - - [22/Feb/2014:14:23:18 +0100] "GET /cs/home?keyword=&category_id=&limitstart=&page=shop.b rowse HTTP/1.1" 200 4038 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
    66.249.73.39 - - [22/Feb/2014:14:23:52 +0100] "GET /pl/start HTTP/1.1" 200 4495 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
    157.55.36.46 - - [22/Feb/2014:14:24:09 +0100] "GET /pl/home?page=shop.browse&category_id=26 HTTP/1.1" 200 4120 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    121.205.212.23 - - [22/Feb/2014:14:24:48 +0100] "POST /pl/home?page=shop.product_details&flypage=flypage.tpl &product_id=148&category_id=30 HTTP/1.1" 404 - "-" "-"
    157.55.32.146 - - [22/Feb/2014:14:30:16 +0100] "GET /pl/home?page=shop.product_details&flypage=flypage.tpl &product_id=68&category_id=16 HTTP/1.1" 200 3975 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    5.39.218.37 - - [22/Feb/2014:14:32:26 +0100] "GET /administrator/index.php?option=com_login HTTP/1.1" 200 6229 "-" "Mozilla/4.0"
    5.39.218.37 - - [22/Feb/2014:14:32:26 +0100] "POST /administrator/index.php HTTP/1.1" 200 6560 "http://arper.pl/administrator/index.php?option=com_login" "Mozilla/4.0"
    202.101.147.133 - - [22/Feb/2014:14:34:05 +0100] "GET /cs/home?page=shop.product_details&flypage=flypage.tpl &product_id=148&category_id=30 HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
    202.101.147.133 - - [22/Feb/2014:14:34:06 +0100] "POST /cs/home/trackback/ HTTP/1.1" 404 - "http://www.arper.pl/cs/home?page=shop.product_details&flypage=flypage.tpl &product_id=148&category_id=30" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
    66.249.73.39 - - [22/Feb/2014:14:35:01 +0100] "GET /cs/home?category_id=18&page=shop.browse&limitstart=0& limit=25 HTTP/1.1" 200 4144 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
    36.250.244.162 - - [22/Feb/2014:14:35:57 +0100] "POST /cs/home?page=shop.product_details&flypage=flypage.tpl &product_id=148&category_id=30 HTTP/1.1" 404 - "-" "-"
    208.80.194.125 - - [22/Feb/2014:14:37:52 +0100] "GET /cs/home?page=shop.product_details HTTP/1.0" 200 181 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2) AppleWebKit/534.52.7 (KHTML, like Gecko) Version/5.1 Safari/534.50"
    208.80.194.125 - - [22/Feb/2014:14:37:52 +0100] "GET /cs/home?page=shop.product_details&flypage=flypage .tpl&product_id=148&category_id=30 HTTP/1.0" 200 4268 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.11) Gecko/20101013 Ubuntu/10.04 (lucid) Firefox/3.6.11"
    218.205.36.159 - - [22/Feb/2014:14:38:13 +0100] "GET /pl/home?page=shop.product_details&amp HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
    157.55.33.81 - - [22/Feb/2014:14:41:07 +0100] "GET /index.php/faq/60-czy-trzeba-stosowac-element-spinajcy-podestu-nagrobnego.html HTTP/1.0" 200 3866 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    5.10.83.87 - - [22/Feb/2014:14:42:13 +0100] "GET /cs/home?page=shop.product_details&product_id=132&flyp age=flypage.tpl&pop=0 HTTP/1.1" 200 4279 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
    59.57.95.150 - - [22/Feb/2014:14:46:34 +0100] "GET /pl/porady/88-winda-srednia-czy-mala HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)"
    59.57.95.150 - - [22/Feb/2014:14:46:34 +0100] "GET /cs/tipy/88-winda-srednia-czy-mala HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)"
    66.249.73.39 - - [22/Feb/2014:14:49:32 +0100] "GET /cs/home?page=shop.product_details&flypage=flypage.tpl &product_id=114&category_id=25 HTTP/1.1" 200 4172 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
    83.5.233.37 - - [22/Feb/2014:14:50:11 +0100] "GET /pl/home?page=shop.browse&category_id=36 HTTP/1.1" 200 4106 "https://www.google.pl/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36"
    83.5.233.37 - - [22/Feb/2014:14:50:12 +0100] "GET /media/plg_system_info_ciacho/css/style.css HTTP/1.1" 200 1617 "http://www.arper.pl/pl/home?page=shop.browse&category_id=36" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36"
    83.5.233.37 - - [22/Feb/2014:14:50:12 +0100] "GET /components/com_virtuemart/fetchscript.php?gzip=0&subdir[0]=/themes/default&file[0]=theme.css&subdir[1]=/js/mootools&file[1]=mooPrompt.css HTTP/1.1" 200 9943 "http://www.arper.pl/pl/home?page=shop.browse&category_id=36" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36"
    83.5.233.37 - - [22/Feb/2014:14:50:12 +0100] "GET /templates/system/css/offline.css HTTP/1.1" 200 1578 "http://www.arper.pl/pl/home?page=shop.browse&category_id=36" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36"
    83.5.233.37 - - [22/Feb/2014:14:50:12 +0100] "GET /templates/system/css/system.css HTTP/1.1" 200 1385 "http://www.arper.pl/pl/home?page=shop.browse&category_id=36" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36"
    83.5.233.37 - - [22/Feb/2014:14:50:12 +0100] "GET /components/com_virtuemart/fetchscript.php?gzip=0&subdir[0]=/themes/default&file[0]=theme.js&subdir[1]=/js&file[1]=sleight.js&subdir[2]=/js/mootools&file[2]=mootools-release-1.11.js&subdir[3]=/js/mootools&file[3]=mooPrompt.js HTTP/1.1" 200 56480 "http://www.arper.pl/pl/home?page=shop.browse&category_id=36" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36"
    83.5.233.37 - - [22/Feb/2014:14:50:12 +0100] "GET /images/joomla_logo_black.jpg HTTP/1.1" 200 7200 "http://www.arper.pl/pl/home?page=shop.browse&category_id=36" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36"
    83.5.233.37 - - [22/Feb/2014:14:50:13 +0100] "GET /favicon.ico HTTP/1.1" 404 - "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36"
    157.55.32.54 - - [22/Feb/2014:14:51:26 +0100] "GET /pl/dlaczego-arper/technologia/mazerowanie HTTP/1.0" 200 3575 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    121.205.212.23 - - [22/Feb/2014:14:54:03 +0100] "POST /pl/home?page=shop.product_details&flypage=flypage.tpl &product_id=148&category_id=30 HTTP/1.1" 404 - "-" "-"
    5.10.83.9 - - [22/Feb/2014:14:54:04 +0100] "GET /cs/home?page=shop.product_details&category_id=30&flyp age=flypage.tpl&product_id=164 HTTP/1.1" 200 4265 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
    208.115.111.68 - - [22/Feb/2014:14:54:55 +0100] "GET /cs/home?page=shop.product_details&category_id=25&flyp age=flypage.tpl&product_id=6 HTTP/1.1" 200 3933 "-" "Mozilla/5.0 (compatible; Ezooms/1.0; help@moz.com)"
    208.115.111.68 - - [22/Feb/2014:14:54:58 +0100] "GET /pl/home?page=shop.product_details&category_id=25&flyp age=flypage.tpl&product_id=1 HTTP/1.1" 200 3987 "-" "Mozilla/5.0 (compatible; Ezooms/1.0; help@moz.com)"
    36.250.244.162 - - [22/Feb/2014:14:57:06 +0100] "POST /cs/home?page=shop.product_details&flypage=flypage.tpl &product_id=148&category_id=30 HTTP/1.1" 404 - "-" "-"
    5.10.83.93 - - [22/Feb/2014:14:59:49 +0100] "GET /pl/home?page=shop.browse&category_id=10 HTTP/1.1" 200 4129 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
    66.249.73.39 - - [22/Feb/2014:15:00:17 +0100] "GET /home HTTP/1.1" 200 4879 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
    5.39.218.37 - - [22/Feb/2014:15:05:01 +0100] "GET /administrator/index.php?option=com_login HTTP/1.1" 200 6229 "-" "Mozilla/4.0"
    5.39.218.37 - - [22/Feb/2014:15:05:03 +0100] "POST /administrator/index.php HTTP/1.1" 200 6560 "http://arper.pl/administrator/index.php?option=com_login" "Mozilla/4.0"
    66.249.73.39 - - [22/Feb/2014:15:05:09 +0100] "GET /pl/home?page=shop.browse&category_id=4 HTTP/1.1" 200 4117 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
    157.55.33.110 - - [22/Feb/2014:15:05:49 +0100] "GET /pl/home?page=shop.product_details&flypage=flypage.tpl &product_id=120&category_id=25 HTTP/1.1" 200 4154 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
    117.30.32.50 - - [22/Feb/2014:15:07:27 +0100] "POST /pl/home?page=shop.product_details&flypage=flypage.tpl &product_id=148&category_id=30 HTTP/1.1" 404 - "-" "-"
    83.6.214.209 - - [22/Feb/2014:15:07:42 +0100] "GET / HTTP/1.1" 200 4855 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
    83

  8. #7
    Wyga Jola awatar
    Dołączył
    08-01-2008
    Skąd
    Wrocław
    Wpisy
    3 238
    Punkty
    386

    Domyślny

    Z powyższego logu wynika, że wszystkie zewnętrzne wywołania POST zostały zablokowane (404)
    Prawdopodobnie włamanie to linia 23, 27 - ale metoda GET
    Dodatek Spadaj za to nie odpowiada, to wina "dziurawego" rozszerzenia.
    Dlatego pozwoliłam sobie na dodanie pytajnika do tytułu wątku

Podobne tematy

  1. Dodatek "Spadaj" do Joomli 2.5
    przez hizel na forum Bezpieczeństwo
    Odpowiedzi: 12
    Ostatni post/autor: 21-02-2014, 21:02
  2. Dodatek spadaj dla Joomla 1.5
    przez mr_andre3 na forum Rozszerzenia - problemy z obsługą, zarządzaniem
    Odpowiedzi: 3
    Ostatni post/autor: 06-02-2014, 00:05
  3. Dodatek spadaj dla Joomla 1.5
    przez mr_andre3 na forum Rozszerzenia - problemy z obsługą, zarządzaniem
    Odpowiedzi: 2
    Ostatni post/autor: 05-02-2014, 23:32
  4. Dodatek Spadaj - pytania
    przez abbadona na forum Bezpieczeństwo
    Odpowiedzi: 12
    Ostatni post/autor: 25-03-2011, 14:58
  5. mxcomment blokuje MorfeoShow i nie tylko
    przez avenus na forum Artykuły: aktualności, komentarze
    Odpowiedzi: 5
    Ostatni post/autor: 28-12-2008, 12:43

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •