Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Locked
likom
Joomla! Intern
Joomla! Intern
Posts: 53
Joined: Sat Jan 14, 2006 7:05 pm

Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by likom » Sun Jul 16, 2006 8:55 pm

witam, no niestety przed chwila hakerzy w turcji wlamali sie na moja www, na szczescie podmienili tylko plik index.php, juz z backupa ten plik wrzucilem. mam wersje joomli Joomla! 1.0.7 Stable [ Sunburst ] wykorzystali jakas luke w tej wersji joomli? moze mi ktos polecic jakies latki/patche na ta wersje? pozdrawiam

User avatar
szuman
Joomla! Intern
Joomla! Intern
Posts: 90
Joined: Sat Feb 04, 2006 3:09 pm
Location: Poland/Debica
Contact:

Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by szuman » Mon Jul 17, 2006 2:48 am

Ja tez mialem wlamanie wieczorem, kolo 22  >:( Tureccy hackerzy szaleja... U mnie wykorzystali luke w Simpleboard. Sprawdz sobie w katalogu /modules/ czy nie masz pliku haluk.php :> U mnie wgrali ten plik na serwer i byly to boczne drzwi do katalogow: wystarczylo wpisac adres.strony/modules/haluk.php i bez zadnych hasel byla udostepniona cala zawartosc serwera. W pierwszej kolejnosci usunalem ten plik i na wszelki wypadek (nie chcialo mi sie sprawdzac pliku za plikiem) poprosilem admina o przywrocenie kopi plikow sprzed doby... Zrobilem upgrade do 1.0.10 i juz po wszystkim strasznie mi strona w panelu admina muliła, a pozostale strony na tym samym serwie, na Joomla, w subdomenach smigaly pieknie. Przejrzalem logi i znowu chu*e grzebali - to samo co poprzednio: pakowali mi jakies pliki na serwer przez forum  :( Wrzucilem latki na SB, ale jeden plik wywala mi blad i nie wiem o co chodzi...

likom
Joomla! Intern
Joomla! Intern
Posts: 53
Joined: Sat Jan 14, 2006 7:05 pm

Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by likom » Mon Jul 17, 2006 9:28 am

u mnie tez zostawili haluk.php ;/ wlasnie go wywalilem... zaraz wrzuce backupa. to mowissz ze ktora luke wykorzystali? czyli mieli wglad w hasla serwera?

User avatar
szuman
Joomla! Intern
Joomla! Intern
Posts: 90
Joined: Sat Feb 04, 2006 3:09 pm
Location: Poland/Debica
Contact:

Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by szuman » Mon Jul 17, 2006 1:54 pm

Wykorzystali luke w forum Simpleboard: katalog components/com_simpleboard i pliki image_upload.php i file_upload.php (czyli funkcje wysylania obrazkow i plikow) - to jest ten slaby punkt. Wlasnie te dwa pliki bezposrednio uruchomili, aby zalaladowac swoje gow*o na serwer. Znalazlem to w loagch a pozniej potwierdzilo sie gdy czytalem o tym na jakims anglojezycznym forum Joomla. Oprocz haluk.php zostawiaja jeszcze web.php w tym samym katalogu i gdzies jeszcze dwa albo 3 inne pliki - dlatgo najlepiej zrobic full backupa usunac wszystko co do jednego pliku i zaladowac z kopii.

Co do hasel to nie wiem dokladnie o ktore ci chodzi: haslo logowania sie do twojego konta na serwerze nie bylo potrzebne, bo zastepowal je ten backoor i bez hasel w kazdej chwii mogli dobrac sie do plikow. Haslo do bazy jest w configuration.php a wszystkie inne hasla sa zakodowane w bazie danych.

likom
Joomla! Intern
Joomla! Intern
Posts: 53
Joined: Sat Jan 14, 2006 7:05 pm

Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by likom » Mon Jul 17, 2006 2:32 pm

szuman wrote: Wykorzystali luke w forum Simpleboard: katalog components/com_simpleboard i pliki image_upload.php i file_upload.php (czyli funkcje wysylania obrazkow i plikow) - to jest ten slaby punkt. Wlasnie te dwa pliki bezposrednio uruchomili, aby zalaladowac swoje gow*o na serwer. Znalazlem to w loagch a pozniej potwierdzilo sie gdy czytalem o tym na jakims anglojezycznym forum Joomla. Oprocz haluk.php zostawiaja jeszcze web.php w tym samym katalogu i gdzies jeszcze dwa albo 3 inne pliki - dlatgo najlepiej zrobic full backupa usunac wszystko co do jednego pliku i zaladowac z kopii.

Co do hasel to nie wiem dokladnie o ktore ci chodzi: haslo logowania sie do twojego konta na serwerze nie bylo potrzebne, bo zastepowal je ten backoor i bez hasel w kazdej chwii mogli dobrac sie do plikow. Haslo do bazy jest w configuration.php a wszystkie inne hasla sa zakodowane w bazie danych.
no wlasnie motyw  jest taki ze... znalazlem haluk.php , wywalilem go i zrobilem backupa, i po backupie znalazlem jeszcze w plikach web.php ! usunalem go... ale teraz skad mam wiedziec ze jeszcze czegos tam nie ma ? jakie inne pliki jeszcze mogli wrzucic ? jest jakis skaner na tego rodzaju backdoory ? pozdro

User avatar
szuman
Joomla! Intern
Joomla! Intern
Posts: 90
Joined: Sat Feb 04, 2006 3:09 pm
Location: Poland/Debica
Contact:

Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by szuman » Mon Jul 17, 2006 2:54 pm

Niestety nie znam zadnego skanera, ktory wylapuje backdoory, ale najlepiej to usunac cala zawartosc serwera i wgrac pozniej kopie zapasowa sprzed np. kilkunastu godzin przed atakiem. Firmy hostingowe z automatu robia takie kopie raz albo dwa razy w tygodniu wiec z adminem trzeba pogadac  ;) Atak na moja strone trwal cos kolo godziny - pierwszy slad w logach wlasnie na godzine przed atakiem, a pozniej to juz upload z kilku serwerow. '

Kurde, znalezc nie moge tego :/ Trafilem rano na jakis Topic na angielskim forum i byla tam mowa o identycznych atakach jak w naszym przypadku, i oprocz haluk.php i web.php byly jeszcze chyba dwa albo trzy pliki, ale za ciula nie moge odnalezc tego tematu :/ Najlepiej zrob jak ja wczoraj: wywal wszystko co masz na serwerze i niech ci admin przywroci z kopii, chyba ze chce ci sie szukac tego tematu, w ktorym jest wiecej o tym ataku.

likom
Joomla! Intern
Joomla! Intern
Posts: 53
Joined: Sat Jan 14, 2006 7:05 pm

Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by likom » Mon Jul 17, 2006 3:11 pm

czyli jak wylacze opcje w simpleboard wysylania plikow to juz mi ten atak nie grozi?

User avatar
szuman
Joomla! Intern
Joomla! Intern
Posts: 90
Joined: Sat Feb 04, 2006 3:09 pm
Location: Poland/Debica
Contact:

Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by szuman » Mon Jul 17, 2006 3:17 pm

Nadal ci grozi, bo nawet jak nie uzywasz SB, a masz je na serwrze, to jestes zagrozony. Atakujacy odpala bezposrednio pliki file_upload.php i image_upload.php wiec jedynym wyjsciem wydaje sie usuniecie ich z serwera. Probowalem tak i po probie zaladowania obrazka lub pliku wywala 3 linie bledu, ale post jest zapisywany i ogolnie wszystko dziala

likom
Joomla! Intern
Joomla! Intern
Posts: 53
Joined: Sat Jan 14, 2006 7:05 pm

Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by likom » Mon Jul 17, 2006 3:42 pm

ok tu jest caly opis luki: http://forum.joomla.org/index.php/topic,76551.0.html

nie wiem, ale z tego postu wnioskuje ze w kazdym pliku *.php powinna byc linijka: defined( '_VALID_MOS' ) or die( 'Restricted access' ); , ja w niektorych mam tylko: defined( '_VALID_MOS' )


a ma ktos moze to samo po polsku ? ;/


============18.07.2006 02:07===================


ok usunalem file_upload.php i image_upload.php  i zastanawiam sie czy avatar_upload.php tez jets zagrozeniem? po usunieciu tych 2 plikow nie pokazuje mi zadnego bledu podczas pisania nowych postow, i wylaczylem mozliwosc dodawania obrazzkow i plikow przez uzytkownikow do nowych postow. co myslicie teraz bedzie ok ?
Last edited by likom on Tue Jul 18, 2006 12:09 am, edited 1 time in total.

User avatar
enjoy777
Joomla! Guru
Joomla! Guru
Posts: 554
Joined: Thu Aug 18, 2005 7:02 am
Location: Wroclaw, Poland

Odp: Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by enjoy777 » Tue Jul 18, 2006 12:19 pm

likom wrote: defined( '_VALID_MOS' ) or die( 'Restricted access' ); , ja w niektorych mam tylko: defined( '_VALID_MOS' )

a ma ktos moze to samo po polsku ? ;/
Tu nie ma byc co po polsku, po prostu linijka ktora sprawdza czy dany plik jest wywolywany z poziomu joomla czy inaczej jak nie jest z joomla to blokuje dostep do niego.

User avatar
ORLONnet
Joomla! Explorer
Joomla! Explorer
Posts: 307
Joined: Fri Aug 19, 2005 5:15 am
Location: Poland
Contact:

Odp: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by ORLONnet » Tue Jul 18, 2006 12:41 pm

Trochê siê zamieszanie zrobi³o wokó³ joomla (dokladnie to jego komponentow) w ostatnim czasie
wykryto od pi±tku 4 dziury o znaczeniu krytycznym, no i 3 pozostaja wciaz nieza³atane :(
oj, oj, aktualizowaæ mo¶ci Pañstwo, AKTUALIZOWAC czym predzej ;)
Norbert
ORLON.net

likom
Joomla! Intern
Joomla! Intern
Posts: 53
Joined: Sat Jan 14, 2006 7:05 pm

Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by likom » Tue Jul 18, 2006 6:11 pm

czu usniecie plikow file_upload.php i image_upload.php zalatwi problem z przyszlym wykorzystaniem tej dziury do wlamania ?

User avatar
ORLONnet
Joomla! Explorer
Joomla! Explorer
Posts: 307
Joined: Fri Aug 19, 2005 5:15 am
Location: Poland
Contact:

Odp: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by ORLONnet » Tue Jul 18, 2006 8:17 pm

tej dziury zapewne tak ;)
jest jednak jeszcze sporo tych nienaprawionych
wszystko zalezy jakich komponentow uzywasz
w chwili obecnej zwrocic nalezy szczegolna uwage na:

extCalender
OpenSEF
phpBB Forum (com_forum)
SimpleBoard Forum
VideoDB
Mambo-SMF Forum
LoudMouth
PollXT
HashCash
perForms
Google Page Rank Module
BSQ SiteStats
MultiBanners
MiniBB
New Article Component
Advanced Poll
JomBok
ArtLinks
PCCookBook
Mambo/Joomla SiteMap (Custom Component)
Galleria
com_spray

dla co bardziej obeznanych z jezykiem Hamleta wizyta tu:
http://forum.joomla.org/index.php/board,267.0.html
powinna okazac sie bardzo owocna

Pozdrawiam

PS. Spokoj, tylko spokoj nas ratuje ;)
Norbert
ORLON.net

User avatar
szuman
Joomla! Intern
Joomla! Intern
Posts: 90
Joined: Sat Feb 04, 2006 3:09 pm
Location: Poland/Debica
Contact:

Re: Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

Post by szuman » Fri Jul 21, 2006 6:32 pm

Code: Select all

defined( '_VALID_MOS' ) or die( 'Restricted access' );
mozna dodac do wszystkich plikow, ktore moga zagrazac bezpieczenstwu - taka profilaktyka przed pojawieniem sie latek. Co do ostatnich wlaman, to nie wiem, czy ci hackerzy na jakims forum wypisuja zhackowane strony, ale codziennie ktos probuje odpalic u mnie ten nieszczesny haluk.php :/ Sa takze proby ponownego wlamu, jednak file_upload.php i image_upload.php juz na moim serwerze nie istnieja :P Jakiez musi byc zdziwienie tych Turków, kiedy zauwazaja, ze nie ma przez co wpakowac swoich smieci  8) A jeszcze wieksze bedzie ich zdziwienie, gdy spreparuje specjalna strona z "dedykacja" dla nich i zrobie na nia przekierowanie takie, jak sciezka do "haluka"  8)


btw. Zarabiscie wyglada to w logach: linijka, w ktorej jak byk widnieje "modules/haluk.php" a zaraz pod nia linijka z bledem "404"  :laugh:


Locked

Return to “Instalacja i aktualizacja”