Wlamanie na Joomla! 1.0.7 Stable [ Sunburst ]

[likom]

witam, no niestety przed chwila hakerzy w turcji wlamali sie na moja www, na szczescie podmienili tylko plik index.php, juz z backupa ten plik wrzucilem. mam wersje joomli Joomla! 1.0.7 Stable [ Sunburst ] wykorzystali jakas luke w tej wersji joomli? moze mi ktos polecic jakies latki/patche na ta wersje? pozdrawiam

[szuman]

Ja tez mialem wlamanie wieczorem, kolo 22  Tureccy hackerzy szaleja... U mnie wykorzystali luke w Simpleboard. Sprawdz sobie w katalogu /modules/ czy nie masz pliku haluk.php :> U mnie wgrali ten plik na serwer i byly to boczne drzwi do katalogow: wystarczylo wpisac adres.strony/modules/haluk.php i bez zadnych hasel byla udostepniona cala zawartosc serwera. W pierwszej kolejnosci usunalem ten plik i na wszelki wypadek (nie chcialo mi sie sprawdzac pliku za plikiem) poprosilem admina o przywrocenie kopi plikow sprzed doby... Zrobilem upgrade do 1.0.10 i juz po wszystkim strasznie mi strona w panelu admina muliła, a pozostale strony na tym samym serwie, na Joomla, w subdomenach smigaly pieknie. Przejrzalem logi i znowu chu*e grzebali - to samo co poprzednio: pakowali mi jakies pliki na serwer przez forum  Wrzucilem latki na SB, ale jeden plik wywala mi blad i nie wiem o co chodzi...

[likom]

u mnie tez zostawili haluk.php ;/ wlasnie go wywalilem... zaraz wrzuce backupa. to mowissz ze ktora luke wykorzystali? czyli mieli wglad w hasla serwera?

[szuman]

Wykorzystali luke w forum Simpleboard: katalog components/com_simpleboard i pliki image_upload.php i file_upload.php (czyli funkcje wysylania obrazkow i plikow) - to jest ten slaby punkt. Wlasnie te dwa pliki bezposrednio uruchomili, aby zalaladowac swoje gow*o na serwer. Znalazlem to w loagch a pozniej potwierdzilo sie gdy czytalem o tym na jakims anglojezycznym forum Joomla. Oprocz haluk.php zostawiaja jeszcze web.php w tym samym katalogu i gdzies jeszcze dwa albo 3 inne pliki - dlatgo najlepiej zrobic full backupa usunac wszystko co do jednego pliku i zaladowac z kopii.

Co do hasel to nie wiem dokladnie o ktore ci chodzi: haslo logowania sie do twojego konta na serwerze nie bylo potrzebne, bo zastepowal je ten backoor i bez hasel w kazdej chwii mogli dobrac sie do plikow. Haslo do bazy jest w configuration.php a wszystkie inne hasla sa zakodowane w bazie danych.

[likom]

Wykorzystali luke w forum Simpleboard: katalog components/com_simpleboard i pliki image_upload.php i file_upload.php (czyli funkcje wysylania obrazkow i plikow) - to jest ten slaby punkt. Wlasnie te dwa pliki bezposrednio uruchomili, aby zalaladowac swoje gow*o na serwer. Znalazlem to w loagch a pozniej potwierdzilo sie gdy czytalem o tym na jakims anglojezycznym forum Joomla. Oprocz haluk.php zostawiaja jeszcze web.php w tym samym katalogu i gdzies jeszcze dwa albo 3 inne pliki - dlatgo najlepiej zrobic full backupa usunac wszystko co do jednego pliku i zaladowac z kopii.

Co do hasel to nie wiem dokladnie o ktore ci chodzi: haslo logowania sie do twojego konta na serwerze nie bylo potrzebne, bo zastepowal je ten backoor i bez hasel w kazdej chwii mogli dobrac sie do plikow. Haslo do bazy jest w configuration.php a wszystkie inne hasla sa zakodowane w bazie danych.

no wlasnie motyw  jest taki ze... znalazlem haluk.php , wywalilem go i zrobilem backupa, i po backupie znalazlem jeszcze w plikach web.php ! usunalem go... ale teraz skad mam wiedziec ze jeszcze czegos tam nie ma ? jakie inne pliki jeszcze mogli wrzucic ? jest jakis skaner na tego rodzaju backdoory ? pozdro

[szuman]

Niestety nie znam zadnego skanera, ktory wylapuje backdoory, ale najlepiej to usunac cala zawartosc serwera i wgrac pozniej kopie zapasowa sprzed np. kilkunastu godzin przed atakiem. Firmy hostingowe z automatu robia takie kopie raz albo dwa razy w tygodniu wiec z adminem trzeba pogadac  Atak na moja strone trwal cos kolo godziny - pierwszy slad w logach wlasnie na godzine przed atakiem, a pozniej to juz upload z kilku serwerow. '

Kurde, znalezc nie moge tego :/ Trafilem rano na jakis Topic na angielskim forum i byla tam mowa o identycznych atakach jak w naszym przypadku, i oprocz haluk.php i web.php byly jeszcze chyba dwa albo trzy pliki, ale za ciula nie moge odnalezc tego tematu :/ Najlepiej zrob jak ja wczoraj: wywal wszystko co masz na serwerze i niech ci admin przywroci z kopii, chyba ze chce ci sie szukac tego tematu, w ktorym jest wiecej o tym ataku.

[likom]

czyli jak wylacze opcje w simpleboard wysylania plikow to juz mi ten atak nie grozi?

[szuman]

Nadal ci grozi, bo nawet jak nie uzywasz SB, a masz je na serwrze, to jestes zagrozony. Atakujacy odpala bezposrednio pliki file_upload.php i image_upload.php wiec jedynym wyjsciem wydaje sie usuniecie ich z serwera. Probowalem tak i po probie zaladowania obrazka lub pliku wywala 3 linie bledu, ale post jest zapisywany i ogolnie wszystko dziala

[likom]

ok tu jest caly opis luki: http://forum.joomla.org/index.php/topic,76551.0.html

nie wiem, ale z tego postu wnioskuje ze w kazdym pliku *.php powinna byc linijka: defined( '_VALID_MOS' ) or die( 'Restricted access' ); , ja w niektorych mam tylko: defined( '_VALID_MOS' )


a ma ktos moze to samo po polsku ? ;/


============18.07.2006 02:07===================


ok usunalem file_upload.php i image_upload.php  i zastanawiam sie czy avatar_upload.php tez jets zagrozeniem? po usunieciu tych 2 plikow nie pokazuje mi zadnego bledu podczas pisania nowych postow, i wylaczylem mozliwosc dodawania obrazzkow i plikow przez uzytkownikow do nowych postow. co myslicie teraz bedzie ok ?

[enjoy777]

defined( '_VALID_MOS' ) or die( 'Restricted access' ); , ja w niektorych mam tylko: defined( '_VALID_MOS' )

a ma ktos moze to samo po polsku ? ;/

Tu nie ma byc co po polsku, po prostu linijka ktora sprawdza czy dany plik jest wywolywany z poziomu joomla czy inaczej jak nie jest z joomla to blokuje dostep do niego.

[ORLONnet]

Trochê siê zamieszanie zrobi³o wokó³ joomla (dokladnie to jego komponentow) w ostatnim czasie
wykryto od pi±tku 4 dziury o znaczeniu krytycznym, no i 3 pozostaja wciaz nieza³atane
oj, oj, aktualizowaæ mo¶ci Pañstwo, AKTUALIZOWAC czym predzej

[likom]

czu usniecie plikow file_upload.php i image_upload.php zalatwi problem z przyszlym wykorzystaniem tej dziury do wlamania ?

[ORLONnet]

tej dziury zapewne tak
jest jednak jeszcze sporo tych nienaprawionych
wszystko zalezy jakich komponentow uzywasz
w chwili obecnej zwrocic nalezy szczegolna uwage na:

extCalender
OpenSEF
phpBB Forum (com_forum)
SimpleBoard Forum
VideoDB
Mambo-SMF Forum
LoudMouth
PollXT
HashCash
perForms
Google Page Rank Module
BSQ SiteStats
MultiBanners
MiniBB
New Article Component
Advanced Poll
JomBok
ArtLinks
PCCookBook
Mambo/Joomla SiteMap (Custom Component)
Galleria
com_spray

dla co bardziej obeznanych z jezykiem Hamleta wizyta tu:
http://forum.joomla.org/index.php/board,267.0.html
powinna okazac sie bardzo owocna

Pozdrawiam

PS. Spokoj, tylko spokoj nas ratuje

[szuman]

Code: Select all

defined( '_VALID_MOS' ) or die( 'Restricted access' );

mozna dodac do wszystkich plikow, ktore moga zagrazac bezpieczenstwu - taka profilaktyka przed pojawieniem sie latek. Co do ostatnich wlaman, to nie wiem, czy ci hackerzy na jakims forum wypisuja zhackowane strony, ale codziennie ktos probuje odpalic u mnie ten nieszczesny haluk.php :/ Sa takze proby ponownego wlamu, jednak file_upload.php i image_upload.php juz na moim serwerze nie istnieja :P Jakiez musi byc zdziwienie tych Turków, kiedy zauwazaja, ze nie ma przez co wpakowac swoich smieci  A jeszcze wieksze bedzie ich zdziwienie, gdy spreparuje specjalna strona z "dedykacja" dla nich i zrobie na nia przekierowanie takie, jak sciezka do "haluka" 


btw. Zarabiscie wyglada to w logach: linijka, w ktorej jak byk widnieje "modules/haluk.php" a zaraz pod nia linijka z bledem "404"