1. Уважаемые пользователи, прежде чем ответить в теме или создать новую,
    внимательно ознакомьтесь с правилами раздела

    Кому лень работать или руки не оттуда - пользуйтесь услугами специалистов
  2. Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.."

    Есть JED!!! Ищите там!!!

Инфо Критическое обновление Joomla! 3.4.6 - 3.4.8 Released - security release

Тема в разделе "Joomla", создана пользователем Genk0, 15 дек 2015.

Информация :
  • Уважаемые пользователи, прежде чем ответить в теме или создать новую, внимательно ознакомьтесь с правилами раздела
  • Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.." Есть JED!!! Ищите там!!!
  • Аналоги ищите там же - на JED!!!
  • Новая версия? - У кого будет - тот выложит!
Статус темы:
Закрыта.
Модераторы: arman29, DMS, Genk0
  1. Genk0

    Genk0 Инквизитор из раздела J!

    Moderator
    Регистр.:
    2 июн 2010
    Сообщения:
    1.627
    Симпатии:
    1.329
    Всем обновляться до 3.4.6
    https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html
    -----------
    http://www.opennet.ru/opennews/art.shtml?num=43521

    Разработчики свободной системы управления web-контентом Joomla опубликовали экстренное обновление 3.4.6, в котором устранена критическая уязвимость, позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируется злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla. Всем пользователям Joomla рекомендуется незамедлительно установить обновление (патчи для уже не поддерживаемых версий) и провести полный аудит своих систем.

    По данным компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.

    Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.

     
  2. MarioN

    MarioN Создатель

    Регистр.:
    29 ноя 2015
    Сообщения:
    17
    Симпатии:
    11
    Я полагаю что разработчики специально забыли поставить заплатку в новой версии, так как об этом баге им было извесно еще с версии 1.5
    С помощью такой уязвимости можно создать целую армию для dos атак.
    194.28.174.106 --- Ukraine, Vinnitsa Khmelnytske shose str 112-A
    Пока это 194.28.174.106 не находил у себя в логах, стоит джумла 2.5
    Надеюсь на джумле 2.5 эта дыра закрыта.
     
  3. Genk0

    Genk0 Инквизитор из раздела J!

    Moderator
    Регистр.:
    2 июн 2010
    Сообщения:
    1.627
    Симпатии:
    1.329
    научись читать внимательно.
     
  4. MarioN

    MarioN Создатель

    Регистр.:
    29 ноя 2015
    Сообщения:
    17
    Симпатии:
    11
    Подскажите как закрыть дыру в джумле 2.5 ?
     
  5. Genk0

    Genk0 Инквизитор из раздела J!

    Moderator
    Регистр.:
    2 июн 2010
    Сообщения:
    1.627
    Симпатии:
    1.329
    А почитать по ссылке в 1 сообщении? там всеее написано
    https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions - как фиксить от 1.5 версии
     
  6. ggnk

    ggnk

    Регистр.:
    30 ноя 2008
    Сообщения:
    224
    Симпатии:
    20
    я понял из 1-го поста как защитится, но меня заразили ещё до того, как я установил фикс.
    Как теперь эту заразу вывести, в 1 посте, к сожалению, не написано.
     
  7. Genk0

    Genk0 Инквизитор из раздела J!

    Moderator
    Регистр.:
    2 июн 2010
    Сообщения:
    1.627
    Симпатии:
    1.329
    1. сделать откат на вчерашнюю дату - у хостера по любому есть бэкапы.
    2. Проанализировать весь сайт на наличие вредоносного кода
    3. пройтись вручную по разделам и выявить наличие новых или измененных файлов с сегодняшней/вчерашней датой.
    Любой из 3 вариантов. По 2 варианту - гугл в помощь - тьма статей
     
    ggnk нравится это.
  8. ggnk

    ggnk

    Регистр.:
    30 ноя 2008
    Сообщения:
    224
    Симпатии:
    20
    Удивительно, но на одном сайте изменений в файлах сайта после атаки не было, по фильтру даты только в папке cache были новые файлы за последние 4 дня. В базе mysql не копался, просто перезалил более раннюю + пароли на бд и ftp поменял, которые могли быть считаны из файла конфигурации.
    Антивирус на хосте тоже не обнаружил ничего подозрительного.
    Паниковал зря :)
     
  9. jur

    jur Создатель

    Регистр.:
    17 июн 2013
    Сообщения:
    33
    Симпатии:
    5
    Как проще всего проверить наличие/отсутствие заражения? Просто искать все перечисленные ip в логах? Может существует более простой способ? И вообще стоит ли перепроверять, если нет видимых причин для беспокойства?
     
  10. Genk0

    Genk0 Инквизитор из раздела J!

    Moderator
    Регистр.:
    2 июн 2010
    Сообщения:
    1.627
    Симпатии:
    1.329
    1. Ставим фикс https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions или обновляемся до 3.4.6
    2. Меняем пароль к админке и фтп (если был указан в конфиге)
    3. Качаем архив сайта и проверяем вирустоталами и прочим или ставим что то типа айболита https://revisium.com/ai/ и проверяем на вредоносный код.
    Все! 3 простых действия!
     
    dimabik и jur нравится это.
Статус темы:
Закрыта.