Инфо Критическое обновление Joomla! 3.4.6 - 3.4.8 Released - security release

Статус
В этой теме нельзя размещать новые ответы.

Genk0

Хранитель порядка
Регистрация
2 Июн 2010
Сообщения
3.095
Реакции
1.405
Всем обновляться до 3.4.6
Для просмотра ссылки Войди или Зарегистрируйся
-----------
Для просмотра ссылки Войди или Зарегистрируйся

Разработчики свободной системы управления web-контентом Joomla опубликовали экстренное обновление 3.4.6, в котором устранена критическая уязвимость, позволяющая выполнить произвольный PHP-код на сервере. Проблема усугубляется тем, что она уже активно эксплуатируется злоумышленниками и исправлена после выявления массовой вредоносной активности на сайтах под управлением Joomla. Всем пользователям Joomla рекомендуется незамедлительно установить обновление (Для просмотра ссылки Войди или Зарегистрируйся для уже не поддерживаемых версий) и провести полный аудит своих систем.

По данным компании Sucuri в сети зафиксирована интенсивная автоматизированная атака, нацеленная на поражение систем, подверженных указанной уязвимости. После запуска нескольких подставных honeypot-систем, в течение дня на всех из них было зафиксировано более сотни попыток проникновения, поэтому после обновления следует обязательно проанализировать систему на предмет возможного проникновения атакующих. Очень высока вероятность, что система, использующая CMS Joomla, уже находится под контролем злоумышленников. Уязвимость начала активно эксплуатироваться как минимум за два дня до выхода исправления.

Проблема проявляется начиная с версии Joomla 1.5.0, выпущенной восемь лет назад, и вызвана отсутствием чистки значения строки с идентификатором браузера (User Agent), перед записью в СУБД. Для атаки достаточно отправить запрос к сайту на базе Joomla c определённым образом установленным значением User Agent. В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.

Скрытое содержимое доступно для зарегистрированных пользователей!
 
Я полагаю что разработчики специально забыли поставить заплатку в новой версии, так как об этом баге им было извесно еще с версии 1.5
С помощью такой уязвимости можно создать целую армию для dos атак.
194.28.174.106 --- Ukraine, Vinnitsa Khmelnytske shose str 112-A
Пока это 194.28.174.106 не находил у себя в логах, стоит джумла 2.5
Надеюсь на джумле 2.5 эта дыра закрыта.
 
Я полагаю что разработчики специально забыли поставить заплатку в новой версии, так как об этом баге им было извесно еще с версии 1.5
С помощью такой уязвимости можно создать целую армию для dos атак.
194.28.174.106 --- Ukraine, Vinnitsa Khmelnytske shose str 112-A
Пока это 194.28.174.106 не находил у себя в логах, стоит джумла 2.5
Надеюсь на джумле 2.5 эта дыра закрыта.
научись читать внимательно.
 
я понял из 1-го поста как защитится, но меня заразили ещё до того, как я установил фикс.
Как теперь эту заразу вывести, в 1 посте, к сожалению, не написано.
 
я понял из 1-го поста как защитится, но меня заразили ещё до того, как я установил фикс.
Как теперь эту заразу вывести, в 1 посте, к сожалению, не написано.
1. сделать откат на вчерашнюю дату - у хостера по любому есть бэкапы.
2. Проанализировать весь сайт на наличие вредоносного кода
3. пройтись вручную по разделам и выявить наличие новых или измененных файлов с сегодняшней/вчерашней датой.
Любой из 3 вариантов. По 2 варианту - гугл в помощь - тьма статей
 
  • Нравится
Реакции: ggnk
Удивительно, но на одном сайте изменений в файлах сайта после атаки не было, по фильтру даты только в папке cache были новые файлы за последние 4 дня. В базе mysql не копался, просто перезалил более раннюю + пароли на бд и ftp поменял, которые могли быть считаны из файла конфигурации.
Антивирус на хосте тоже не обнаружил ничего подозрительного.
Паниковал зря :)
 
В качестве достаточного условия выявления атаки по логу, упоминается наличие запросов с IP-адресов 146.0.72.83, 74.3.170.33 и 194.28.174.106. Признаком атаки также может быть наличие в логах идентификаторов браузера (User Agent), подпадающих под маски "JDatabaseDriverMysqli" и "O:". Если подобные запросы присутствуют в логе, то можно считать систему поражённой злоумышленниками.
Как проще всего проверить наличие/отсутствие заражения? Просто искать все перечисленные ip в логах? Может существует более простой способ? И вообще стоит ли перепроверять, если нет видимых причин для беспокойства?
 
Как проще всего проверить наличие/отсутствие заражения? Просто искать все перечисленные ip в логах? Может существует более простой способ? И вообще стоит ли перепроверять, если нет видимых причин для беспокойства?
1. Ставим фикс Для просмотра ссылки Войди или Зарегистрируйся или обновляемся до 3.4.6
2. Меняем пароль к админке и фтп (если был указан в конфиге)
3. Качаем архив сайта и проверяем вирустоталами и прочим или ставим что то типа айболита Для просмотра ссылки Войди или Зарегистрируйся и проверяем на вредоносный код.
Все! 3 простых действия!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху