Как я писал в новости "Критическое обновление безопасности Joomla 3.4.5" была найдена серьезная уязвимость.

До недавних пор джумла 3 обеспечивала достаточный уровень безопасности сайтов. Однако с появившейся SQL-уязвимостью, позволяющей перехватить администраторскую сессию, ситуация изменилась в корне. Раньше взломанный сайт на Joomla 3 был редкостью, в основном то были старые версии Joomla 1.5 и 2.5

Уязвимости под номерами CVE-2015-7297, CVE-2015-7857, CVE-2015-7858 подвергнули многие сайт на Joomla 3, которые еще не успели обновиться до 3.4.5

Итак, в чем же заключается атака хакеров? Я не буду здесь приводить сами уязвимые участки кода, скажу только что уязвимость заключается в SQL инъекции в компоненте com_contenthistory.

В логах взломанных сайтов легко найти следующие запросы:

index.php?option=com_contenthistory&view=history&list[select]="Здесь SQL инъекция"

Возникает вопрос, а как нам доступ к базе данных поможет, если все пароли надёжно зашифрованы. Всё дело в том, что по умолчанию Joomla хранит сессии пользователей в БД. В итоге при помощи нехитрых манипуляций злоумышленник узнает ид администраторов, после этого делается запрос о текущей сессии по данному ид. В итоге подменяя сессию мы можем зайти в админку (если вы только не воспользовались моими советами и не защитили админку Joomla от посторонних посетителей)  даже не знаю пароля.

Стандартная схема дальше - загрузка вирусов через установку расширений, к примеру модуля. После того, как шелл попал на сайт, напичкать вирусами злоумышленникам не составит труда.

 Поэтому советую всем, кто ещё не обновил свою версию джумлы, сделать это как можно скорее! И обязательно сделайте минимальные настройки по защите сайта от попадания вирусов!

 

Добавить комментарий