Попросили как-то разобраться с сайтом на Joomla 1.5, постоянно взламывали его. С первого взгляда все было чисто и гладко, однако прошло буквально пару часов, как я отлучился, и на сайте уже и не осталось ни одного файла. Запросил я у хостинга логи, и стал их изучать. И вот мое внимание привлекли следующие строки:

 "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=Hash

HTTP/1.0" 200 1006 "-" "BOT/0.1 (BOT for JCE)" "-" "некий запрос формы загрузки файла"

"POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20

HTTP/1.0" 200 1211 "-" "BOT/0.1 (BOT for JCE)" "-"

 "----------020914041438643\x0D\x0AContent-Disposition: form-data;

name=\x22json\x22\x0D\x0A\x0D\x0A{\x22fn\x22:\x22folderRename\x22,\x22args\x22:[\x22/3xp.gif\x22,\x223xp.php\x22]}\x0D\x0A----------020914041438643--\x0D\x0A" 

"GET /images/stories/3xp.php 

Как видно идет подмена расширения, под картинкой идет скрипт на php, который успешно меняет расширение и оказывается в папке images/stories. 

В итоге на сайт загружался шелл, и через него велось управление сайтом. И виноватой оказалось старая версия редактора JCE, которая некорректно отфильтровывала загружаемые данные.

Поэтому стоит смотреть за актуальностью версий компонентов на сайте, особенно у которых присутствует возможность загрузки файлов - это одно из самых любимых мест хакеров.

Так как в Joomla 1.5 отсутствует проверка наличия обновления версий у компонентов, модулей и плагинов, то это придется делать вручную. Необходимо скачать новую версию, и загрузить ее через "Установить/Удалить", либо вручную заменить файлы по фтп / SSH.

Таким образом мы защитим наш сайт от потенциальной уязвимости попадания вируса.

Добавить комментарий