Home Blog webmaster dos útok z ebitda.cz, čištění a oprava joomla 1.6.3

dos útok z ebitda.cz, čištění a oprava joomla 1.6.3

Popis: dos útok z ebitda.cz, čištění a oprava joomla 1.6.3. na FTP nalezeny podezřelé soubory změněné během posledního dne, smazal jsem tyto skripty. Oprava BUG [#28368] Contact form banned text (and subject and email) not functional.
Klíčová slova: dos útok, ebitda.cz, contact formm
Hits: 2575
Hodnocení uživatelů: / 0
NejhoršíNejlepší 
Blog - webmaster
Napsal uživatel Administrator   
Pátek, 14 Prosinec 2012 21:12

ebitda.cz

joomla 1.6.3 

DOS útok, zpráva od poskytovatele hostingu

 

z Vašeho webhostingu je právě veden dos útop proti IP 167.181.46.72. Předpokládáme, že někde na něm máte umístěné malware skripty, které fungují jako generátory záplavy UDP paketů a jsou řízeny vzdáleným botnet kontrolerem. Webhosting jste tedy odstavili do té doby, než tyto soubory odstraníte i s bezpečnostní dírou, kudy se Vám na web dostaly. Webhosting máte nyní přístupný přes FTP.

Děkujeme za pochopení, čekáme na Vaše vyjádření.

 

Odpověď

 

na FTP nalezeny podezřelé soubory změněné během posledního dne, smazal jsem tyto skripty

/administrator/templates/bluestork/error.php
/administrator/templates/bluestork/themess.php
/administrator/templates/bluestork/confgic.php
/administrator/templates/bluestork/stmdu.php

zapomněl sem si ale udělat kopie dos skriptů, a nic dalšího divného nevidím, snad až že 
sem zapomněl updatovat CMS joomla.


hledal jsem na webu průnik přes template vestavěnou admin komponentu
bluestork

http://forum.joomla.org/viewtopic.php?t=737503

tady píšou o zranitelnosti ve verzi 1.6.3, kterou sem měl v provozu

ještě něco české sem nalezl
http://www.joomlaportal.cz/index.php/forum/58-z-adminova-denicku/97367-pomoc


Ale nevím jistě zda odtud (přes komponentu bluestork) sem byl kompromitován,
nicméně nic dalšího nenalezeno.

Aplikace Joomla_1.6.0_to_1.6.6-Stable-Patch_Package.zip
Ale nakonec zjištěno, že nutné upgradovat na J2.5.8, vizte hack webu domainz.cz s joomla 1.6.3

Ošetření diru images .httacess

změna hesel FTP MySQL

nasazení keycaptcha

 

výsledky keycaptcha

21pokusů zadat 0správně = 21pokusů možná i o průnik .

Možná se dokonce spouštel skript co byl nahraný v /administrator/templates/bluestork/ po obdržení instrukce ze fake zprávy zaslané z formuláře původně neošetřeného captcha 

 

 415-keycaptcha-impressions

 415-keycaptcha-impressions-2012-12-14

konec spamování skrze Joomla contact form

formulář umístěný na http://ebitda.cz/kontakt

Přesto, že máte nainstalovánu captcha aplikaci u kontaktního formuláře, neochrání vás před ručním spamováním.

NEvím na 100% zda jde z mém případě opravdu o ruční spamování, nicméně zákaz často používaných spam slov může pomoci.

V Joomle kontaktním formuláři se k zákazu slov používá funkce tzv. "banned text" 

Bohužel Joomla 1.6 1.7 a 2.5 fontaktní formulář trpí chybou funkce "banned text"

[#28368] Contact form banned text (and subject and email) not functional

[FIXED]banned words in contact form blocking all words 

Kdy pokud, je bannové slovo použito více než 1x je text vyhodnocen jako nezávadný, což je BUG.

oprava je naštěsí možná a je celkem snadná a je popsána v odkazu výše.
v souboru components/com_contact/models/rules/contactemailmessage.php

stačí zaměnit :

foreach(explode(';', $banned) as $item){
if (JString::stristr($item, $value) !== false)
return false;
}

na:
foreach(explode(';', $banned) as $item){
if ($item != '')
if (JString::stristr($value, $item) !== false)
return false;
 }

banned words list 

formulář na kontolu textu 

příklad banned words 

415-configure-com contact

Bohužel se oprava tohoto bugu nedostala do J2.5.8, tak sem musel zase ručně opravovat.

Při té příležitosti, jelikož je defaultně nastaveno nepříliš dobře / univerzálně. Šířka polí v kontaktním formu se nastavuje v souboru
/components/com_contact/models/forms/contact.xml

 

 

Aktualizováno Neděle, 30 Prosinec 2012 23:59