dos útok z ebitda.cz, čištění a oprava joomla 1.6.3
| ←Předchozí JComments 2.3.0 pro joomla 1.6 1.7 2.5 | přesun hostingu zencart 1.3.8 z ONEBIT na WEDOS Další→ |
|---|
ebitda.cz
joomla 1.6.3
DOS útok, zpráva od poskytovatele hostingu
z Vašeho webhostingu je právě veden dos útop proti IP 167.181.46.72. Předpokládáme, že někde na něm máte umístěné malware skripty, které fungují jako generátory záplavy UDP paketů a jsou řízeny vzdáleným botnet kontrolerem. Webhosting jste tedy odstavili do té doby, než tyto soubory odstraníte i s bezpečnostní dírou, kudy se Vám na web dostaly. Webhosting máte nyní přístupný přes FTP.
Děkujeme za pochopení, čekáme na Vaše vyjádření.
Odpověď
na FTP nalezeny podezřelé soubory změněné během posledního dne, smazal jsem tyto skripty
/administrator/templates/bluestork/error.php
/administrator/templates/bluestork/themess.php
/administrator/templates/bluestork/confgic.php
/administrator/templates/bluestork/stmdu.php
zapomněl sem si ale udělat kopie dos skriptů, a nic dalšího divného nevidím, snad až že
sem zapomněl updatovat CMS joomla.
hledal jsem na webu průnik přes template vestavěnou admin komponentu
bluestork
http://forum.joomla.org/viewtopic.php?t=737503
tady píšou o zranitelnosti ve verzi 1.6.3, kterou sem měl v provozu
ještě něco české sem nalezl
http://www.joomlaportal.cz/index.php/forum/58-z-adminova-denicku/97367-pomoc
Ale nevím jistě zda odtud (přes komponentu bluestork) sem byl kompromitován,
nicméně nic dalšího nenalezeno.
Aplikace Joomla_1.6.0_to_1.6.6-Stable-Patch_Package.zip
Ale nakonec zjištěno, že nutné upgradovat na J2.5.8, vizte hack webu domainz.cz s joomla 1.6.3
Ošetření diru images .httacess
změna hesel FTP MySQL
nasazení keycaptcha
výsledky keycaptcha
21pokusů zadat 0správně = 21pokusů možná i o průnik .
Možná se dokonce spouštel skript co byl nahraný v /administrator/templates/bluestork/ po obdržení instrukce ze fake zprávy zaslané z formuláře původně neošetřeného captcha
konec spamování skrze Joomla contact form
formulář umístěný na http://ebitda.cz/kontakt
Přesto, že máte nainstalovánu captcha aplikaci u kontaktního formuláře, neochrání vás před ručním spamováním.
NEvím na 100% zda jde z mém případě opravdu o ruční spamování, nicméně zákaz často používaných spam slov může pomoci.
V Joomle kontaktním formuláři se k zákazu slov používá funkce tzv. "banned text"
Bohužel Joomla 1.6 1.7 a 2.5 fontaktní formulář trpí chybou funkce "banned text"
[#28368] Contact form banned text (and subject and email) not functional
[FIXED]banned words in contact form blocking all words
Kdy pokud, je bannové slovo použito více než 1x je text vyhodnocen jako nezávadný, což je BUG.
oprava je naštěsí možná a je celkem snadná a je popsána v odkazu výše.
v souboru components/com_contact/models/rules/contactemailmessage.php
stačí zaměnit :
foreach(explode(';', $banned) as $item){
if (JString::stristr($item, $value) !== false)
return false;
}
na:
foreach(explode(';', $banned) as $item){
if ($item != '')
if (JString::stristr($value, $item) !== false)
return false;
}
banned words list
Bohužel se oprava tohoto bugu nedostala do J2.5.8, tak sem musel zase ručně opravovat.
Při té příležitosti, jelikož je defaultně nastaveno nepříliš dobře / univerzálně. Šířka polí v kontaktním formu se nastavuje v souboru
/components/com_contact/models/forms/contact.xml