Home Blog webmaster hack webu domainz.cz s joomla 1.6.3

hack webu domainz.cz s joomla 1.6.3

Popis: [20120303] - Core - Privilege Escalation. Po upozornění z hostingu opveny bezpečnostní díry updatem z Joomla1.6.3 na Joomla1.6.6. Změněna hesla a zablokován hackerský účet v Joomla. šlo o hsacrew - DiE_AucH.
Klíčová slova: Hack, joomla 1.6, DiE_AucH
Hits: 1778
Hodnocení uživatelů: / 2
NejhoršíNejlepší 
Blog - webmaster
Napsal uživatel Administrator   
Neděle, 30 Prosinec 2012 00:07

domainz.cz

joomla 1.6.3

zpráva od hostingu - napadený webDiE_AucH

na základě našeho zjištění došlo k napadení vašeho webu. Pravděpodobně se útočník na váš web dostal přes bezpečnostní chybu v redakčním systému.

Důrazně doporučujeme následující:

1) Zkontrolujte si váš počítač antivirovým programem. Je možné, že jej máte zavirovaný a touto cestou mohl útočník zjistit vaše přístupové údaje k webu.

2) Změňte si všechna hesla k webům, databázím, doménám, e-mailům apod.

3) Zkontrolujte si obsah vašeho webu. Nejlépe uděláte, když obsah celého webu smažete a nahrajete jej znovu. Může se totiž stát, že na vašem webu je umístěn další skrytý škodlivý kód, o kterém nevíme.

4) Nainstalujte si poslední verzi redakčního systému s posledními bezpečnostními aktualizacemi.

Odpověď 

Hosting má pravdu. Ú točník se na web dostal bezpečnostní chybou CMS Joomla 1.6.3

byl změněn .htaccess a přidán soubor index.htm, kde vzkaz, že stránky patří "SiTe OwNeD bY DiE_AucH !!". Taková hloupost... Graficky celkem pěkné (obrázek siluety s kapucí), ale co bylo strašné to byla hudba, co se automaticky při načtení stránky přehrávla. 

 

Nalezeny tyto změněné soubory v posledním týdnu:

 419-hack-domainz-cz-zmenene-soubory

 V souboru error.php nalezena informace:

 2012-12-29    17:28:45    -    88.244.221.192    Joomla FAILURE:     Invalid password

útočník je podle IP z Turecka.

V administraci nalezen user hsacrew

 419-hack-domainz-cz-hsacrew-account

Opatření:

  • update joomla na 1.6.6
  • změna hesel FTP, MySQL a administrace Joomla
  • zablokování usera hsacrew

tato opatření shledána jako nedostatečná, bezpečnostní díra kterou se útočník dostal na web je podle všeho 

[20120303] - Core - Privilege Escalation a týká se 2.5.2, 2.5.1, 2.5.0, a všech 1.7.x and 1.6.x releases

  • hack se provádí pomocí Firefox ad-onu firebug.
  • na webu s Joomla 1.6.x, 1.7.x, 2.5.0-2 se jde na stránku s registrací, pokud není nalezena, lze ještě zkusit defaultní cestu
    http://example.com/component/users/?view=registration. Pokud není v administraci reistrace zkázána měla by ta default fungovat. Může se ale stát, že je v administraci registrace zakázána. V tom případě hack nefunguje.
  • pak při vyplňování registrace udělat záměrně jednu chybu (odzkoušel jsem s kontrolní heslo schválně jiné)
  • než potvrdíte registraci aktivujte Firebug, Zobrazte si HTML k registračnímu formuláři. A dejte upravit HTML.
  • Vložte input pole:
    <input type="text" name="jform[groups][]" value="7" />
     
    ve formu se objeví pole:    a pak dejte tlačítko (potvrdit) "registrovat".
  • JElikož jste schválně zadali jednu kontrolní hodnotu chybně, form vás bude o tom informovat a bez všimnutí zbaští vstupní pole [groups] = 7 , tj. administrator.
  • Vy tentokrát zadejte vše správně a odešlete form.
  • Dle nastavení v administraci Joomla teď přijde potvzovací email nebo ani nebude nutné, případně pokud je potvrzení na adminivi máte smůlu a hack nebude úspěšný (to má nastavené ale málo který web).
  • Potvrď potvrzovací email a můžeš se rovnou přihlásit do administrace Joomla.
  • Důrazně doporučuji Joomla aktualizovat v Administrace Joomla > Extensions > Extension Manager > Update
  • Provizorní obramnou může být vypnutí možnosti registrace a potvrzení registrace adminem. 
  • How to hack Joomla - Escalate privileges Joomla
Aktualizováno Neděle, 30 Prosinec 2012 15:00