Přihlásit se

Joomla 5.0.3 a 4.4.3 bezpečnostní aktualizace (02 dub 2024)

Joomla 5.0.3 a 4.4.3 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 4.x. a 5.x.

funkce eval()

17. bře 2016 10:26 #126292
Odpověď od Cony
Moderátor

ernst napsal: Jsou editory, které umí procházet soubory ve více adresářích a nahrazovat text (např. phpDesigner), ale je otázkou, zda je to ta správná cesta

To je dnes již k ničemu. Kde jsou ty časy, kdy stačilo dát jednoduše vyhledat eval, a bylo hotovo. Dnes ty napadení různě funkce maskují pomocí sčítání řetězců, base64 enkódování apod.

Pokud nechcete dělat kompletně čistou instalaci (a je to opravdu možná nejlepší) musíte zajistit
1/ opravu napadených souborů - relativně jednoduše - prostě přepsat všechny souboru z posledního instalačního balíčku Joomly. Pozor ale na další rozšíření, ideálně přeinstalovat všechny rozšířní, tak aby si znovu přepsala své soubory

2/ odstranit soubory které jsou navíc - a to je už složitější. Začít můžete kompletním smazaním obsahu cache - tím nic nezkazíte, potom např. ve složce images by neměl být žádný soubor php, tedy pokud máte web rozumně navržen, obsah libraries také bývá oblíbeným cílem útoku - to můžete porovnat s obsahem z instalace (např. total commander na to má skvělý nástroj "Synchronizace složek"), no ale pak Vás čeká ještě obsah šablon - také časté místo útoku a komponent (modulů, pluginů apod). A tam aby jste procházel jednotlivá rozšíření a porovnával s obsahem instalace.

Takže pokud to shrnu, základ je "zálohovat, zálohovat, zálohovat" ideálně rozšířené např. o ty Admin Tools (mají mimochodem skvělou funkci na upozorňování na rozdíly v souborech, takže když už k napadení dojde, strašně rychle zjistíte co bylo napadeno).

17. bře 2016 10:26 #126293
Odpověď od Cony
Moderátor

ernst napsal: funkce eval() umí pustit libovolný script, ale ten v ní musí být napsán.

Popř. ji lze zakázat v nastavení PHP, některé hostingy to tak mívaly.

21. bře 2016 10:34 #126333
Odpověď od Martin
Začátečník
Zvláštní je, že na zabezpečení webu používám Admin Tools Pro. Navíc v souborech při čisté instalaci je funkce eval již v základu instalace.

Tohle mi napsal provozovatel:

ve Vaší prezentaci se nachází škodlivý kód, který umožňuje útočníkovi spouštět na našem sdíleném webhostingu libovolné skripty. Je tedy naprosto nezbytné danou prezentaci zabezpečit tak, aby k danému jednání nemohlo dojít.
Bohužel očividně nestačí pouze procházet prostor FTP antivirovým programem ale bude pravděpodbně potřeba obrátit se na specialistu, který se danou problematikou zabývá.
Vámi navrhované řešení přesunout webové stránky na vyhrazený server nemá moc význam, jelikož pokud by došlo z daného serveru např. k DOS útoku, tak na základě našich obchodních podmínek server odstavíme z provozu.

Mohu Vám doporučit v prezentaci hledat nestandartní použítí PHP funkce eval(), tím najdete většinu napadených souborů.

Zkoušel jsem i přepsat soubory čistou instalací, což nepomohlo, takže fakt už nevím, jak dál...

21. bře 2016 11:18 #126334
Odpověď od Martens
Návštěvník
Jak moc máš aktualizovanou joomlu? Jak dlouho tam máš Akeebu? Jestli to třeba nesouvisí s prosincovým průšvihem, kdy šly po sobě 3 bezpečnostní aktualizace. A nebo Ti to hackli už v době, kdy tam Akeeba ještě nebyla a měl jsi tam backdoors.

Zkus ještě jednu věc. Pomoci Akeeba Backup si udělej zálohu do ZIP souboru a ten si na lokale rozbal. Mi takhle třeba antivir dokazal najit škodlivý kód i u sql scriptu.

Ale jinak stále bych sazel na jistotu a udělal úplně čistou instalaci. Přepsání nepomůže, protože tam máš i něco mimo Joomlu.

Odesláno pomocí Tapatalk.

21. bře 2016 13:18 #126336
Odpověď od Cony
Moderátor
Antivir už dnes bohužel nenajde zdaleka vše, a hledání funkce eval už také nepomůže. Ano, na několika místech je funkce eval použita i v základu Joomly, sama o sobě to není škodlivá funkce, jen je zneužívána právě útočníky.

Podzimní útoky Admin Tools (pokud byly aktuální a rozumně nastavené) dokázaly zastavit. Spíš bych řekl že napadení už tam mohlo být delší dobu, jen se v poslední době začalo projevovat. Tak se dnes hacky často chovají. Ne že po napadení hned začnou posílat spam, ale klidně si sedí, občas se rozkopírují a aktivní začnou být třeba až po roce, kdy už jsou dostatečně rozmnožené. A nebo napadení nešlo přes web ale přes FTP.

Viděl bych to buď na doporučení hostingu "...obrátit se na specialistu, který se danou problematikou zabývá.", nebo na čistou instalaci a ruční překopírování obsahu (nebo nějakým udělátkem).

21. bře 2016 14:23 - 21. bře 2016 14:25 #126341
Odpověď od Ernst
Joomla Expert
udělátko třeba red migrator, nebo již placené, ale naprosto dokonalé - VM Migrator

Tím VM migrator by přetažení veškerého obsahu mělo být za chvilku a bez nutnosti dalších zásahů.

samozřejmě to nepřetáhne všechna rozšíření, ale nějaká ano

Powered by Fórum

Novinky z diskuze Nejnovější příspěvky