Мне взломали один из сайтов на Joostina 1.3
  • bostonboston Апрель 2013
    Я тут, проблема еще актуальна?
    По последнему логу вижу что кто-то (предварительно авторизовавшись) отключает визуальный редактор, вносит правки в шаблон, сохраняет, проверяет несколько раз результат на сайте (на фронте), выходит из редактирования шаблона и выходит из админки.
    В случае прямого взлома ядра такая последовательность маловероятна, тут прослеживаться вполне нормальное поведение системы и работа авторизованного пользователя.
  • MaiwendMaiwend Апрель 2013
    Система же показывает у наших пользователей последнее посещение, почему же тогда нет пользователей заходивших 19-го марта 2013? Или допустим этот пользователь заходи еще но позже, но у меня взломано 2 сайта, на втором вообще только один пользователь, который заходил 2013, это был январь месяц.
  • MaiwendMaiwend Апрель 2013
    А это как объяснить?
    www.yakrashe.ru 94.100.28.198 - - [19/Mar/2013:00:04:49 +0400] "GET /administrator/index.php?option=com_login&task=logout HTTP/1.1" 200 3358 "http://www.bez-nasledstva.ru/administrator/index.php" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.7.62 Version/11.00"
    www.yakrashe.ru 94.100.28.198 - - [19/Mar/2013:00:04:49 +0400] "GET /administrator/index.php HTTP/1.1" 200 3358 "http://www.bez-nasledstva.ru/administrator/index.php" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.7.62 Version/11.00"
    www.yakrashe.ru 94.100.28.198 - - [19/Mar/2013:00:04:49 +0400] "POST /administrator/index.php HTTP/1.1" 200 54 "http://www.yakrashe.ru/administrator/index.php" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.7.62 Version/11.00"
  • MaiwendMaiwend Апрель 2013
    Лично я считаю, что злоумышленник использует кэш-браулера или что-там отвечает за хранение данных сессий, для подлога. Логенится на каком-то сайте может даже не своем с нужными правами, а потом подставляет на чужие.

    Кстати код который вставляется в шаблон не работает и выдает ошибку 500, поэтому считаю, что это для Joomla 1.0 или Joomla 1.5

    Расчет делается на то, что сайт брошенный и никто ничего не заметит. Все делается автоматически по списку сайтов, который составлен у злоумышленника.
  • bostonboston Апрель 2013
    .bez-nasledstva.ru/ на Joomla 1.5, даже если злоумышленник взял оттуда куки и добавил их на домен yakrashe.ru - то всё равно он не сможет авторизоваться. Внутренний механизм пишет данные о авторизации в базу, и если кука есть, а записи в базе нет - то толку от неё никакого.
    Проверь доступ к базе, если ли на сервере phpmyadmin или подобные тузлы. Либо не крутится ли база наружу.

    Для повышения безопасности советую сменить пароль в админку, проверить всех пользователей и их права, сменить пароль на базу и ключевое слово в файле конфигурации Joostina.
    Так же почистить таблицу сессий в базе.
  • MaiwendMaiwend Апрель 2013
    Ключевое слово это $mosConfig_secret?

    Еще хочу обратить внимание на то, что утром в была запись с посторонним сайтом, а вечером уже без него остальные действия повторились. Сессия сохранилась?
    В предыдущие разы всегда с посторонними сайтами.

    На втором сайте Elfscaln.ru с января 2012 никаких новых пользователей. Два пользователя с правами админа, оба мои и оба с логинами без слов Admin. И 4 публишера.

    Как проверять доступ к базе?
    Таблицу сессий почистил, было 2 сессии кроме моей.

    Для эксперимента буду рекомендации выполнять лишь на одном из двух.
  • MaiwendMaiwend Апрель 2013
    Погуглил про эту тему. Ломали весь 2012 всех подряд и у всех одно и тоже.
    Причем мелькает Joomla 1,5
  • MaiwendMaiwend Апрель 2013
    Попробую сменить пароли на супер админа. Могли пароль украсть мало ли способов.
  • bostonboston Апрель 2013
    База может вещать наружу - т.е. можно подключить с локального компа к ней и наделать делов. Если хостинг надёжный - то такие варианты маловероятны.

    Пароли изменить надо все, и админов и суперадминов и на базу и на доступ к хостингу.
  • MaiwendMaiwend Апрель 2013
    У меня 4 сайта на Joostine 2 взламываются регулярно (уже 4 раза точно) одним и тем же образом в течении полу года, а два нет.
    Причем тут тогда пароли? Все сайты я делаю по одной схеме. Отличие этих двух от остальных наличие на них форума Адептуса RE 2.0.
  • bostonboston Апрель 2013
    Кроме дырки в форуме возможен такой вариант, отписал его в личку.

    Если из одной CMS есть доступ к базе другой - вариант сценария:
    - злоумышленник логинится в скомпроментированную cms (А).
    - через менеджер базы данных этой cms меняет хеш пароля другого сайта (B) на свой (для известного ему пароля)
    - авторизуется в безопасной системе (B), делает дела
    - возвращается в первую систему (A), меняет хеш в базе сайта (B) на прежний

    Пока же повторю - по описанию все действия в твоих Joostina делаются согласно правилам её работы - злоумышленник стандартными силами авторизуется в системе и меняет шаблон, имеющихся на данный момент данных не достаточно для того что бы сказать что есть хоть какая-то вероятность взлома или уязвимости в ядре Joostina.

Добро пожаловать!

Похоже, что Вы здесь впервые. Если хотите поучаствовать, нажмите на одну из этих кнопок!

Войти Зарегистрироваться

В теме отметились