Joomla 2.5-3.x новая уязвимость

Сегодня понаблюдал яркую демонстрацию истины, кто ленится обновлять свою CMS, тот потом лечит ее от вирусов.

 Многие думают что наличие Джумлы 3.х — гарантия безопасности. Сегодня лечил сайтик на Джумле 3.3. Яркое опровержение.

Информируем Вас о том, что на сайте xxxx.info или одном из доменов, прикрепленных к основному сайту, в ходе плановой проверки обнаружен следующий вредоносный контент:

 — /www/site/users/joomla/www/htdocs/administrator/components/wp-conf.php => Trojan.PHP-43
 — /www/site/users/joomla/www/htdocs/wp-conf.php => Trojan.PHP-43
 — /www/site/users/joomla/www/htdocs/administrator/components/com_joomlaupdate/wt5121n.php => Trojan.PHP-43
 — /www/site/users/joomla/wp-conf.php => Trojan.PHP-43
 — /www/site/users/joomla/www/htdocs/administrator/wp-conf.php => Trojan.PHP-43
 — /www/site/users/joomla/www/htdocs/administrator/components/com_joomlaupdate/wp-conf.php => Trojan.PHP-43
 — /www/site/users/joomla/www/wp-conf.php => Trojan.PHP-43

В куче файлов был найден код следующего вида.

Содержательную часть поиска и лечения вируса я пропущу, процедуру описывал не раз. А вот как была найдена сама уязвимость. Дата заражения мне была примерно известна по дате вируса. В логах вебсервера ищем "POST ". Практически сразу на глаза попалось вот такое.

Последняя строка — POST обращение к уже закачанному вирусу wt5121n.php в котором шифрованный FilesMan. А вот выше, строка гораздо интереснее. Странное GET обращение к одному из компонентов Джумлы. Гуглопоиск дает нам прекрасное. Уязвимость. http://developer.joomla.org/security/595-20140903-core-remote-file-inclusion.html. Целый букет версий Joomla < 2.5.25 / Joomla 3.x < 3.2.5 / Joomla 3.3.0 < 3.3.4 Joomla . Сказка была бы неполной, но уже в паблике есть эксплоит, причем можно найти как платный так и бесплатный. Akeeba Kickstart Unserialize Remote Code Execution. Published: 2014-10-21 . На использование именно этого эксплоита указывает наличие левого файла в папке /administrator/components/com_joomlaupdate/ . В данном случае у меня в этой папке было их даже 2. 
/administrator/components/com_joomlaupdate/wt5121n.php
/administrator/components/com_joomlaupdate/article.92.php
Вначале при помощи эксплота загрузили article.92.php с конструкцией

А чуть позже, видимо уже для удобства хакер загрузил обфусцированный FilesMan wt5121n.php

Если еще чуть чуть погуглить, то легко увидеть, что к Джумле 3.3.0+ уязвимостей уже с пяток. Там и SQL injection и remote shell.

Что делать? Снести к чертовой матери Джумлу
1. Обновиться до последней версии. 
2. Поменять пароль админа.
3. Проверить нет ли еще юзеров с правами админа.
4. не забыть вычистить все шеллы.

Непосредственно эта уязвимость закрывается еще одним споособом который описывал ранее. Защитой админки через редирект.

И да, если вам лень это делать или вы не смогли найти все шеллы, обращайтесь ко мне. Вылечу. Расценки скромные 800 р. 6 месяцев гарантии на мою работу.

Контакты

icq 346469836

fstrange.ru

cure@fstrange.ru

You may also like...