1862 ВС :) Joomla попала

[primec]

Сегодня обнаружил у себя такую вещь на двух сайтах, которые были на Joomla - проверяю площадки, дикий спад прибыли Начал искать причину. Естественно, начал не там искать - проверял, не лежит ли хостинг и т.д. Все оказалось проще - по несколько 1000 исходящих со страниц!! Пострадали только два сайта, что висят на Joomla. Вот теперь думаю, как это сделали. Два варианта:
1. Уязвимость джумлы
2. Уязвимость модуля sape

Кривые руки, вирусы и украденные пароль отметаются - 10 раз перепроверил все.

Все ссылки ведут на дикие доры:

Код:

</table>
 <!-- b2756e9ee842177c1af26faa1881031e --> <p style="display: none"><a href="http://www.op97.org/helpdesk/docs/.lock/index.php?p=buy-norvasc">buy norvasc</a> measuring of 
<a href="http://www.op97.org/helpdesk/docs/.lock/index.php?p=buy-prozac-without-prescription">buy prozac online uk</a> pressure from 
<a href="http://www.op97.org/helpdesk/docs/.lock/index.php?p=buy-valium-with-mastercard">buy valium with mastercard</a> are storms 
<a href="http://www.ahu.edu.jo/icons/home/index.php?p=ringtones-free-blackberry">blackberry ringtones mp3</a> cumulonimbus marked 

<a href="http://www.op97.org/helpdesk/docs/.lock/index.php?p=buy-clomid-

[Wink]

Версия движка какая стояла? В серверных логах ничего интересного?

[primec]

Нет, в серверных ничего. Версия 1.0.13. Думаю, что как-то умудрились поменять права доступа на запись в шаблон - все ссылки были прописаны там.

[Massacre]

через джумлу конечно сломали

[Wink]

1.0.15 последняя версия в линейке 1.0.x
В последних двух релизах как раз закрыли довольно серьезные дыры в защите.

[vviicc]

Цитата:

Сообщение от primec

Сегодня обнаружил у себя такую вещь на двух сайтах, которые были на Joomla - проверяю площадки, дикий спад прибыли Начал искать причину. Естественно, начал не там искать - проверял, не лежит ли хостинг и т.д. Все оказалось проще - по несколько 1000 исходящих со страниц!! Пострадали только два сайта, что висят на Joomla. Вот теперь думаю, как это сделали. Два варианта:
1. Уязвимость джумлы
2. Уязвимость модуля sape
Кривые руки, вирусы и украденные пароль отметаются - 10 раз перепроверил все.

Все ссылки ведут на дикие доры:

Код:

</table>
 <!-- b2756e9ee842177c1af26faa1881031e --> <p style="display: none"><a href="http://www.op97.org/helpdesk/docs/.lock/index.php?p=buy-norvasc">buy norvasc</a> measuring of 
<a href="http://www.op97.org/helpdesk/docs/.lock/index.php?p=buy-prozac-without-prescription">buy prozac online uk</a> pressure from 
<a href="http://www.op97.org/helpdesk/docs/.lock/index.php?p=buy-valium-with-mastercard">buy valium with mastercard</a> are storms 
<a href="http://www.ahu.edu.jo/icons/home/index.php?p=ringtones-free-blackberry">blackberry ringtones mp3</a> cumulonimbus marked 

<a href="http://www.op97.org/helpdesk/docs/.lock/index.php?p=buy-clomid-

Ищи вот такие (или похожие) файлы:
1.php.xl
docs.php.xl
phpgw.php
rt.php
s.php
rt.php
Это рельные шеллы, загруженные на хост
один из этих файлов может имет дату создания 1980 год
скоре всего они находятся в
images/stories
Это явно дыра в хостинге (чтобы запустить такой шелл внешне, надо чтобы хостинг позволял запуск файлов с бороузера с чмод ниже 644)
Но вот как это загружают - неопнятно, логи пока что не дают на это ответа.
ЗЫ - если разберешься - стукни, Pls!

[primec]

vviicc
ты так тоже "попался"? удалил файлы
нашлись
phpgw.php
q.php
при чем прямо в корне

[buddy]

Мужики, огласите хостинг.

[primec]

Петерхост, гори он в аду

[maksim7]

Я бы не торопился на хостинг наезжать. А то может так получится что хостинг ты поменяешь а проблема останется.