Forum Katalogu Ciekawych Stron Strona Główna  Forum Katalogu Ciekawych Stron Strona Główna  
 
FAQ  FAQ   Szukaj  Szukaj   Użytkownicy  Użytkownicy   Ranking systemów  Ranking systemów   Grupy  Grupy  
 
Rejestracja  ::  Zaloguj Zaloguj się, by sprawdzić wiadomości
 
Forum Katalogu Ciekawych Stron Strona Główna » CMS - Content Management System » Używasz Joomla lub Mambo - zabezpiecz się!

Napisz nowy temat  Odpowiedz do tematu
 Używasz Joomla lub Mambo - zabezpiecz się! « Zobacz poprzedni temat :: Zobacz następny temat » 
Autor Wiadomość
szuman
PostWysłany: 18 Lip 2006, 11:05    Temat postu: Używasz Joomla lub Mambo - zabezpiecz się! Odpowiedz z cytatem Zacytuj zaznaczone

Przyjaciel KCS
Przyjaciel KCS

Dołączył: 05 Mar 2006
Posty: 1554

Skąd: D?bica

Przedwczoraj wieczorem zhackowano moja strone - turecka robota, a jakze by inacze? Bylem conajmniej zszokowany tym, ze sie to udalo, bo przeciez Joomla uchodzi za najlepiej zabezpieczony CMS. Pierwsze co zrobilem, to przywrocilem strone glowna, a nastepnie przejrzalem logi serwera. I co znalazlem? Kupe zagranicznych IP, z ktorych ktos uruchamial plik /components/com_simpleboard/file_upload.php i za jego pomoca ładował pliki z jakiegos serwera. Gdy skonczyly sie zapisy z tego uploadu zobaczylem, ze odpalany byl plik plik /modules/haluk.php - wiedzialem, ze takiego pliku nie ma w Joomla, wiec wpisalem ta sciezke w przegladarce i... wyswietlil mi sie menedzer plików, ktory bez zadnych haseł zapewnial dostep do calej zawartosci serwera! usunalem ten plik i wzialem sie do roboty - poprosilem admina o gruntowne wyczyszczenie serwera i backup plikow - akurat byla dostepna kopia sprzed 20-stu godzin. Pozniej zaktualizowalem skrypt do najnowszej wersji i zalatalem dziury w komponencie Simpleboard.

Którędy atakują?
Sam skrypt jest dobrze zabezpieczony, ale z dodatkami to już inna sprawa. Komponent forum - Simpleboard (a takze Joomlaboard i Mamboboard) posiada bardzo krytyczną lukę: chodzi o funkcję uploadu plikow i obrazków. Za upload odpowiadają pliki file_upload.php i image_upload.php, które znajdują się w katalogu components/com_simpleboard/ (w przypadku Simpleboard). Aby zabezpieczyc sie przed wlamaniem z wykorzystaniem luki w tym komponencie, nalezy w każdym pliku znajdującym sie w katalogu components/com_sipleboard i administrator/components/com_simpleboard dopisac
Kod:
// no direct access
defined( '_VALID_MOS' ) or die( 'Restricted access' );


Samo wylaczenie funkcji uploadu obrazkow i plikow w konfiguracji forum nie wystarcza, bo dopoki feralne pliki (file_upload.php i image_upload.php) znajduja sie na serwerze, dopoty istnieje luka.
Mozna bardziej łopatalogicznie rozwiazac problem usuwajac po prostu obydwa te pliki Laughing - forum bedzie nadal dzialalo, tylko przy probie uploadu wywali trzy linijki błędow. Wink

Jesli ktos uzywa komponentu Extended Calender , rowniez powinien dopisac
Kod:
// no direct access
defined( '_VALID_MOS' ) or die( 'Restricted access' );
do plikow tego komponentu - ten komponent takze zawiera powazna dziurę.


Nie czekajcie tez z aktualizacja samego Joomla! bo mimo, ze jest bezpieczny, to najnowsza wersja 1.0.10 ma mnostwo nowym rozwiazan z zakresu bezpieczenstwa. Sa trzy poziomy bezpieczenstwa, a najnizszy z nich, to ten, ktory obowiazywal w poprzednich wersjach Wink Jesli chcesz polska wersje, to upewnij sie, ze jest to najnowsza wersja PL, bo pierwsza polska Joomla 1.0.10 miala kilka bledow powstalych podczas tlumaczenia, ale juz poprawili sie tlumacze i pelna paczka instalacyjna jest do pobrania tutaj.
_________________
Mój osobisty blog oraz blog ?lubny mój i mojej ?ony
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
KCS
Wysłany:     Temat postu: Reklama w KCS







Powrót do góry
pozycjoner.org
PostWysłany: 18 Lip 2006, 16:25    Temat postu: Odpowiedz z cytatem Zacytuj zaznaczone

Nowicjusz
Nowicjusz

Dołączył: 15 Lut 2006
Posty: 44


Bardzo Ci dziękuję za cenne informacje - mi dzisiaj Turcy zhakowali serwis www.pozycjoner.org, jednak nie korzystałem z forum Simpleboard, ani nie miałem pliku haluk.php w katalogu modules.
_________________
Pozycjonowanie bez tajemnic
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
szuman
PostWysłany: 18 Lip 2006, 23:42    Temat postu: Odpowiedz z cytatem Zacytuj zaznaczone

Przyjaciel KCS
Przyjaciel KCS

Dołączył: 05 Mar 2006
Posty: 1554

Skąd: D?bica

Dzisiaj trafilem na liste wielu innych dziurawych komponentow:

extCalender
OpenSEF
phpBB Forum (com_forum)
SimpleBoard Forum
VideoDB
Mambo-SMF Forum
LoudMouth
PollXT
HashCash
perForms
Google Page Rank Module
BSQ SiteStats
MultiBanners
MiniBB
New Article Component
Advanced Poll
JomBok
ArtLinks
PCCookBook
Mambo/Joomla SiteMap (Custom Component)
Galleria
com_spray

Wszystkie w/w zawieraja luki mniej lub bardziej powazne, ale najczesciej wykorzystywana to ta w Simpleboard... Niektore z nich rozwiazuje update samego skryptu do 1.0.10. Z tego co widze masz stara juz wersje Mambo 4.5.2 - nie myslales, by migrowac na Joomla?
_________________
Mój osobisty blog oraz blog ?lubny mój i mojej ?ony
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
dkint
PostWysłany: 19 Lip 2006, 06:56    Temat postu: Odpowiedz z cytatem Zacytuj zaznaczone

Bywalec
Bywalec

Dołączył: 20 Lut 2006
Posty: 115

Skąd: Zamo??

Witam

Wtrącę i ja swoje trzy grosze szuman migracja tak joomla jest lepsza ale mnie osobiscie przy moim serwisie przeraża ogrom prac, które będę musiał zrobić na nowo mam stronę www.roztocze.info postawiona na mambo 4.5.3 z setką moich modyfikacji i zwykła migracja nie wchodzi u mnie w grę, ponoć w wersji 1.5 joomli będzie jeszcze wiecej poprawek może wtedy się pokuszę o upgrade ... co do błędów w komponentach trzeba śledzic fora tematyczne i na bieżąco nanosić różne poprawki związane z bezpieczeństwem jak też wszystkie komponenty aktualizować na bieżąco ...

pozdrawiam
Krzysiek
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
szuman
PostWysłany: 19 Lip 2006, 12:54    Temat postu: Odpowiedz z cytatem Zacytuj zaznaczone

Przyjaciel KCS
Przyjaciel KCS

Dołączył: 05 Mar 2006
Posty: 1554

Skąd: D?bica

wiesz dkint, wczesniej mialem 1.0.5 PE i kupe wlasnych modyfikacji i tez z bolem serca robilem ten upgrade do najnowszej wersji... Od wersji 1.0.8 wprowadzono nowa strukture i dziesiatki zmodyfikowanych przeze mnie plikow nadawalo sie do kosza, niestety n Mus to mus, ale zrobie jak zawsze w podobnych sytuacjach: zainstaluje w jakims folderze nowa wersje, podepne pod obecna baze i powoli, w wolnych chwilach pokombinuje sobie Wink Ale teraz zastanawiam sie, czy warto, skoro w 1.5 zapowiadany jest kolejny przelom Rolling Eyes
Jesli chodzi o migracje, to nie wiem, czy z kazda kolejna wersja Joomla nie bedzie trudniej migrowac, bo im starsza Joomla tym bardziej podobna do Mambo, a z kada wersja coraz trudniej moze byc. Jak masz Mambo, to na twoim miejscu przeszedlbym na Joomla 1.0.7, zrobil kopie bazy i wgral ja pod inna nazwa i na tej kopii bazy dogadywalbym sie z Joomla, a pozniejszy upgrade to juz bulka z maslem Wink
_________________
Mój osobisty blog oraz blog ?lubny mój i mojej ?ony
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
Wyświetl posty z ostatnich:   
Napisz nowy temat  Odpowiedz do tematu Strona 1 z 1


Forum Katalogu Ciekawych Stron Strona Główna » CMS - Content Management System » Używasz Joomla lub Mambo - zabezpiecz się!
Skocz do:  



Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach


katalog stron | forum
Powered by phpBB © 2005 phpBB Group