|
|
|
Używasz Joomla lub Mambo - zabezpiecz się! |
« Zobacz poprzedni temat :: Zobacz następny temat » |
Autor |
Wiadomość
|
szuman |
Wysłany: 18 Lip 2006, 11:05 Temat postu: Używasz Joomla lub Mambo - zabezpiecz się! |
|
|
Przyjaciel KCS
Dołączył: 05 Mar 2006 Posty: 1554
Skąd: D?bica
|
Przedwczoraj wieczorem zhackowano moja strone - turecka robota, a jakze by inacze? Bylem conajmniej zszokowany tym, ze sie to udalo, bo przeciez Joomla uchodzi za najlepiej zabezpieczony CMS. Pierwsze co zrobilem, to przywrocilem strone glowna, a nastepnie przejrzalem logi serwera. I co znalazlem? Kupe zagranicznych IP, z ktorych ktos uruchamial plik /components/com_simpleboard/file_upload.php i za jego pomoca ładował pliki z jakiegos serwera. Gdy skonczyly sie zapisy z tego uploadu zobaczylem, ze odpalany byl plik plik /modules/haluk.php - wiedzialem, ze takiego pliku nie ma w Joomla, wiec wpisalem ta sciezke w przegladarce i... wyswietlil mi sie menedzer plików, ktory bez zadnych haseł zapewnial dostep do calej zawartosci serwera! usunalem ten plik i wzialem sie do roboty - poprosilem admina o gruntowne wyczyszczenie serwera i backup plikow - akurat byla dostepna kopia sprzed 20-stu godzin. Pozniej zaktualizowalem skrypt do najnowszej wersji i zalatalem dziury w komponencie Simpleboard.
Którędy atakują?
Sam skrypt jest dobrze zabezpieczony, ale z dodatkami to już inna sprawa. Komponent forum - Simpleboard (a takze Joomlaboard i Mamboboard) posiada bardzo krytyczną lukę: chodzi o funkcję uploadu plikow i obrazków. Za upload odpowiadają pliki file_upload.php i image_upload.php, które znajdują się w katalogu components/com_simpleboard/ (w przypadku Simpleboard). Aby zabezpieczyc sie przed wlamaniem z wykorzystaniem luki w tym komponencie, nalezy w każdym pliku znajdującym sie w katalogu components/com_sipleboard i administrator/components/com_simpleboard dopisac Kod: | // no direct access
defined( '_VALID_MOS' ) or die( 'Restricted access' ); |
Samo wylaczenie funkcji uploadu obrazkow i plikow w konfiguracji forum nie wystarcza, bo dopoki feralne pliki (file_upload.php i image_upload.php) znajduja sie na serwerze, dopoty istnieje luka.
Mozna bardziej łopatalogicznie rozwiazac problem usuwajac po prostu obydwa te pliki - forum bedzie nadal dzialalo, tylko przy probie uploadu wywali trzy linijki błędow.
Jesli ktos uzywa komponentu Extended Calender , rowniez powinien dopisac Kod: | // no direct access
defined( '_VALID_MOS' ) or die( 'Restricted access' ); | do plikow tego komponentu - ten komponent takze zawiera powazna dziurę.
Nie czekajcie tez z aktualizacja samego Joomla! bo mimo, ze jest bezpieczny, to najnowsza wersja 1.0.10 ma mnostwo nowym rozwiazan z zakresu bezpieczenstwa. Sa trzy poziomy bezpieczenstwa, a najnizszy z nich, to ten, ktory obowiazywal w poprzednich wersjach Jesli chcesz polska wersje, to upewnij sie, ze jest to najnowsza wersja PL, bo pierwsza polska Joomla 1.0.10 miala kilka bledow powstalych podczas tlumaczenia, ale juz poprawili sie tlumacze i pelna paczka instalacyjna jest do pobrania tutaj. _________________ Mój osobisty blog oraz blog ?lubny mój i mojej ?ony |
|
Powrót do góry |
|
|
KCS |
Wysłany: Temat postu: Reklama w KCS |
|
|
|
|
Powrót do góry |
|
|
pozycjoner.org |
Wysłany: 18 Lip 2006, 16:25 Temat postu: |
|
|
Nowicjusz
Dołączył: 15 Lut 2006 Posty: 44
|
Bardzo Ci dziękuję za cenne informacje - mi dzisiaj Turcy zhakowali serwis www.pozycjoner.org, jednak nie korzystałem z forum Simpleboard, ani nie miałem pliku haluk.php w katalogu modules. _________________ Pozycjonowanie bez tajemnic |
|
Powrót do góry |
|
|
szuman |
Wysłany: 18 Lip 2006, 23:42 Temat postu: |
|
|
Przyjaciel KCS
Dołączył: 05 Mar 2006 Posty: 1554
Skąd: D?bica
|
Dzisiaj trafilem na liste wielu innych dziurawych komponentow:
extCalender
OpenSEF
phpBB Forum (com_forum)
SimpleBoard Forum
VideoDB
Mambo-SMF Forum
LoudMouth
PollXT
HashCash
perForms
Google Page Rank Module
BSQ SiteStats
MultiBanners
MiniBB
New Article Component
Advanced Poll
JomBok
ArtLinks
PCCookBook
Mambo/Joomla SiteMap (Custom Component)
Galleria
com_spray
Wszystkie w/w zawieraja luki mniej lub bardziej powazne, ale najczesciej wykorzystywana to ta w Simpleboard... Niektore z nich rozwiazuje update samego skryptu do 1.0.10. Z tego co widze masz stara juz wersje Mambo 4.5.2 - nie myslales, by migrowac na Joomla? _________________ Mój osobisty blog oraz blog ?lubny mój i mojej ?ony |
|
Powrót do góry |
|
|
dkint |
Wysłany: 19 Lip 2006, 06:56 Temat postu: |
|
|
Bywalec
Dołączył: 20 Lut 2006 Posty: 115
Skąd: Zamo??
|
Witam
Wtrącę i ja swoje trzy grosze szuman migracja tak joomla jest lepsza ale mnie osobiscie przy moim serwisie przeraża ogrom prac, które będę musiał zrobić na nowo mam stronę www.roztocze.info postawiona na mambo 4.5.3 z setką moich modyfikacji i zwykła migracja nie wchodzi u mnie w grę, ponoć w wersji 1.5 joomli będzie jeszcze wiecej poprawek może wtedy się pokuszę o upgrade ... co do błędów w komponentach trzeba śledzic fora tematyczne i na bieżąco nanosić różne poprawki związane z bezpieczeństwem jak też wszystkie komponenty aktualizować na bieżąco ...
pozdrawiam
Krzysiek |
|
Powrót do góry |
|
|
szuman |
Wysłany: 19 Lip 2006, 12:54 Temat postu: |
|
|
Przyjaciel KCS
Dołączył: 05 Mar 2006 Posty: 1554
Skąd: D?bica
|
wiesz dkint, wczesniej mialem 1.0.5 PE i kupe wlasnych modyfikacji i tez z bolem serca robilem ten upgrade do najnowszej wersji... Od wersji 1.0.8 wprowadzono nowa strukture i dziesiatki zmodyfikowanych przeze mnie plikow nadawalo sie do kosza, niestety Mus to mus, ale zrobie jak zawsze w podobnych sytuacjach: zainstaluje w jakims folderze nowa wersje, podepne pod obecna baze i powoli, w wolnych chwilach pokombinuje sobie Ale teraz zastanawiam sie, czy warto, skoro w 1.5 zapowiadany jest kolejny przelom
Jesli chodzi o migracje, to nie wiem, czy z kazda kolejna wersja Joomla nie bedzie trudniej migrowac, bo im starsza Joomla tym bardziej podobna do Mambo, a z kada wersja coraz trudniej moze byc. Jak masz Mambo, to na twoim miejscu przeszedlbym na Joomla 1.0.7, zrobil kopie bazy i wgral ja pod inna nazwa i na tej kopii bazy dogadywalbym sie z Joomla, a pozniejszy upgrade to juz bulka z maslem _________________ Mój osobisty blog oraz blog ?lubny mój i mojej ?ony |
|
Powrót do góry |
|
|
|
|
|
|
Strona 1 z 1 |
|
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach
|
|
|
|