Lastniki Joomle - sicert obvešča o novem vdoru

7 naročnikov

Še posebno tisti, ki jih ne nadgrajujete - upam da vas je malo na tem forumu :(

http://www.cert.si/obvestila/obvestilo/article/si-cert-2013-01-stevilne-zlorabe-joomla-streznikov.html

in

http://www.cert.si/obvestila/obvestilo/article/si-cert-2012-15-napadi-s-poplavo-podatkov-z-izrabo-ranljivosti-joomla-cms.html

: ne dela noben link?

Meni delata oba.

Draganche:

: ne dela noben link?

Dela, dela.. maš cert.si blokiran? :)

Sem preveril in za enkrat pri meni ni težav. Je pa zmeraj riziko, ker uporabljamo te open source CMSje.

Da malo obnovimo to temo saj opažam, da kljub temu, da že vrabci čivkajo o ranljivosti Joomle lastniki le-teh ne naredijo ničesar.

Spoštovani!

Pišem vam v imenu nacionalnega centra za posredovanje pri omrežnih
incidentih SI-CERT (http://www.cert.si), ki deluje pod okriljem javnega
zavoda Arnes. Pišem vam, ker je vaš elektronski naslov naveden kot
kontaktni naslov za domeno xxxxxxxxxxx.si.

Pišem vam, ker je bila vaša spletna stran

http://www.xxxxxxxxxxx.si/sejeal.jpg

pred kratkim žrtev t.i. "razobličenja" (angl. "defacement"), ki ste ga
verjetno medtem že odpravili.

Razobličenje je običajno posledica vdora v sistem, bodisi prek ranljive
spletne aplikacije, ali kot posledica zlorabe gesla za administratorski
oziroma uredniški dostop do spletnega strežnika.

Od 29. decembra 2012 do danes se je zvrstilo večje število razobličenj
slovenskih spletnih mest in podtikanj vsebin, o katerih smo bili
obveščeni na SI-CERT. Do sedaj najpogosteje zlorabljena platforma je
Joomla in njena komponenta JCE, pojavljajo pa se tudi vdori v spletna
mesta z nameščeno platformo Wordpress.

Pri preiskovanju vdora opravite naslednja koraka:

1. identificirajte podtaknjene datoteke in zabeležite točen čas nastanka,

2. za čas nastanka preglejte dnevnik spletnega strežnika (access_log)
   in poiščite zapise, ki kažejo na napadalčevo aktivnost; te zapise nam
   prosim posredujte v odgovoru na to sporočilo.

*** Joomla ***

Pri Joomli je napadalec izkoristil ranljivost v JCE komponenti 'image manager'
in preko nje odložil PHP datoteke v mapo 'images/stories'. Nujno je, da
posodobite Joomlo oz. komponento JCE (če tega ne morete narediti sami,
se obrnite na svojega spletnega gostitelja).

Natančnejši opis in navodila najdete v našem obvestilu SI-CERT 2013-01,
ki se nahaja na:

https://vni.si/jjce

V nekaterih incidentih so bile izrabljene tudi druge ranljivosti
Joomle, zato priporočamo tudi ogled našega obvestila SI-CERT 2012-15 /
Napadi s poplavo podatkov z izrabo ranljivosti Joomla CMS:

https://vni.si/fffe

*** Druge platforme ***

Če za upravljanje spletnega mesta uporabljate drugo platformo, potem
preverite, ali ste namestili zadnje popravke zanjo in za vse vtičnike
(plugins). Če uporabljate CPANEL ali Plesk za upravljanje svojega
strežnika pri gostitelju, potem pri njemu preverite, ali ima nameščeno
zadnjo verzijo vmesnika. Če za nalaganje vsebin uporabljate FTP dostop,
potem je možno, da je storilec uganil ali ukradel vaše geslo.

V kolikor ranljivosti ne boste odpravili, lahko ponovno pride do vdora,
kraje vaših podatkov shranjenih na spletnem strežniku, ali izgube podatkov.

Če potrebujete pri analizi zlorabe kakršnokoli pomoč, smo na voljo na
cert@cert.si ali na 01/4798822.

Prosim vas, da potrdite prejem tega obvestila tako, da nanj odgovorite.

Lep pozdrav,
G. B.

S tem se hosting ponudniki dnevno srečujemo. Žal. Kmalu bi naredil lahko en filter, ki išče spodnje stringe na podpori in > /dev/null
- do včeraj je delalo
- nič nisem sprreminjal
- jaz nisem nič pošiljal
- jaz nisme nikogar DDosal
- kaj je to Joomla
- a CMS je potrebno nadgrajevati
- admin mi je prede leti nehal vzdrževati

... pa en autorespodner z linki do Joomla.org in wikipedije:
http://en.wikipedia.org/wiki/Hacktivism
http://en.wikipedia.org/wiki/Spam
http://en.wikipedia.org/wiki/Ddos#Distributed_attack

Pa bi si pršparal čas. Pa če jih vnaprej obvestiš, da imajo stari verzijo, pa da jim pomagaš updejtat ... no respons. Go figure.

Je pa ARNES/SI-CERT napovedal več obveščanja v to smer, tko kot tole .

Težava je največkrat, ker lastniki celo posodobijo samo joomlo, ne pa tudi komponent. JCE je še posebej kritičen, ker je omenjeni media manager že nekaj časa plačljiv in večina uporablja starejšo verzijo.

To postaja vse večji problem ja, predvsem zato ker se Joomle ne da enostavno upgradati, ampak je potrebna migracija (iz 1.5 na 2.5 ali 3).

Sicer poizkusamo pomagati kolikor le lahko in ocistimo okuzen paket brezplacno, ampak se pa vedno najde kaksen nehvaleznes z izjavo "popravite mojo stran saj vas placujem za to", ali pa "popravite vaš pohekan server" :)

Osveščanje ljudi o teh težavah je edina rešitev, tako da thumbs-up SI-CERT.