ENG    РУС

Все заметки блога »

Уязвимость в Joomla ADSmanager

Закажите лечение сайта и защиту от взлома у специалистов

В компоненте Joomla ADSmanager обнаружена критическая уязвимость, позволяющая хакеру загрузить на сайт веб-шеллы (бэкдоры или другие произвольные php скрипты).

Файлы загружаются в каталог /tmp/plupload.

Достаточно выполнить один POST запрос, чтобы взломать сайт и получить над ним полный контроль, а на большинстве виртуальных хостингов и над всеми сайтами аккаунта.

В логах веб-сервера атаку можно найти по запросу

index.php?option=com_adsmanager&task=upload&tmpl=component

уязвимость в ADSManager

Данная уязвимость присутствует как минимум в версии ADSmanager 2.9.9 (возможно и в более поздних версиях).

Для проверки уязвимости на вашем сайте, достаточно в браузере открыть адрес

http://вашсайт/index.php?option=com_adsmanager&task=upload&tmpl=component

Если результат выглядит так, как на скриншоте ниже, то ждите "гостей" (если, конечно, "гости" уже не пришли).

уязвимость в ADSManager

Настоятельно рекомендуем запретить исполнение скриптов в каталоге tmp, разместив в нем файл .htaccess следующего содержимого

Order Deny,Allow
Deny from All

Это не позволит получить доступ к загруженным файлам. Для сайтов, работающих под nginx необходимо прописать аналогичное правило, запрещающее доступ в /tmp в файле nginx.conf.

Поскольку теоретически в каталог загрузить могут файл .htaccess с разрешающим Allow from All, то более надежно заблокировать доступ к каталогу через ModRewrite в корневом .htaccess, добавив строки

RewriteEngine On
RewriteRule ^tmp/ - [F]

Также рекомендуем обновить компонент ADSmanager до самой последней версии.

Если есть подозрения на взлом - проверьте свой сайт сканером AI-BOLIT.

Для интересующихся: видео с процессом взлома.

Читайте другие заметки блога.

Обсуждаем!

Подпишитесь на RSS: