Как взламывали Masterpro.ws

Продолжаем тему о возможных сценариях атак на сайты под управлением Joomla. Несколько get-запросов, выуженных мной из логов, позволяют сделать вывод о том, что в арсенале доморощенных кулхацкеров сегодня по прежнему прочно остаются ветхозаветные уязвимости в темах VirtueMart - pbv_multi и pbv_evod, также в ходу старые как мир попытки атаки на /com_virtuemart/show_image_in_imgtag.php. Вероятно, многие до сих пор еще живут с register_globals=On на серваках?



Также обращает на себя внимание вот эта попытка, взгляните:

Сегодня дошла очередь и до WordPress; вполне вероятно, что тема NewsPro грешит прорехами безопасности. Не знаю, не гуглил и не копал... вот думаю, не сделать ли мне security-рассылку по названиям расширений, выуживаемых мной из логов? Видите, как немало можно узнать, копаясь... не, ну не в мусоре, конечно; - в логах.



Кроме шуток. Всем, использующим неактуальные (по любой причине) версии названных в данном топике расширений - рекомендую.. ну, словом, вы меня поняли. Честно купить и незамедлительно обновиться, если речь о коммерческом ПО. Скупой платит дважды, да и головняк всегда немалый. Знаем, плавали... сколько уже было, тупых этих офисов c пиратской виндой в бухгалтерии и ворованным Каспером на workstations.... "Алексей, ну у нас полдня бухгалтера работать не могли, пока вы сервак восстановили после последней вирусной атаки! Неужели нельзя было скорее???"

Овцы, блин. :laugh:

Рад случаю добавить еще один зловредный web-ресурс в нашу коллекцию; это прозвучало следующим образом:


По ссылке (после mosConfig_absolute_path) находим файл c расширением flv, который, разумеется, не имеет ни малейшего отношения к flash video. Самые любознательные могут вдосталь полюбоваться и исследовать содержимое файла, легко идентифицируемого clamav всего лишь как php.bot:

Очередная попытка, очередной инклюд.

Зайдя по ссылке


- получаем закодированный в eval(gzinflate(base64_decode скрипт, для расшифровки которого возможно воспользоваться одним из этих двух декодеров - здесь или здесь . Читаем и наслаждаемся.

Хм, продолжаем наши занимательные истории. Давно не было инклюдов, ну и вот.... новая крутейшая попытка, делающая сомнительную честь ее автору. Пора учреждать премию "Золотая it-калоша", а? - которую вручим самому-самому самонадеянному, самому из всех уверенному в собственной исключительности, очередному непризнанному гению- кулхацкеру? :laugh:

алексей, на странички этого топика возможно зайти только отключив антивирус, вы в курсе?

Да, мне говорили. Ну, что ж я могу поделать. Темка-то ведь нужная и весьма познавательная... если ваш антивирус считает, что в joomla-сайте одна из страниц может быть заражена, а остальные - не заражены... это проблемы антивируса. Главное, чтобы Яша и Гоша так не считали; а они так не считают.

Взгляните, вот еще одни повод для тревоги вашего антивируса. Приведенный в этих постах синтаксис атак, безусловно, носит веерный характер и рассылается во все стороны, безадресно... но не всегда так бывает. Судя по всему, данная тема не нравится не только вашему антивирю, но и еще кое-кому, чьи способности и профессиональные знания в выбранной сфере деятельности трагически отстают даже от эвристики каспера... взгляните, скажем, на этот сценарий, он напрямую адресован не так уж часто используемому в России шаблону нашего сайта.

А я вижу в логах одного из вверенных мне сайтов такой get-запрос... попытка взлома не имеет отношения к masterpro.ws, но в чем-то похоже... даже и не упомню, что за com_joomlalib такой?


P.S. хотя не, вспомнил, была вроде уязвимость в этом компоненте много лет назад.

Ок, продолжаем нашу летопись.
Вроде не было раньше этого модуля - mod_raxo_allmode - в синтаксисе наших с вами злонамеренных GET-запросов? Ну и вот, теперь он появился:

Глянул в JED, действительно, RAXO All-mode PRO... возможно, речь идет о старой версии расширения, но тем не менее. Будьте осторожнее с RAXO All-mode PRO, админы!

Гы, неслабый шажок вперед. Синтаксис атаки немного изменился... давай-давай, суперхакер, еще немного поднапрячься - и у тебя, скорее всего, даже все получится: ты сумеешь забыть о всех своих проблемах детского периода, унижения одноклассников, и даже о том, как хотелось когда-то трахнуть свою маму. :laugh: