Вопрос Взлом joomla

Можно ли взломать joomla?

Все мы время от времени задаемся вопросом - насколько хорошо защищен наш сайт?
Достоинства joomla несомненны и не требуют комментариев... но - насколько данная cms безопасна?

Отвечу сразу - joomla защищена очень и очень неплохо. А выходящие довольно часто релизы безопасности дают, как мне кажется, высокую степень уверенности в том, что данная система управления контентом не только удобна, но и безопасна. Спасибо разработчикам.

А ломают joomla, увы, исключительно при посредстве и через многочисленные ее расширения. Имя которым легион. Что, впрочем, вполне объяснимо... скажите, что мешает нам с вами (кроме, разумеется, отсутствия необходимых навыков ) создав парочку-другую архиважных и всем необходимых компонентов для joomla - выложить их на просторах всемирной сети для скачивания всеми желающими? и - кто поручится, что данные расширения, при всей их уникальности и полезности, не содержат в себе потенциальной угрозы нашему сайту?

Таким образом, прежде чем устанавливать новый компонент на свой сайт - нелишне посмотреть в интернете его историю... поинтересоваться наличием его в списках проблемных и уязвимых расширений.

Список уязвимых расширений Joomla

Согласно сообщениям, публикуемым на packetstormsecurity.org , в 2010 г. список пополнился новыми компонентами:

«Joomla Gurujibook»
«Joomla Tennis Ladders»
«Joomla Article»
«Joomla IotaPhotoGallery»
«Joomla Biographies»
«Joomla ACProjects»
«Joomla Libros»
«Joomla Prime».

Среди уязвимостей, отмеченных packetstormsecurity.org — «внедрение SQL-кода», «local file inclusion» и «directory traversal». Всем кто, пользуется вышеозначенными компонентами, рекомендуется обновиться или обратиться к разработчикам.

Расширения и уязвимости:

«Joomla Gurujibook» — «внедрение SQL-кода»
«Joomla Prime» — «directory traversal»
«Joomla Libros» — «внедрение SQL-кода»
«Joomla Tennis Ladders» — «внедрение SQL-кода»
«Joomla Article» — «внедрение SQL-кода»
«Joomla IotaPhotoGallery» — «внедрение SQL-кода»
«Joomla Biographies» — «local file inclusion»
«Joomla ACProjects» — «внедрение SQL-кода»

Список уязвимых расширений joomla . Рекомендуется тщательно просмотреть.

Предположим - увидел один из установленных на моем сайте компонентов в этих списках. Что делать - сносить?

unior писал(а):

Предположим - увидел один из установленных на моем сайте компонентов в этих списках. Что делать - сносить?

Для начала - можно взглянуть здесь и здесь .

Сваял скрипт , который можно разместить на любом сайте либо просто сохранить в файл с расширением HTML на своем рабочем столе и время от времени открывать в браузере... выводит перечень уязвимых расширений Joomla от Phil Tailer из его нового VEL API.

А мне интересно всегда было, а как это будет на людском языке? Имеется ввиду, где можно посмотреть, почитать, как это всё происходит. Как проникает вирус пошаговая инструкция. Ну чтоб больше понимать что и как защищать.

cell1983 пишет: А мне интересно всегда было, а как это будет на людском языке? Имеется ввиду, где можно посмотреть, почитать, как это всё происходит. Как проникает вирус пошаговая инструкция. Ну чтоб больше понимать что и как защищать.

Увы. "На людском языке" - скорее всего, не получится. Язык, преамбулами которого приходится оперировать - настолько "нелюдской", что, мне говорили, даже некоторые антивирусы запрещают просмотр одной из тем этого форума.

Попробуйте все же. Ответить, в общем, несложно: злонамеренный код ищет лазейки, обусловленные неправильно сконфигурированными опциями сервера, небезопасными разрешениями файлов и директорий, уязвимостями кода того или иного расширения Joomla, либо даже самого движка. Хрестоматийный пример: включенный на сервере register_globals и уязвимый joomla-extension, который вы не озаботились обновить до последней версии - почти наверняка приведут к взлому вашего сайта. А еще вполне актуальны сегодня, судя по логам, атаки типа "нулевой код в URI" (Null Byte Injection), о которых вы можете прочесть (очень немного, самую основу, тема слишком специфична) в статье Внимание, хакерские атаки в вебе .

Установив на свой сервер одну из старых версий Joomla - вы можете попробовать самостоятельно воспроизвести знаменитую атаку на эскалацию привилегий , видео и подробное описание - по ссылке. Но расшифровку терминологии все равно придется искать где-то в вебе, иначе никак. Да, и еще развернутая статья про RSFirewall .