Всем хорошего дня, одолела меня недавно напасть, всё грузят и грузят в пару сайтов шеллы да удаляют сайт целиком…
решил разобраться по горячим следам, что же происходит.
Первым делом идём изучать логи.
а логах довольно быстро находится частые запросы вот по такой урле
POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1
дальше в логах есть набор запросов на такие файлы, это скорее всего загрузчик шелла
- - [17/Sep/2013:01:45:08 -0700] "GET /images/stories/3xp.php HTTP/1.1" 404 2271 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
- - [17/Sep/2013:01:45:08 -0700] "GET /images/stories/0day.php HTTP/1.1" 404 296 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
- - [17/Sep/2013:01:45:08 -0700] "GET /images/stories/jahat.php HTTP/1.1" 404 296 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
- - [17/Sep/2013:01:45:08 -0700] "GET /images/stories/70bex.php HTTP/1.1" 404 296 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
- - [17/Sep/2013:01:45:08 -0700] "GET /images/stories/itil.php HTTP/1.1" 404 296 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
- - [17/Sep/2013:01:45:09 -0700] "GET /images/stories/0d4y.php HTTP/1.1" 404 296 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
- - [17/Sep/2013:01:45:09 -0700] "GET /images/stories/iam.php HTTP/1.1" 404 296 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
есть и удачные конечно, после чего уже идут запросы к самому шеллу.
ну а дальше стандартная ситуация.
вбивая первую урлу в гугл я нахожу ссылки на эксплойт
например вот один из таких
http://www.bugreport.ir/78/exploit.htm
В 2х словах, если руками обратиться по ссылке
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20
то вас средиректит на index.php, но если у вас отключен JS то вам откроется JCE со всеми своими возможностями по заливке файла.
дальше берётся файл .php и загружается на сервер под видом gif файла, это указано и в заголовке файла и в расширении.
потом используется второй баг, и происходит переименование гиф файла в php
вот и всё, притом не важно обновлена ли ваша joomla 1.5 до последней, забыл уже какая там 1.5.26 вроде, этот пакет видимо не входит в стандартную поставку джумлы. поэтому его нужно обновить в ручную, например скачать новую версию вот тут
https://www.joomlacontenteditor.net/downloads/editor/joomla15x
и установить на свой сайт.
второй момент, это запретить запуск php файлов из каталога /images логично же вполне? зачем в картинках исполнять пхп файлы? (вообще по хорошему бы разделить те файлы которые могу исполняться и те файлы которые могу загружаться извне. именно выстраивать систему прав и доступа так, чтоб то, куда можно загружать не могло быть исполнено, и то где можно что-то исполнять было невозможно туда загрузить что-то. )
поэтому в /images создаём файл .htaccess с вот таким содержимом
Deny from all
ну и обаятельно проверить, закинуть туда простенький файл и проверить его выполнением..