SiteSecure

Защита интернет-бизнеса от потерь и простоев

Уязвимость Joomla - как проверить сайт на взлом.

Максим ЛагутинМаксим Лагутин,23 ноября 2016, 13:52

25 октября команда Joomla выпустила патч для всех клиентов с версиями от 3.4.4 и выше для устранения серьезной уязвимости CMS, из-за которой удаленные пользователи могли создавать учетные записи и расширять свои полномочия на любом сайте Joomla. Обе эти “дыры” давали возможность хакеру легко загружать скрипты бэкдор и получать полный контроль над сайтом.

Через несколько часов после того, как был выпущен патч, многие хакеры активизировались и “принялись” за еще не обновленные сайты на Joomla. Так, эксперты компании Sucuri с помощью мониторинга увидели массовые заражения сайтов бэкдорами. Специалисты сделали вывод, что большинство сайтов на Joomla менее чем за 36 часов после выхода новости от разработчиков были так или иначе скомпрометированы.

Как обнаружить взломы?

Первое, что попытались сделать хакеры, - это попытки зарегистрировать новых юзеров. Такие попытки можно обнаружить в журнале по логу:

POST /index.php?option=com_users&task=user.register HTTP/1.1"

Через несколько часов после первых атак с нескольких румынских IP-адресов начались массовые атаки на тысячи различных сайтов Joomla. В них наблюдались попытки создать имя пользователя с именем db_cfg с паролем fsugmze3. Они ссылались на один и тот же URL и выглядело это в списке post-запросов так:

82.77.15.204 - - [26/Oct/2016:18:09:24 -0400]

"POST /index.php/component/users/?task=user.register

user[name] = db_cfg

user[username] = db_cfg

user[password1] = fsugmze3

user[password2] = fsugmze3

Посмотрите списки и обратите внимание на имя пользователя db_cfg. Наличие этого имени говорит о том, что вас взломали. Вы также можете искать эти 3 IP адреса в журнале:

82.76.195.141

82.77.15.204

81.196.107.174

Вскоре после этого началась массовая атака с латвийского IP-адреса, когда происходили массовые попытки зарегистрировать случайные имена пользователей и пароли на тысячах сайтов Joomla. Объединяла эти случаи только электронная почта: ringcoslio1981@gmail.com. Поэтому в логах ищите IP:

185.129.148.216

Затем атаки участились и стали более разнообразными. Так некоторые хакеры пытались автоматизировать загрузку бэкдоров, используя уникальные методы обхода загрузчика медиа-файлов (.pht).

Рост количества атак виден на графике

Если у вас сайт на Joomla и вы не успели вовремя обновить систему, настоятельно рекомендуем обновиться как можно скорее и проверить сайт на заражения и уязвимости с помощью онлайн-сервиса SiteSecure.

Источник новости