Пример взлома сайта.

В этой статье я расскажу об уязвимости сайта клиента, с помощью которой хакеры установили php-shell и получили контроль над сайтом. После полной очистки сайта от вирусов и скрытых ссылок, сайт нашего клиента был размещен на одной из наших тестовых площадок для проверки, не прошло и двух дней как сайт был взломан опять. Так как же это произошло? Сам факт взлома был установлен после настройки автоматического отслеживания изменений на сайте. После получения отчета я сразу начал изучать логи веб-сервера и обнаружил:

212.117.170.192 - - [24/Jan/2015:05:24:10 +0300] "GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0" 200 24229 "-" "User-Agent: BOT/0.1 (BOT for JCE)"
212.117.170.192 - - [24/Jan/2015:05:24:11 +0300] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.0" 200 592 "-" "BOT/0.1 (BOT for JCE)"
212.117.170.192 - - [24/Jan/2015:05:24:13 +0300] "POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0" 200 733 "-" "BOT/0.1 (BOT for JCE)"
212.117.170.192 - - [24/Jan/2015:05:24:13 +0300] "GET /images/stories/3xp.php HTTP/1.0" 200 437 "-" "User-Agent: BOT/0.1 (BOT for JCE)"

Недолго погуглив, я нашел уязвимость в модуле JCE, которая позволила злоумышленнику записать файл 3xp.php в директорию images, затем и сам php-shell:

212.117.170.192 - - [24/Jan/2015:05:57:18 +0300] "GET /images/stories/3xp.php HTTP/1.0" 200 437 "-" "Python-urllib/2.7"
212.117.170.192 - - [24/Jan/2015:05:57:20 +0300] "POST /images/stories/3xp.php HTTP/1.0" 200 472 "-" "Python-urllib/2.7"
212.117.170.192 - - [24/Jan/2015:05:57:21 +0300] "GET /images/stories/logos.php HTTP/1.0" 200 307 "-" "Python-urllib/2.7"
212.117.170.192 - - [24/Jan/2015:06:10:07 +0300] "POST /images/stories/logos.php HTTP/1.0" 200 42110 "-" "Opera/8.60b"
212.117.170.192 - - [24/Jan/2015:06:10:08 +0300] "POST /images/stories/logos.php HTTP/1.0" 200 7889 "-" "Opera/8.60b"


Для исправления проблемы я просто снес модуль JCE, так как клиент его не использовал и даже не знал, зачем он был установлен ранее. Прошло уже более трех месяцев сайт работает, и новых взломов не было, клиент доволен.

Прочитано 3373 раз Последнее изменение Четверг, 02 Июль 2015 20:26
Другие материалы в этой категории: « Защита сайта от взлома.

Оставить комментарий

Убедитесь, что вы вводите (*) необходимую информацию, где нужно
HTML-коды запрещены

JoomShaper