il mio sito con joomla 1.5.14 è stato deturpato e mi piacerebbe sapere come l'ha fatto e fermarlo

1

Dovrei gestire il contenuto di un sito e ne è stato deturpato.
Il sito è ospitato su un server Linux con Apache. Versione di Apache: 2.2.13
La versione Linux è Debian 4.0 (penso di non avere accesso a qualcosa di più di un account ftp e phpmyadmin).
La pagina index.php è stata sostituita con una pagina vuota con il soprannome di internet dell'utente malintenzionato.
Ho installato una macchina virtuale Backtrack 5.
Ho gestito Armitage sul sito con un "Ave Maria" e non ho trovato servizi sfruttabili Ho eseguito Joomla Scan ho ottenuto il seguente output (sto solo incollando i bit vulnerabili per il gusto di essere concisi):

# 1 Info -> Generic: htaccess.txt has not been renamed. Versions Affected: Any Check: /htaccess.txt Exploit: Generic defenses implemented in .htaccess are not available, so exploiting is more likely to succeed. Vulnerable? Yes

# 2 Info -> Generic: Unprotected Administrator directory Versions Affected: Any Check: /administrator/ Exploit: The default /administrator directory is detected. Attackers can bruteforce administrator accounts. Read: http://yehg.net/lab/pr0js/view.php/MULTIPLE%20TRICKY%20WAYS%20TO%20PROTECT.pdf Vulnerable? Yes


# 19 Info -> CorePlugin: TinyMCE TinyBrowser addon multiple vulnerabilities Versions effected: Joomla! 1.5.12 Check: /plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/ Exploit: While Joomla! team announced only File Upload vulnerability, in fact there are many. See: http://www.milw0rm.com/exploits/9296 Vulnerable? Yes

La conclusione che ho tratto da queste 2 scansioni è che l'utente malintenzionato non ha compromesso il sistema ma solo l'applicazione Web.
Ho provato a riprodurre il presunto attacco TinyMCE ma questo non mi ha portato da nessuna parte.
Ho trovato le istruzioni qui:
link

Ma non funzionano per me ottengo "Restricted Access" quando provo a navigare verso quegli URL presumibilmente vulnerabili e non vengono create cartelle o file come descritto nel documento.
Quindi sono bloccato.
Come hanno fatto?
Come posso impedirgli di farlo in futuro?
Non riesco ad aggiornare la versione di Joomla, questo è un sito molto vecchio e il tema smette di funzionare nelle versioni più recenti di Joomla. Potrei modificarlo ma questo mi mancherà molto del mio tempo, soprattutto perché non ho lavorato molto con Joomla dal 2008 (a parte la semplice gestione dei contenuti e qualche modifica qua e là).
Mi piacerebbe una soluzione semplice per impedire agli hacker di sfigurare il mio sito senza modificare troppo.
Grazie.

Upadte 1: w3af dice: L'URL: * * / index.php / component / k2 / itemlist / search è vulnerabile alla contraffazione della richiesta cross-site.
Potrebbero aver deturpato il mio sito con xssf? Non è solo per compromettere le macchine di persone che visitano un sito web particolare?

    
posta Para 03.02.2013 - 15:26
fonte

1 risposta

4

Scommetto che l'addon di TinyMCE è il modo in cui sono entrati.

Ecco come lo pulisco senza distruggere l'intera scatola:

  • Effettua un backup completo del database. Controlla la tabella degli utenti ed elimina quelli che non riconosci.
  • Esegui il backup di tutti i file multimediali (directory caricata) e controllali per eventuali shell / file PHP.
  • Scarica versione 1.5.14 e installalo.
  • Ripristina il vecchio database.
  • Scarica la versione più recente del ramo 1.5.x e aggiorna l'installazione.
  • Installa le ultime versioni dei tuoi plug-in.

Potresti anche dare un'occhiata ad alcuni documentazione di Joomla Security .

    
risposta data 03.02.2013 - 15:38
fonte