Joomla platformas ievainojamība

Kopš Ziemassvētkiem tiek novēroti masveida uzbrukumi mājas lapām, kas izmanto Joomla satura vadības sistēmu (CMS). Šobrīd ir konstatēti jau vairāki desmiti uzlauztu un izķēmotu lapu.

Uzbrucēji sevi dēvē par Indonēzijas hakeriem. Daļa ļaunprātīgo darbību tiek veiktas no Indonēzijas IP adresēm (118.96.151.37, 114.79.19.164 un citas no pakalpojuma sniedzēja "TELKOM INDONESIA"), taču to filtrēšana nav uzskatāma par risinājumu.

CERT.LV aicina visus Joomla lietotājus atjaunināt Joomla versijas uz jaunāko (2.5.8 lietotājiem), kā arī pārliecināties, ka visi papildus Joomla funkcionalitātes moduļi (plugins) arī tiek atjaunināti.

Līdz šim novēroti uzbrukuma pielietojumi uz JCE Joomla Extension versijām 2.0.10 un vecākām modulim "imgmanager".

Uzbrukumi tiek veikti automatizēti un tā sekmīgas realizācijas gadījumā uzbrucējs spēj izvietot ļaundabīgus failus uz upura sistēmas.

Zemāk norādīti daži pavedieni, pēc kuriem iespējams virspusēji identificēt uzbrukumu web servera žurnālfailos:

"POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743
HTTP/1.0" 200 69 "-" "BOT/0.1 (indonesian defacer)"

Ieteicams meklēt arī pašu simbolu virkni parametrā cid - "20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743"

Kā redzams, user-agent parametrs ir "BOT/0.1 (indonesian defacer)", bet tiek lietoti arī citi.

Uzbrucēji uz uzlauztās sistēma atstāj failus (susu.*, xx.php, wso.php, x.txt, 0day.*).

Ja neesat īsti drošs, vai jūsu mājas lapa izmanto Joomla platformu, vai arī augstāk sniegtā informācija šķiet pārāk sarežģīta, lūdziet IT speciālista palīdzību, lai pasargātu savu mājas lapu no uzbrukumiem.