Turinio valdymo sistemos Joomla 1.6/1.7 ir 2.5.0-2.5.2 versijose buvo rastas vartotojų registravimo modulio pažeidžiamumas, leidžiantis laisvai registruoti privilegijuotus vartotojus. Atakos metu įsilaužėlis:
- užregistruoja svetainėje naują vartotoją administratoriaus teisėmis;
- modifikuoja Joomla šablonų kodą ir įterpia kenkėjiškas programas, suteikiančias nuotolinę prieigą bei galimybes vykdyti kitas kompiuterines atakas.
Pastaruoju metu pažeidžiamumas aktyviai išnaudojamas. Įvykusių atakų metu kataloge administrator/templates/bluestork aptinkami tokie kenkėjiški failai:
-r--r--r-- 1 userpvz users 796 2012-12-31 14:53 error.php
-rw-r--r-- 1 userpvz users 2095 2013-01-01 08:14 confgic.php
-rw-r--r-- 1 userpvz users 818 2013-01-01 09:07 servcie.php
-rw-r--r-- 1 userpvz users 719 2013-01-01 13:50 stlye.php
-rw-r--r-- 1 userpvz users 9330 2013-01-01 15:40 stmdu.php
Siūlomas problemos sprendimo būdas:
1) Laikinai išjungti puslapį:
Administratoriaus darbo režime: Globalios nuostatos -> Svetainė -> Svetainė išjungta = Taip
2) Išvalyti kenkėjiškus failus iš įdiegtos Joomla versijos:
Tam galite parsisiųsti tą pačią Joomla versiją ir kruopščiai sulyginti abiejų sisteminius failus. Galima naudoti šiuos įrankius: http://meldmerge.org/, http://winmerge.org/. Atikreipkite dėmesį į administrator/templates/bluestork katalogą. Prašome atkreipti dėmesį į visus .php failus, esančius šiame kataloge. Siūlome peržiūrėti failų modifikavimo datas.
3) Atnaujinti Joomla į paskutinę išleistą versiją:
Jei naudojama Joomla versija 2.5.x. Administravimas -> Valdymo skydas -> Atnaujinkite dabar:
Jeigu naudojama 1.6.x arba 1.7.x versija, išsamų atnaujinimo procedūros aprašymą rasite čia:
http://docs.joomla.org/Upgrading_from_Joomla_1.7_to_Joomla_2.5
4) Pašalinti vartotojus, kurių atsiradimas nėra aiškus: Administravimas -> Nariai -> Narių tvarkyklė -> Ištrinti:
Jei nebūtina narių registracija, rekomenduojame ją uždrausti: Administravimas -> Nariai -> Narių tvarkyklė -> Nustatymai:
5) Pasikeisti Joomla administratoriaus slaptažodį.
7) Darbo pabaigoje vėl įjunkite svetainę.
Daugiau informacijos:
Bendra informacija apie Joomla saugumą:
Nepamirškite daryti atsarginių kopijų!