mi sitio con joomla 1.5.14 se borró y me gustaría saber cómo lo hizo y cómo detenerlo

Navega tus respuestas
1

Se supone que debo administrar el contenido de un sitio y se ha modificado.
El sitio está alojado en un servidor Linux que ejecuta Apache. Versión de Apache: 2.2.13
La versión de Linux es Debian 4.0 (creo que realmente no tengo acceso a nada más que una cuenta ftp y phpmyadmin).
La página index.php fue reemplazada por una página en blanco con el apodo de Internet del atacante.
Instalé una máquina virtual Backtrack 5.
Corrí Armitage en el sitio con un "Ave María" y no encontró servicios explotables
Ejecuté el escaneo de joomla. Obtuve el siguiente resultado (solo estoy pegando los bits vulnerables por ser conciso): 

# 1 Info -> Generic: htaccess.txt has not been renamed. Versions Affected: Any Check: /htaccess.txt Exploit: Generic defenses implemented in .htaccess are not available, so exploiting is more likely to succeed. Vulnerable? Yes

# 2 Info -> Generic: Unprotected Administrator directory Versions Affected: Any Check: /administrator/ Exploit: The default /administrator directory is detected. Attackers can bruteforce administrator accounts. Read: http://yehg.net/lab/pr0js/view.php/MULTIPLE%20TRICKY%20WAYS%20TO%20PROTECT.pdf Vulnerable? Yes


# 19 Info -> CorePlugin: TinyMCE TinyBrowser addon multiple vulnerabilities Versions effected: Joomla! 1.5.12 Check: /plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/ Exploit: While Joomla! team announced only File Upload vulnerability, in fact there are many. See: http://www.milw0rm.com/exploits/9296 Vulnerable? Yes

La conclusión que saqué de estos 2 análisis es que el atacante no comprometió el sistema, sino solo la aplicación web.
Intenté reproducir el supuesto ataque TinyMCE pero eso no me llevó a ninguna parte.
Encontré las instrucciones aquí:
enlace

Pero no funcionan para mí, obtengo un "Acceso restringido" cuando intento navegar hacia esas URL supuestamente vulnerables y no se crean carpetas ni archivos como se describe en el documento.
Así que estoy atascado.
¿Cómo lo hicieron?
¿Cómo puedo evitar que lo hagan en el futuro?
No puedo actualizar la versión de Joomla. Este es un sitio web muy antiguo y el tema deja de funcionar en las versiones más recientes de Joomla. Podría modificarlo, pero eso me consumirá gran parte de mi tiempo, especialmente porque no he trabajado mucho con Joomla desde aproximadamente el 2008 (aparte de la simple administración de contenido y algunos ajustes aquí y allá). Me gustaría una solución simple para evitar que los atacantes dañen mi sitio sin modificar demasiado.
Gracias.

Upadte 1: w3af dice: La URL: * * / index.php / component / k2 / itemlist / search es vulnerable a la falsificación de solicitudes entre sitios.
¿Podrían haber desfigurado mi sitio con xssf? ¿No es solo para comprometer las máquinas de las personas que visitan un sitio web en particular?

    
pregunta Para 03.02.2013 - 15:26
fuente

1 respuesta

4

Apuesto a que el complemento TinyMCE es la forma en que entraron.

Así es como lo limpiaría sin destruir toda la caja:

  • Hacer una copia de seguridad completa de la base de datos. Verifique la tabla de usuarios y elimine las que no reconozca.
  • Realice una copia de seguridad de todos los archivos multimedia (directorio cargado) y revise en busca de shells / archivos PHP.
  • Descargue la versión 1.5.14 e instálela.
  • Restaura la base de datos antigua.
  • Descargue la versión más reciente de la rama 1.5.x y actualice su instalación.
  • Instala las últimas versiones de tus complementos.

También puede consultar algunos de los documentación de seguridad de Joomla .

    
respondido por el Polynomial 03.02.2013 - 15:38
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la mejor práctica? Cifrado RSA frente a la autenticación de Windows bootp habilitado de forma predeterminada en dhcp ¿reduce la seguridad?