Эта история о том, как вроде бы не представляющий особого интереса сайт на известной Joomla CMS легко взламывается школотой.
Иногда меня просят запостить новость о каком-нибудь событии на сайте танцевального клуба Кинезис, в котором я занимаюсь. На этой неделе был именно такой случай. И вот я зашел на сайт, полез в админку... А она ничего не показывает! Да, совсем ничего, просто белая страница. Перебрал в голове, что я такого мог делать на сайте - только добавлял очередную новость полторы недели назад.
Оказалось, что на странице админки не хватает двух строчек подключения системного javascript. Лезу на FTP, сравниваю каталоги сайта с копией, которую храню у себя на всякий такой случай) Обнаружилось, что папка "media" с системными и не очень модулями и плагинами перенесена в другую папку. А сам каталог media содержит только файл 403.php.
Попробовал открыть этот файл 403.php - перед открытием он сразу скачивается с FTP в локальную папку. Но он не открылся, а кинул ошибку про то, что уже занят и вообще-мол нужно админские права. Это всё мой антивирус. Тут же его удалил из локального хранилища и сказал, что это Backdoor, парень. В корне такой же файл и ещё один не замеченный мной - 1337mir.html.
Страничка 1337mir.html.- это то, что изображено на скриншоте выше. На ней ссылка автора на сайт 1337mir.com. Сайт с информацией и о хакинге и о защите. И есть ещё пару фотографий и строчек текста об авторе. Выходит что ему сейчас около 16 лет. Вот так школота ходит по невзрачным сайтам и ломает их)
По моим догадкам парень использовал уязвимость самого движка или какого-нибудь модуля, сделал инъекцию со своим юзеро/паролем, или сбросил существующие. И дальше залил трояна - этот shell скрипт 403.php. Уж не знаю, что этот скрипт делал, но кроме как возможности устраивать распределенные DDos атаки ничего в голову не приходит. Создать собственную зомби-сеть типичная задача для кулхацкера.
Админку восстановил, старые пароли не работают - чего он там в базе изменил - не представляю. Скорее всего восстановим предыдущее состояние из бэкапа. Как защищаться? А никак. Joomla 2 пестрит уязвимостями. Решение тут тупо обновляться и поддерживать актуально состояние бэкапов.
Иногда меня просят запостить новость о каком-нибудь событии на сайте танцевального клуба Кинезис, в котором я занимаюсь. На этой неделе был именно такой случай. И вот я зашел на сайт, полез в админку... А она ничего не показывает! Да, совсем ничего, просто белая страница. Перебрал в голове, что я такого мог делать на сайте - только добавлял очередную новость полторы недели назад.
Оказалось, что на странице админки не хватает двух строчек подключения системного javascript. Лезу на FTP, сравниваю каталоги сайта с копией, которую храню у себя на всякий такой случай) Обнаружилось, что папка "media" с системными и не очень модулями и плагинами перенесена в другую папку. А сам каталог media содержит только файл 403.php.
Попробовал открыть этот файл 403.php - перед открытием он сразу скачивается с FTP в локальную папку. Но он не открылся, а кинул ошибку про то, что уже занят и вообще-мол нужно админские права. Это всё мой антивирус. Тут же его удалил из локального хранилища и сказал, что это Backdoor, парень. В корне такой же файл и ещё один не замеченный мной - 1337mir.html.
Страничка 1337mir.html.- это то, что изображено на скриншоте выше. На ней ссылка автора на сайт 1337mir.com. Сайт с информацией и о хакинге и о защите. И есть ещё пару фотографий и строчек текста об авторе. Выходит что ему сейчас около 16 лет. Вот так школота ходит по невзрачным сайтам и ломает их)
По моим догадкам парень использовал уязвимость самого движка или какого-нибудь модуля, сделал инъекцию со своим юзеро/паролем, или сбросил существующие. И дальше залил трояна - этот shell скрипт 403.php. Уж не знаю, что этот скрипт делал, но кроме как возможности устраивать распределенные DDos атаки ничего в голову не приходит. Создать собственную зомби-сеть типичная задача для кулхацкера.
Админку восстановил, старые пароли не работают - чего он там в базе изменил - не представляю. Скорее всего восстановим предыдущее состояние из бэкапа. Как защищаться? А никак. Joomla 2 пестрит уязвимостями. Решение тут тупо обновляться и поддерживать актуально состояние бэкапов.
Комментариев нет:
Отправить комментарий