۳ روز قبل تیم جوملا بسته ای (patch) را برای مقابله با یک آسیب پذیری امنیتی سطح بالا (به نام های CVE-2016-8870 و CVE-2016-8869) منتشر نمود. با استفاده از این آسیب پذیری یک کاربر عادی می تواند پس از ایجاد یک اکانت، دسترسی خود را در سایت افزایش دهد. از اینرو یک فرد مهاجم می تواند با افزایش سطح دسترسی خود، فایل های backdoor را بر روی سرور آپلود نموده و کنترل کامل سایت را به دست بگیرد.
۲۴ ساعت پس از انتشار اولیه این بسته امنیتی تلاش هایی برای یافتن سایت های آسیب پذیر در اینترنت انجام شد و در ظرف کمتر از ۳۶ ساعت حملات گسترده ای برای استفاده از این آسیب پذیری جهت نفوذ به سایت های جوملا ثبت گردید. از اینرو می توان گفت اکثر سایت های جوملا که به روزرسانی نشده اند آلوده شده و یا اینکه در معرض آلودگی قرار دارند.
تشخیص احتمالی آلودگی
با توجه به نوع حملاتی که ثبت شده اگر یکی از موارد زیر در سایت مشاهده شود ممکن است سایت جوملا شما آلوده شده باشد:
۱. اگر payload زیر در فایل های لاگ (log files) مشاهده شد.
۲. برخی از آی پی ها از کشور رومانی اقدام به ایجاد کاربر با نام db_cfg و کلمه عبور fsugmze3 نمودند. payload استفاده شده به صورت زیر می باشد.
82.76.195.141 - - [26/Oct/2016:18:09:24 -0400] "POST /index.php/component/users/?task=user.register user[name] = db_cfg user[username] = db_cfg user[password1] = fsugmze3 user[password2] = fsugmze3
۳. اگر آی پی های زیر در فایل های لاگ مشاهده شد:
82.76.195.141 82.77.15.204 81.196.107.174 185.129.148.216
از این آی پی ها اقدام به ایجاد کاربر و کلمه عبور به صورت تصادفی ثبت شده است. تنها الگوی مشترک بین آنها برای جستجو در فایل های لاگ آدرس ایمیل ringcoslio1981@gmail.com می باشد.
۴. مشاهده فایل با پسوند pht. که امکان آپلود خودکار فایل ها از طریق دور زدن media uploader جوملا را دارند.
به روزرسانی
اگر تا کنون نسخه جوملا خود را آپدیت نکرده اید، در اسرع وقت این کار را انجام دهید. همچنین پیشنهاد می شود آدرس های آی پی ارائه شده و آی پی های مشکوک را به همراه الگوی task=user.register در فایل های لاگ بررسی نمایید. همچنین در صورت مشاهده کاربران مشکوک و غیرعادی در سایت آن ها را حذف نمایید.
اگر پس از بررسی موارد ذکر شده متوجه شدید که سایت شما آلوده شده است، به منظور پاکسازی سایت خود می توانید از کارشناسان ما در ایران سرور راهنمایی بگیرید.