جدیدترین باگ امنیتی در Joomla

دسته بندی: امنیت
جدیدترین باگ امنیتی در جوملا

۳ روز قبل تیم جوملا بسته ای (patch) را برای مقابله با یک آسیب پذیری امنیتی سطح بالا (به نام های CVE-2016-8870 و CVE-2016-8869) منتشر نمود. با استفاده از این آسیب پذیری یک کاربر عادی می تواند پس از ایجاد یک اکانت، دسترسی خود را در سایت افزایش دهد. از اینرو یک فرد مهاجم می تواند با افزایش سطح دسترسی خود، فایل های backdoor را بر روی سرور آپلود نموده و کنترل کامل سایت را به دست بگیرد.

۲۴ ساعت پس از انتشار اولیه این بسته امنیتی تلاش هایی برای یافتن سایت های آسیب پذیر در اینترنت انجام شد و در ظرف کمتر از ۳۶ ساعت حملات گسترده ای برای استفاده از این آسیب پذیری جهت نفوذ به سایت های جوملا ثبت گردید. از اینرو می توان گفت اکثر سایت های جوملا که به روزرسانی نشده اند آلوده شده و یا اینکه در معرض آلودگی قرار دارند.

تشخیص احتمالی آلودگی

با توجه به نوع حملاتی که ثبت شده اگر یکی از موارد زیر در سایت مشاهده شود ممکن است سایت جوملا شما آلوده شده باشد:

۱. اگر payload زیر در فایل های لاگ (log files) مشاهده شد.

۲. برخی از آی پی ها از کشور رومانی اقدام به ایجاد کاربر با نام db_cfg و کلمه عبور fsugmze3 نمودند. payload استفاده شده به صورت زیر می باشد.

82.76.195.141 - - [26/Oct/2016:18:09:24 -0400]

"POST /index.php/component/users/?task=user.register

 user[name] = db_cfg

 user[username] = db_cfg

 user[password1] = fsugmze3

 user[password2] = fsugmze3

۳. اگر آی پی های زیر در فایل های لاگ مشاهده شد:

82.76.195.141

82.77.15.204

81.196.107.174

185.129.148.216

از این آی پی ها اقدام به ایجاد کاربر و کلمه عبور به صورت تصادفی ثبت شده است. تنها الگوی مشترک بین آنها برای جستجو در فایل های لاگ آدرس ایمیل [email protected] می باشد.

حتما بخوانید:  ZeusVM یک تروجان به تمام عیار

۴. مشاهده فایل با پسوند pht. که امکان آپلود خودکار فایل ها از طریق دور زدن media uploader جوملا را دارند.

 به روزرسانی

اگر تا کنون نسخه جوملا خود را آپدیت نکرده اید، در اسرع وقت این کار را انجام دهید. همچنین پیشنهاد می شود آدرس های آی پی ارائه شده و آی پی های مشکوک را به همراه الگوی task=user.register در فایل های لاگ بررسی نمایید. همچنین در صورت مشاهده کاربران مشکوک و غیرعادی در سایت آن ها را حذف نمایید.

اگر پس از بررسی موارد ذکر شده متوجه شدید که سایت شما آلوده شده است، به منظور پاکسازی سایت خود می توانید از کارشناسان ما در ایران سرور راهنمایی بگیرید.

 

 

 

امتیاز شما

مایلید هر دو هفته یک ایمیل مفید دریافت کنید؟

ما را در شبکه‌های اجتماعی دنبال کنید

همچنین شاید دوست داشته باشید!

آموزش نصب و پیکربندی WAF

آموزش نصب و پیکربندی WAF

0
Firewall به اختصار WAF، سرویس یا ماژولی برای افزایش امنیت وب‌سایت است که وظیفه کنترل ترافیک ورودی به وب‌سایت را بر عهده می‌گیرد. این نرم‌افزار…
مقاله آسیب پذیری های وردپرس

آسیب پذیری های کشف شده در وردپرس (July 2022)

0
همانطور که می‌دانید ما در ایران سرور بررسی آسیب‌پذیری‌ها و ارائه بروزترین آموزش‌ها در حوزه امنیت را یکی از مهم‌ترین رسالت‌های خود می‌دانیم. به همین…

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست