JCE
Атака совершается на устаревшие версии движков или дополнений к ним, содержащие неисправленные уязвимости (например, эксплуатируется уязвимость в популярном дополненим Joomla Content Editor). Из-за недосмотра администраторов уязвимые сайты в большом количестве остаются на просторах сети, процесс поиска и эксплуатации таких системы теперь автоматизирован злоумышленниками.
Всем пользователям Joomla и WordPress рекомендуется убедиться, что их системы, а особенно установленные нестандартные дополнения, обновлены до последней доступной версии и в случае если это не так, незамедлительно провести обновление. Проверить свою систему на внедрение вредоносного кода можно проанализировав JavaScrpt-файлы на наличие iframe-вставок ("find . -print0 -name *.js | xargs -0 grep -i iframe"). Дополнительно можно проверить наличие бэкдора, который устанавливается на поражённые системы в форме файла "/images/stories/story.php".
Плагины Joomla
Перечень сторонних расширений для Mambo/Joomla, которые подвержены уязвимостям из-за недостаточной обработки входных данных в параметрах.
ВАЖНО: все уязвимости имеют место ТОЛЬКО в случае register_globals=On. Следовательно, простейший способ избежать их — отключить эту директиву. Или же посетить сайты авторов компонентов для загрузки патчей и обновленных версий.
BSQ siteStats 2.1.0
com_bayesiannaivefilter <= 1.1
com_hashcash 1.2.1
com_securityimages 3.x
com_videodb <= 0.3
ExtCalendar <= 0.9.1
HTMLArea3 addon - ImageManager 1.5
Joomla Colophon 1.2
Joomla LMO Component <= 1.0b2
Joomla-SMF Forum Bridge <= 1.1.3.x
LoudMouth 4.x
MiniBB Forum Mambo Component <= 1.5a
mospray <= 1.8 RC1
OpenSEF 2.0.0. RC5
perForms 1.x
pc_cookbook <= v0.3
PollXT <=1.22.07
SimpleBoard <= 1.1.0
Sitemap 2.0.0 for Mambo 4.5.1 CMS
UHP (User Home Pages) 0.x
«Joomla Gurujibook» — «внедрение SQL-кода»
«Joomla Prime» — «directory traversal»
«Joomla Libros» — «внедрение SQL-кода»
«Joomla Tennis Ladders» — «внедрение SQL-кода»
«Joomla Article» — «внедрение SQL-кода»
«Joomla IotaPhotoGallery» — «внедрение SQL-кода»
«Joomla Biographies» — «local file inclusion»
«Joomla ACProjects» — «внедрение SQL-кода»
WP темы
Входящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.
В конфиге скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com) с которого ему разрешено загружать изображения.
Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-шелл на сервер используя список доверенных доменов для создания поддоменов с такими же названиями. Т.е. timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.
WP плагины и не только
Formcraft Plugin – Sql Injection
Файл /wp-content/plugins/formcraft/form.php
Google dork:
inurl:"wp-content/plugins/fs-real-estate-plugin/xml/marker_listings.xml?id="
Wordpress "count-per-day v3.2.4" plugin PHP Code Execution
В админке в настройках плагина параметр "Последние счетчики - Дни:"
Код:
/wp-content/plugins/count-per-day/ajax.php?f=count&time=9999999999
Wordpress 3.5 Full Path Disclosure
Версия 3.5 и 3.5.1
Чтобы воспользоваться ниже упомянутой уязвимостью нужно иметь права редактора или администратора, то есть права на размещение/редактирование новостей.
При размещении в тело сообщения JavaScript кода:
';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//"; alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-- </SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
formcraft Plugin Sql Injection
файл /wp-content/plugins/formcraft/form.php
Одним из возможных вариантов защиты является использование плагинов: Lockdown WP Admin, Better WP Security и Bulletproof Security. Да, и пароль у суперпользователя (админа) должен быть достаточно стойкий к взлому.
Ну а лично от себя, я бы еще рекомендовал сменить почту для сброса пароля администратора, если доступ в админку не закрыт по ip адресу в .htaccess.