Осторожно, JoomlaPortal.Ru похоже был взломан!

9 комментариев

7Вот такой вот желтый заголовок, да. А сама статья о том как был найден трой в архиве, который предлагают скачать с данного портала.

Небольшая предыстория. Не так давно ко мне обратился один знакомый, с просьбой провести аудит пары сайтов на joomla по причине, того что эти сайты переодически дейфесят. На обоих сайтах стояла одна и таже версия джумлы, с одинкаовым набором плагинов. Версия — 1.5.15, конечно старовата, но не суть.

Первым делом я решил занятся проверкой на бекдоры и шеллкоды. Для этого скачал архив с голой джумлой этой версии с данного сайта JoomlaPortal.Ru, а также еще откуда то (не помню уже точно с какого сайта) версию с кучей предустановленных плагинов.

Продолжение детектива читайте под катом

Первым делом я сравнил исходники с голой версией (c JoomlaPortal), и в целом все различия были в норме, посторонего кода нет.

Затем настало время проверки бекдоров в плагинах, для этого я начал анализировать diff со вторым скаченным архивом, и помимо общих различий из-за плагинов, было найденно следующее (слева — сайт заказчика):
4

6
Я думаю, что делает добавленный код — понятно (выполнение произвольного php кода).

Сравниваем с оффициальным архивом с JoomlaCode.Org, и естественно там такого кода тоже нету. Отсюда вывод, ушлые ребята из JoomlaPortal.Ru троянят архивы с джумлой, других разумных объяснений я не вижу.
UPD: После общения с администрацией выяснилось что скорее всего ресурс был взломан, свои обвинения в их адрес снимаю =)

Как оказалось на проверяемых сайтах этот бекдор также присутствовал, и поэтому первый дифф не дал никаких различий при сравнении с дырявой версией джумлы.

Будьте бдительны!

  1. smart

    Прежде чем кого-либо обвинять, я бы сначала связался с администраторами сайта. Неужели вы думаете, что сайт команды официальных переводчиков Joomla будет заниматься распространением бекдоров? Тем более, что в каждой новости мы всегда даем ссылку и на joomlacode и выкладываем дистрибутив локально. Мы сейчас разбираемся с ситуацией, судя по всему имел место взлом. Все дистрибутивы на сайте принудительно заменим. И обязательно опубликуем соответствующую новость.

    1. Дмитрий Амиров Автор

      Ну вобщем то — я хз. Я не знаю оффициальные переводчики ли вы или просто еще один сайт выкладывающий джумлу. Определять как оно на самом деле или целенаправленно вам об этом писать — у меня вобщем то не было желания.

      Я написал с той позиции с которой вижу это я. Впрочем если действительно имел место взлом, и есть сопутствующие факты, — я изменю заголовок и перепишу статью без проблем, а пока я вам не верю.

      1. smart

        Мы разбираемся с ситуацией и обязательно напишем о результатах. Ибо за все время существования портала это единственный случай. Учитывая давность версии, я несколько сомневаюсь, что получится найти логи за 2009 год (период актуальности дистрибутива 1.5.15). Но мы сейчас проверяем все остальные дистрибутивы и делаем полную ревизию сайта на предмет возможных уязвимостей.

        Что же касается моих слов про официальных переводчиков — вы можете в этом убедиться в реестре локализаций Joomla на официальном сайте: http://community.joomla.org/translations/joomla-translations.html (для Joomla 1.5) и более свежий список — http://community.joomla.org/translations/joomla-3-translations.html#ru-ru

        Так что я настоятельно прошу изменить заголовок и убрать обвинения из текста статьи — никакого злого умысла в данной ситуации не было. Мы занимаемся переводом и бесплатной поддержкой Joomla с 2005 года и никогда не занимались распространением бекдоров или варезных расширений. О самой проблеме — модифицированном дистрибутиве умалчивать конечно смысла нет — проблема была и отрицать ее неправильно. Но обвинять людей не разобравшись в ситуации — некорректно.

  2. ALEHAN

    Похоже сайт действительно был взломан. Последняя запись на сайте датируется 01.08.2013. А с тех пор уже много релизов вышло.
    Мда… я не очень сведущ в PHP и выявить вредоносный код не смогу, а у меня уже несколько сайтов сделано с дистрибутивов скачанных с этого сайта. Попадос(

  3. bhairava

    Вот интересные ребята с этого портала, почему ничего не разместили в новости об этой критической уязвимости? И впрямь ушлые видимо, раз не хотят предупреждать своих пользователей, что они просто обязаны обновиться, а не просто, что рекомендуют. Вы можете приобрести приогромнейшие проблемы, если на вашей джумле этой с бекдором крутятся какие-нибудь серьезные сайты, а я видел даже правительственные какие-то. Это ваш косяк чистой воды, вы обязаны были соблюдать стерильность на сервере, раз решили взять на себя ношу быть официальным представителем.
    Собственно нужно обязательно написать об этой инциденте официальным разработчикам, чтобы хоть они тогда упомянули об этой важнейшей критической уязвимости для российского сегмента.
    Не принимайте только близко к сердцу, но просто сами оцените возможный масштаб последствий для всех ваших пользователей, которые не обновят в обязательном порядке как можно скорее. Да мало обновить, надо теперь всем вашим пользователям тщательно чистить, а возможно с нуля переделывать труд, так как не известно каких прелестей могли наоставлять за это время. Наверняка уже где-нибудь на острове попиваете сочок с какой-нибудь продажи ссылок в скрытых блоках. Если вас действительно взломали, то считайте, что мои слова не относятся к вам, но что-то мне подсказывает, что ошибаюсь именно в этом предложении.

    1. bhairava

      InSys, а Вы большой молодец, что выявили и спалили их! Кстати, у них еще по всей видимости где-то в ядре функции написаны, которые и вызывают через callback с переданными параметрами.
      Функции эти сложновато наверно будет искать, так как ушлось злоумышленников извратна, с закосом под функции фреймворка.)
      Не, ну я понимаю, чтобы еще главные разработчики этого движка подшутили так над частью пользователей, им еще можно это простить, но какой-то команде переводчиков, а не разработчиков этого движка, это просто не простительно и должно всячески наказываться. Но и главные разработчики опустились бы в глазах приличных людей, если оставляли бы такую какашку. Хотят, чтобы труд оплачивался — делай платный продукт, хотят имени за счет продукта — все так и есть сейчас, поэтому считаю на полном серьезе, что нельзя дурить пользователей, если заявляешь им об одном, а на деле подсовываешь паганку такую, даже если ты без платы трудился над проектов.

      1. Дмитрий Амиров Автор

        Они меня заверили что они тут не причем. Я пообещал что сниму прямые обвинения в их адрес, заменив их более мягкими выражениями, тем самым оставив возможность пользователям самостоятельно их судить. Они пообещали сообщить о результатах расследования, но оных не последовало, что наталкивает на мысли… В общем не мне их судить.

Добавить комментарий

Прочли запись? Понравилась? Не стесняйтесь, оставьте, пожалуйста, свой комментарий. Мне очень интересно, что вы думаете об этом. Кстати в комментарии вы можете задать мне любой вопрос. Я обязательно отвечу.

Вы можете оставить коментарий анонимно, для этого можно не указывать Имя и email. Все комментарии проходят модерацию, поэтому ваш комментарий появится не сразу.