В минувшую пятницу, придя домой, с удивлением обнаружил, что сайт моего знакомого задефейсили. Вроде и исходники открытые и комьюнити большие - уж откуда багам взяться да ещё таким? Однако по просьбе друга пришлось разбираться с проблемой.

    После беглого взгляда было установлено, что с сайта снесены все скрипты. Осталась нетронутой только папка templates со всем содержимым. Плюс изменился админский пароль в системе. Почему ограничились сносом скриптов и не долбанули до кучи по базе, до сих пор непонятно, ибо все возможности для этого были. Анализ логов позволил сделать вывод что пролезли не через дыры в самодельных модулях (для всех сторонних модулей ведется логирование запросов к базе данных, поэтому в данном конкретном случае искался запрос изменения пароля к админской учетке).

    Решив слить все улики себе на комп для более пристального изучения случайно обнаружил бэкдор. Точнее не я а мой DrWeb. Бэкдор как раз лежал в оставшейся директории templates в виде файла index.php. В принципе на этом расследование можно было завершить и заняться восстановлением сайта, однако в свете последних событий нужно было отработать "грузинский след". А ну как грузяки безобразничают? Но тут ждал облом - сайт подломили какие-то турки. Не поеду больше туда отдыхать (( После этого метнулся в RSS читалку поглядеть последние новости - вдруг весь рунет лежит в руинах? Слава богу обошлось. Однако сайт joomla.org тоже был обрушен. Лидеры проекта не растерялись и оперативно выпустили Security Fix, латающий баг (который присутствует во всех версиях joomla 1.5.x начиная с 1.5.2 а может и раньше). Плюс клятвенно заверили общественность, что создана специальная группа по работе над безопасностью ЦМС Жумла. Так что светлое и безопасное будущее не за горами )).

    Другие статьи о создании ПО и программировании

Сформировать ссылку на статью для вашего сайта | Просмотров: 32188

Коментарии (7)

Только зарегистрированные пользователи могут оставлять коментарии.
Пожалуйста зарегистрируйтесь или войдите в ваш аккаунт.