Há um novo exploit de dia zero no Joomla. Os detalhes são descritos em CVE-2015-8562 .
Recomendamos que você atualize o Joomla imediatamente, mas se não puder fazer isso ou não puder alterar os arquivos em seus servidores de backend, você pode aplicar uma correção no NGINX ou NGINX Plus no frontend.
Observação : Recomendamos fortemente que você atualize suas instalações do Joomla o mais rápido possível, mesmo que você aplique um patch no seu site hoje com esta configuração do NGINX.
Você pode ler sobre o exploit e o patch no blog da Sucuri ou no Ars Technica , entre outros.
Os ataques originais vieram destes endereços IP:
O ataque geralmente é realizado modificando o cabeçalho User-Agent
e pode ser identificado por estes valores dentro do cabeçalho: JDatabaseDriverMysqli
e O:
(letra maiúscula O seguida de dois pontos).
O Joomla fornece o seguinte exemplo de entrada de log de um ataque.
12 de dezembro de 2015 16:49:07 clienyhidden.access.logSrc IP: 74.3.XX.XX / CAN / Alberta
74.3.XX.XX [12/Dez/2015:16:49:40 -0500] GET /contact/ HTTP/1.1 403 5322 http://google.com/ }__test|O:21:x22JDatabaseDriverMysqlix22:3:..{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0:..{}s:21:x22x5C0x5C0x5C0disconnectHandlersx22;a:1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..{s:8:x22sanitizex22;O:20:x22JDatabaseDriverMysqlx22:0:{}s:8:x22feed_urlx22;s:60:..
Use este snippet de configuração do NGINX para bloquear os endereços IP originais e qualquer solicitação em que o cabeçalho User-Agent
contenha O:
ou JDatabaseDriverMysqli
. Para bloquear endereços IP adicionais, adicione-os à lista no segundo bloco de mapa
.
http { mapa $http_user_agent $blocked_ua {
~(?i)O: 1;
~(?i)JDatabaseDriverMysql 1;
padrão 0;
}
mapa $remote_addr $blocked_ip {
74.3.170.33 1;
146.0.72.83 1;
194.28.174.106 1;
padrão 0;
}
servidor {
ouvir 80;
se ($blocked_ua) { retornar 403; }
se ($blocked_ip) { retornar 403; }
# ...
}
}
Para obter mais informações sobre como restringir o acesso ao seu site, consulte o Guia de administração do NGINX Plus .
Poste sua experiência nos comentários abaixo.
"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."