Как побороть sql инъекцию на joomla 2.5?

Question

[kmaroff]

Здравствуйте, помогите победить внедрения внешней ссылки на сайт через sql инъекцию, а точнее вычислить вредоносный код или посоветуйте алгоритм действий для перекрытия кислорода и защиты от подобного рода взломе.
cms joomla 2.5
Известна таблица в бд, куда вставляется ссылка, известна сама ссылка. При удалении строк из таблицы они тут же там появляются. Я так понимаю просто смена паролей от аккаунтов не поможет. Как вычислить код который впаривает в бд свои ссылки? Как перекрыть этот путь или сделать экранизацию левых sql запросов?

Answer 1

[Андрей Попов]

Для начала посоветовал бы проверить включено ли логирование в access и error логи веб сервером. Если включено и знаете примерное время применения инекции изучите их.

Скорее всего найдёте скрипт в котором дырка. Ну а дальше дело за малым - патчинг этого. Но так вы сможете прикрыть только дырки которые юзались и вы заметили.

Answer 2

[Сергей Щучкин]

Жесткий перехват

// libraries/joomla/database/driver/mysqli.php
// добавь после строки 559: $this->cursor = @mysqli_query($this->connection, $query);

if (strpos($query, 'WWW.ZLOVRED')) { // замени на свой
  mail(  'адрес для отладки@example.com',  'Hack!', print_r( debug_backtrace(), true ));
}

* Сам не пробовал

Answer 3

[Игорь Воротнёв]

Перестать использовать Joomla 2.5 целиком либо тот модуль, в котором это происходит (если это не ядро системы).

Answer 4

[Евгений Куманин]

Откуда скачивали установочный пакет джумлы?
Ставили какие нибудь расширения?
Может на сервере есть бэкдор?
и т.д.

Сергей Щучкин хорошее предложение как вычислить зловреда.