Как это работает:

Ошибка, позволяющая произвести атаку, находится в файле restore.php, который в Joomla расположен по адресу administrator/components/com_joomlaupdate/restore.php. Когда вы к примеру выполняете обновление, то рядом с этим файлом создаётся ещё временный файл restoration.php, который автоматически удаляется по завершению обновления. Пока файл restoration.php существует, хакер может отправить специальный запрос к файлу restore.php и залить на ваш сайт всё что угодно. Времени у него очень мало, так как обновление занимает считанные секунды. Именно по этому никто особого внимания данной уязвимости не придал.

Но есть одно огромное НО. Если в процессе обновления возникла ошибка (что довольно часто случается), то файл restoration.php не удаляется, а продолжает находиться рядом с файлом restore.php. И ваш сайт превращается в полное решето, теперь хакер может заливать шелл когда угодно.

Для исправления уязвимости достаточно произвести обновление Joomla и компонентов от Akeeba до последней версии. Перед обновлением мы рекомендуем заглянуть в папку administrator/components/com_joomlaupdate/ и посмотреть, есть ли там файл restoration.php. Если он есть, то вполне возможно, что ваш сайт уже взломали.

Если обновление по каким то причинам выполнить невозможно, то для исправления данной уязвимости достаточно заменить файл restore.php на новую версию, где уязвимость закрыта. Скачать данный файл можно здесь.

Если вам необходима помощь - вы в любой момент можете обратиться к нашим специалистам.