Autore Topic: Tool test  (Letto 3910 volte)

mau_develop

  • Visitatore
Tool test
« il: 21 Set 2012, 20:02:58 »
Domanda strana.... :)

Qualcuno ha un joomla infettato?

Deve essere basilare, possibilmente una versione 2.5.6 solo core

..uno zip di una cartella smontata e conservata...

insomma un malware "affidabile" :):)

M.

Ps ..non postatela quì ... poi vediamo come fare

Offline giusebos

  • Fuori controllo
  • *
  • Post: 19248
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
    • Demo iCagenda
Re:Tool test
« Risposta #1 il: 21 Set 2012, 21:50:04 »
averlo saputo 3 giorni fa non mi smazzavo cosi tanto :)
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

mau_develop

  • Visitatore
Re:Tool test
« Risposta #2 il: 21 Set 2012, 22:58:00 »
devo testare un tool che svolge diverse funzioni e rende facile il ripristino dopo qualsiasi iniezione di codice...

era partito come componente di j ma non ha senso, è destinato all'uso in locale poichè ha dei tempi di esecuzione inconcepibili per un hosting condiviso.
Le nuove classi native di php permettono... nulla di nuovo ma tutto meglio :) ... così ho rispolverato un vecchio script che aveva tempi incredibili e funzionalità limitate e l'ho  limato almeno 300 righe di codice e ho dimezzato i tempi di esecuzione, così che mi è venuta voglia di potenziarlo un po' con analisi più complete.... solo che il mio sito è stato infettato una volta sola alla 1.5.7 e viene fuori un test insignificante... però il malware lo trova tutto :)

M.

Ps... ah ecco eri tu che avevi un problema... azz.. ma nn le conservi? ... io tengo tutto! ... ho i backup e non incrementali di tutti i dispositivi dal 2002 in poi ... e su cd anche qualcosa prima ...sarò malato:(



Offline giusebos

  • Fuori controllo
  • *
  • Post: 19248
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
    • Demo iCagenda
Re:Tool test
« Risposta #3 il: 21 Set 2012, 23:09:41 »
no non ho il backup.
Conservo anche io le cose, ma non ho mai pensato di conservare i backup dei siti infettati.


su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

repel

  • Visitatore
Re:Tool test
« Risposta #4 il: 21 Set 2012, 23:22:20 »
mau io da qualche parte dovrei avere ancora uno script, creato assiaem ad alex, che analizzava l'hash delle versioni localizzate che rendevamo  disponibili qua su joomla.it.

Lo script non ha avuto un gran succeso proprio per il problema da te indicato
Citazione
tempi di esecuzione inconcepibili
ma eravamo rusciti a spezzare l'esecuzione in settori e i tempi erano assai migliorati ... ma poi non se ne fece più nulla e il tool è rimasto li a far polvere.

Ora non ho ben chiaro se il tuo tool esegue più o meno la stessa procedura nella ricerca dei file "maligni" se così fosse basterebbe modificare qualche file aggiungendo una riga (cambiando così l'hash) per essere scoperto dal tools.

P.S.
Ora riocordo anche perchè non se ne fece più nulla, perchè dopo aver trovato il sistema per migliorare le prestazioni ... rivendemmo quel tempo conquistato a fatica alla routine che recuperava i file corrotti e li sovrascriveva...... della serie  non si può aver tutto  :o :o ;) ;)


mau_develop

  • Visitatore
Re:Tool test
« Risposta #5 il: 22 Set 2012, 16:52:43 »
..allora, il tool è una classe e come tale può essere espansa all'infinito...
la classe mamma non fa altro che creare un tree (recursiveiterator)

... quando hai il tree poi basta scorrerlo e fare "qualcosa".

quello dell'hash è anche il modo usato da wp per il suo remover, ma ha le sue pecche... è praticamente booleano: o è uguale o è cambiato, si l'ho implementato anch'io creando dei database (files) di hash, file_hash è abbastanza veloce...
credo che più che l'hash la dimensione del file aiuti e soprattutto di alcuni files.
E' caratteristica comune che i files jolly siano gli index... non sono attacchi mirati a J e usano iniezioni abbastanza standard... quindi il primo test che ho fatto è la coerenza tra il mime che dichiara con l'estensione e quello negli header del file... ed ecco che è saltato fuori un index.html che aveva gli headers di un ico... con tanto di binario... può essere corrotto o malevolo cmq è già qualcosa.... o index.html che pesano 1kb... si possono esistere ma se li controlli vedi che magari uno è stato iniettato.
Poi ci sono altri filename abbastanza mirati, i define e quindi stesso trattamento.
Poi ci sono i tool destinati a joomla e anche quì il controllo viene fatto per "cose insolite"... non è solito un file con estensione diversa da immagine in una cartella immagini o css o file che abbiano estensioni eseguibili in tmp e cache...

insomma, non è proprio un tool da rilasciare come componente... anzi, su un server remoto ti cacciano se lo usi e va in timeout. Quello che stava facendo Alex era un po sul principio "mi buchi e ti avviso"
Il mio è abbastanza complicato e destinato solo a risparmiare fatica solo a chi comunque saprebbe usare altro per arrivare allo stesso risultato.

Quello che mi manca di testare è la funzione più delicata e sciupa-risorse ... l'analisi del contenuto.
Ho già risolto tanto con una pensata stupida ma efficace... la ricerca "mi sento fortunato" :) ovvero solo le prime 2 o tre righe del file... tanto è sempre all'inizio che mettono gli script, poi esiste anche quella più approfondita...

sono alla caccia di pattern... se metti i soliti eval etc sono usatissimi e da troppi falsi positivi, così pure i xx+xx... devo fare una regex che capisca che si tratta di codice offuscato....
... poi cmq ci sono mille altri problemi
Aldilà del risultato godo quando scrivo codice così... J mi ha fatto diventare la vita mvc :) :)

M.

 

Torna su