Autore Topic: Segnalazione Hacking in the wild diffondete e segnalate  (Letto 2770 volte)

Offline danielecr

  • Appassionato
  • ***
  • Post: 298
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #20 il: 21 Apr 2017, 16:15:52 »
Io penso che parta da un malware sul pc che ruba i dati di accesso all'ftp; in un forum di un altro cms si fa riferimento a identificazione di un ip anomalo nel file di log ftp, ma nulla in riferimento a stringhe più elaborate nei log di apache.

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12579
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #21 il: 21 Apr 2017, 16:19:12 »
Aggiornamento:
Nel frattempo che si chiacchierava in entrambi i  siti sono di nuovo stati modifcati / aggiunti i due files.
Ripuliti e cambiata per entrambi la password ftp con una molto più strong.

Offline alexred

  • Administrator
  • Fuori controllo
  • *****
  • Post: 25214
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
    • AlexRed.com
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #22 il: 21 Apr 2017, 17:16:32 »
prova a non salvare nel client FTP questi nuovi dati di accesso.
Magari usa l'accesso veloce copiando incollando ogni volta i dati di accesso.

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12579
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #23 il: 21 Apr 2017, 17:41:17 »
prova a non salvare nel client FTP questi nuovi dati di accesso.
Magari usa l'accesso veloce copiando incollando ogni volta i dati di accesso.
Ok sarà la prossima prova perchè li avevo già salvati in filezilla.
Per il momento non sono stati modificati-aggiunti ancora.
 

Offline Ahmed Salvini

  • Appassionato
  • ***
  • Post: 237
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #24 il: 21 Apr 2017, 17:53:17 »
Guarda via ftp dei files che abbiano una data di modifica strana o uguale a quella dei files malevoli che hai trovato, secondo me hai uno script offuscato che ricrea i files.

Massimiliano Citterio

  • Visitatore
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #25 il: 21 Apr 2017, 22:58:32 »
Dubito che si tratti di uno sniffing dei dai di accesso ftp,  sulle installazioni infettate, mai utilizzato l'accesso ftp, sempre il filemanager del provider in https. Il Pc è una Debian 8, il tablet un samsung note.  Ma sicuramente l'accesso è avvenuto via ftp.
Attenzione joomla salva i dati ftp nel file configuration.php,  ma andrebbero usati solo come alternativa nel caso gli aggiornamenti non si installassero.


Se in qualche maniera la piattaforma ha una vulnerabilità che permette di far leggere il contenuto del configuration.php allora potrebbe ottenere i dati di accesso ftp.


Io ho rimosso i dati e disattivato l'uso dell'ftp per gli aggornamenti, funziona tutto bene lo stesso. Ho anche impostato delle ACL sull Ftp perchè sia accessibile solo dai miei indirizzi ip statici. Per chi ha l'ip dinamico è un problema.


Ho usato per la prima volta l'ftp proprio per scaricare il sito e trovare le differenze, è cosi che ho trovato i file.


 Stasera preparo uno scriptino php da aggiungere agli index.php per creare un log di accesso , uno per il frontend e uno per il backend.


Dobbiamo capire se c'è una vulnerabità nel core.


Abbiamo capito  Chi e perchè
Abbiamo scoperto Cosa.
Adesso dobbiamo capire Come.




Offline alexred

  • Administrator
  • Fuori controllo
  • *****
  • Post: 25214
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
    • AlexRed.com
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #26 il: 21 Apr 2017, 23:04:39 »
versione di PHP ?
Spero almeno una 5.6.25 o superiore,
o una 7.0.18.

Le vulnerabilità sono presenti anche nelle versioni obsolete dei servizi in uso sul server, PHP, mysql, apache ecc...

Massimiliano Citterio

  • Visitatore
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #27 il: 21 Apr 2017, 23:19:20 »
ora ho la 5.6 su entrambi. prima  erano su ******.


Scusate ma ****** da la 5.6 solo con il pacchetto plus.  altrimenti mette una 5.4 . è patchata ma è sempre una 5.4. Se qualcuno di ****** mi legge , vi prego date la 5.6 a tutti. E l' https anche.

Massimiliano Citterio

  • Visitatore
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #28 il: 21 Apr 2017, 23:20:41 »
perfetto vedo che i provider non si possono nominare. Meglio così
« Ultima modifica: 22 Apr 2017, 00:15:34 da Massimiliano Citterio »

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12579
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #29 il: 21 Apr 2017, 23:31:53 »
Infatti da me ci sta php 5.4.45  ;D e niente https...  ;D ;D ;D
Cmq da quando ho cambiato la pasword ftp oggi pomeriggio i file non sono più cambiati.


Massimiliano Citterio

  • Visitatore
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #30 il: 22 Apr 2017, 00:15:05 »
 il  ciclo di crawnling del robot di questo malware è  una volta a settimana.

quindi  se oggi si era reinstallato  devi aspettare  fino a venerdì prossimo.

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12579
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #31 il: 23 Apr 2017, 15:14:28 »
il  ciclo di crawnling del robot di questo malware è  una volta a settimana.

quindi  se oggi si era reinstallato  devi aspettare  fino a venerdì prossimo.
No da me nei due siti sono ricomparsi ieri 22 aprile in uno alle ore 17,05 e nell'altro alle ore 17,14, stesso provider. Vediamo adesso quando tornano...  ;D

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12579
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #32 il: 23 Apr 2017, 23:12:54 »
Stessa cosa oggi 23 alle ore 18 in entrambi i siti.

Offline Ahmed Salvini

  • Appassionato
  • ***
  • Post: 237
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #33 il: 24 Apr 2017, 16:20:27 »
questa http://0day.today/exploits/26794 è stata patchata? ...è di gennaio...

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12579
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #34 il: 24 Apr 2017, 22:16:54 »
questa http://0day.today/exploits/26794 è stata patchata? ...è di gennaio...
Non ho mica capito cosa vuoi dire con quel link Ahmed Salvini ...  ;D

Offline danielecr

  • Appassionato
  • ***
  • Post: 298
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #35 il: 25 Apr 2017, 09:03:03 »
Che a quanto pare, e la fonte è attendibile, gira un exploit remoto critico per l'ultima versione di joomla 3.6.5.
E visto che l'exploit è ancora privato, dubito che ci sia una patch disponibile..

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12579
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #36 il: 25 Apr 2017, 09:52:04 »
Ho visto, dopo ci ero arrivato pure io. Subito quel sito non si apriva....
Ma in quella fonte autorevole scovano le vulnerabilità e poi le vendono? Questa non la sapevo.  :o

Speriamo qualcuno ci metta presto una pezza....

Io nel frattempo ho scovato un file dentro la cartella media/media/images/sun.php che allego per gli studiosi. Da quel che capisco è il file deputato a reinserire i file per i redirect ed è multisuo utilizzabile sia per joomla che per wordpress e forse persino per pagine html. Ma magari ho detto una castroneria....
« Ultima modifica: 25 Apr 2017, 15:35:47 da tonicopi »

Offline Ahmed Salvini

  • Appassionato
  • ***
  • Post: 237
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #37 il: 25 Apr 2017, 15:14:44 »
si, diciamo che è una specie di shell o almeno ne include delle peculiarità, sicuramente non centra con Joomla.
Sembra però non essere il risultato di un automatismo ma di qualche pischelletto che ti ha preso di mira.

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12579
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #38 il: 25 Apr 2017, 15:30:05 »
Non credo si tratti di un pischelletto. Perchè:
- a quel che ho letto ne sono affetti centinaia se non migliaia di siti;
- vengono creati questi redirect a questo sito: euro-pharm247.com visibili solo ai motori di ricerca.
Quel sito ne trae indubbio vantaggio è non è di un pischelletto.
Si tartta dunque di un lavoro professionale ed applicato su larga scala.
Non so ancora come mi entrano, se sfruttando una falla nel server e magari quella vulnerabilità di joomla che mi hai segnalato tu.
Adesso credo di aver tolto tutti quei file ed ho cambiato di nuovo le password ftp.
Vedremo che succede.

Intanto vorrei chiedere: se questo accesso informatico è  un reato, possibile che non riusciamo a far pagare il conto a qualcuno? Questo sito euro-pharm247.com è il beneficiario. Ha un nome e cognome. Perchè non mobilitiamo il Vamba che su queste indagini si divertiva?  :D
« Ultima modifica: 25 Apr 2017, 15:33:54 da tonicopi »

Offline Ahmed Salvini

  • Appassionato
  • ***
  • Post: 237
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #39 il: 25 Apr 2017, 15:34:10 »
perchè è stata divulgata senza proporre patch in quanto il problema era di terze parti

https://developer.joomla.org/security-centre.html
All versions of the third-party PHPMailer library distributed with Joomla! versions up to 3.6.5 are vulnerable to a remote code execution vulnerability. This is patched in PHPMailer 5.2.20 which will be included with Joomla! 3.7.

possibile che non riusciamo a far pagare il conto a qualcuno? Questo sito euro-pharm247.com è il beneficiario. Ha un nome e cognome. --------------------------------------------------------
perchè spesso è necessaria una rogatoria. Immagina se il server o il malintenzionato operano in Turchia... ci abbiamo messo 2 settimane con la mobilitazione di ministri e ambasciatori per portare a casa un giornalista figurati per l'estradizione di uno che ti frega un po' di ranking :)
« Ultima modifica: 25 Apr 2017, 15:37:39 da Ahmed Salvini »

 

Torna su