Autore Topic: Segnalazione Hacking in the wild diffondete e segnalate  (Letto 4876 volte)

Offline EXP

  • Nuovo arrivato
  • *
  • Post: 41
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #40 il: 25 Apr 2017, 16:24:57 »
Sembra che il problema sia proprio quello....

http://www.securityfocus.com/bid/95108/info


Quindi in teoria anche se non attaccato dovrei essere tra le potenziali vittime  >:( finchè non verrà posto rimedio al problema (sembra dalla j3.7)...



Offline Ahmed Salvini

  • Appassionato
  • ***
  • Post: 294
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #41 il: 25 Apr 2017, 17:06:11 »
Beh, dal g+ di alex sembra che devi attendere fino a domani, comunque si può sempre aggiornare la libreria a manina anche se non è alla portata di tutti anche se su qualche forum sicuramente avranno proposto una soluzione.

Un sw opensource non può essere trascurato nemmeno 1gg, soprattutto se usato professionalmente, ne bucano uno e li bucano tutti :)  oppure hai un sito blog personale con un backup aggiornato allora puoi permetterti ciò che vuoi e che decidi

Offline EXP

  • Nuovo arrivato
  • *
  • Post: 41
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #42 il: 25 Apr 2017, 17:38:12 »
L'unica cosa che non capisco è il perchè alcuni siti si altri no... Il mio è tra i candidati avendo una versione di phpmailer inferiore al 5.2.18...

Se fosse un attacco con robot dovebbero averlo scovato... A meno che il problema non sia causato dal contemporaneo utilizzo di una versione php inferiore a 5.6

O come hai ipotizzato tu un attacco manuale....


Offline danielecr

  • Appassionato
  • ***
  • Post: 526
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #43 il: 26 Apr 2017, 11:27:55 »
Sempre che l'exploit sia riferito al phpmailer...Mi sembrava di aver letto che anche se il phpmailer datato aveva il bug, comunque la versione 3.6.5 di joomla non avrebbe permesso all'exploit di funzionare. Per questo non era stata rilasciata alcuna patch per joomla 3.6.5.

After analysis, the JSST has determined that through correct use of the JMail class, there are additional validations in place which make executing this vulnerability impractical within the Joomla environment. As well, the vulnerability requires being able to pass user input to a message's "from" address; all places in the core Joomla API which send mail use the sender address set in the global configuration and does not allow for user input to be set elsewhere. However, extensions which bundle a separate version of PHPMailer or do not use the Joomla API to send email may be vulnerable to this issue.

Vero che l'exploit funzionerebbe con estensioni esterne, ma la descrizione parla di bug al core...

Edit 2:
...anche se forse non è proprio così, perchè leggo anche, a proposito dell'exploit:

The researcher also developed an Unauthenticated RCE exploit for a popular open-source application (deployed on the Internet on more than a million servers) as a PoC for real-world exploitation. It might be published after the vendor has
fixed the vulnerabilities.
« Ultima modifica: 26 Apr 2017, 11:43:34 da danielecr »

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12627
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #44 il: 26 Apr 2017, 12:22:00 »
Citazione
L'unica cosa che non capisco è il perchè alcuni siti si altri no... Il mio è tra i candidati avendo una versione di phpmailer inferiore al 5.2.18...
Questo è assolutamente normale. Avere una vulnerabilità mica vuol dire che si viene automaticamnte hackerati....
Tornando alla mia situazione, in entrambi i siti ho tolto i files malevoli e sostituito quello con l'aggiunta di codice e per il momento stanno resistendo.

Offline Ahmed Salvini

  • Appassionato
  • ***
  • Post: 294
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #45 il: 26 Apr 2017, 15:59:39 »
Stai tranquillo che qualcuno avrà già trovato qualcosa anche per la 3.7 :)

Offline MBclick

  • Nuovo arrivato
  • *
  • Post: 6
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #46 il: 19 Mag 2017, 10:35:08 »
Ho anche io questo problema, ho già aggiornato prima alla 3.7 poi alla 3.7.1 ma continuano a modificare il file loader.php mentre non caricano più il file adapterobserver.php
Ho però ancora la versione 5.4 di php

Qualcuno ha trovato qualche soluzione?

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12627
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #47 il: 20 Mag 2017, 11:10:33 »
Citazione
Qualcuno ha trovato qualche soluzione?
Se vai indietro nel topic trovi un file che avevo allegato. Devi cercare nel tuo sito file che hanno quel tipo di codice. Trovati ed elimintai quelli dovrebbe terminare l'incursione. :)

Offline MBclick

  • Nuovo arrivato
  • *
  • Post: 6
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #48 il: 22 Mag 2017, 11:21:54 »
Ho scaricato tutti i file del sito sul mio pc, ho cercato (dal box ricerca in alto a destra di windows) "adapterobserver" ma non trovo nessun file che contiene questa parolina.. Tuttavia anche stamattina hanno modificato il file loader.php

Sbaglio qualcosa?  :-\

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12627
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #49 il: 22 Mag 2017, 12:21:42 »
Cerca appunto la stringa loader.php
Ciao

Offline MBclick

  • Nuovo arrivato
  • *
  • Post: 6
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #50 il: 23 Mag 2017, 09:27:42 »
niente, non trovo nulla  :-[

Offline MBclick

  • Nuovo arrivato
  • *
  • Post: 6
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #51 il: 26 Mag 2017, 10:58:02 »
dall'aggiornamento a joomla 3.7.2 non mi hanno più modificato il file loader.php

si saranno arresi o con joomla 3.7.2 è stato risolto questo bug?  :D

 

Torna su