Iniezioni index e redirect google

[mau_develop]

..allora, è un po' di tempo che le index dei più diffusi cms vengono iniettati con js che quasi sempre finisce a fare richieste di malware.

E' colpa di Joomla? è colpa dell'hoster?

Ho fatto un po' di test, ricerche in rete e scambi di opinione con chi ne capisce qualcosina in più.
In realtà non sono giunto ad una conclusione, ma era ovvio, oltre a non essere stato attaccato in prima persona non ho abbastanza dati per avere una tesi sostenibile.

Innanzitutto una cosa... joomla non è l'unica vittima è in buona compagnia con wp e vb (meno).
Questo farebbe pensare che la vulnerabilità non sia di joomla, e a sostegno di questo c'è una "teoria" che vorrebbe più macchine (non tutte) su più hosting (non tutti) con delle backdoor di mistica provenienza.
Potrebbero spazzare tutto in un colpo di tasto ma vogliono prolungare l'attacco, pochi attacchi per volta che confondano il sysadmin, mirati a cms solitamente vulnerabili.
Lo scopo è l'infezione con un trojan e sono vulnerabili i sistemi windows, dato che viene chiesto di scaricare una patch di sicurezza che genera il malvare.

Contano sulla riuscita poichè vi si allerta l'av e si viene facilmente ingannati dalla simultanea richiesta di una patch di sicurezza, sembra relativa all'av.
Vi direte... si ma se si attiva, visto che si è allertato l'av si allerterà ancora no? ... no, un conto è il malware che rileva alla redirect, un'altro il trojan che ti fa installare. Le percentuali di detect sono bassissime, intorno al 10%.

Io penso che potrebbe essere abbastanza veritiera questa cosa, ...insomma, sta in piedi..., per cui vi direi:

- AD OGNI ATTACCO AVVISATE IL VS HOSTER SE SIETE ABBASTANZA SICURI DI AVERE TUTTO AGGIORNATO.

- E' CMQ UN PERIODACCIO, TENETE DEI BACKUP AGGIORNATI!

Poi,... penso che comunque venga sfruttata qualche debolezza, quindi mi sono chiesto come farei io se volessi arrivare a questo risultato e delle strade possibili (non testate) ci potrebbero essere di cui la più probabile è sfruttando una vulnerabilità del php (vesioni affette dalla 5.2.12 alla 5.3.1) e gli hoster sono sempre lenti ad aggiornare.

Altri problemi li ho trovati nell'htaccess, con le regole di riscrittura degli url, non fidatevi dell'htaccess che filtra le iniezioni etc.. ci sono i modi per bypassare...

Siamo tutti in pericolo? Sì!,... anzi No! .... anzi NI!... ovvero

Non disperate, è la rete! Internet è gestito da umani e accadono le stesse cose che accadono nella vita, cambiano i modi e le marche ambite ma le macchine le rubano sempre; crescono i produttori di antifurti e crescono i ladri.

L'unico modo di sentirsi sicuri è di aver sotto controllo la situazione e poter applicare un rimedio prima possibile, quindi osservate spesso cosa accade e fate un backup a tutti gli inserimenti di contenuti. Provate a cercarvi da google, solitamente è raggiungendo il sito provenendo da un motore che si verifica il problema, ed è proprio questo che vi impedisce di accorgervene subito, se accedete normalmente non succede. L'obbiettivo non siete voi, voi siete solo il mezzo.

M.

PS, MI FARESTE un piacere se mi inviaste delle mail quando venite attaccati dandomi delle notizie "tecniche", nome hoster, versione php nome sito, versione J installata, eventuali componenti...

[guido57]

Ciao mau_develop, un ringraziamento per l'analisi che hai fatto. Oltre a  essere molto chiara mi sembra che tocchi bene la "ratio" che ci può essere dietro i diversi attacchi subiti in questi tempi.
Certamente, alla prossima intrusione, approfitterò della tua gentilezza e ti comunicherò le informazioni.
Ciao
Guido

[joomla_fan]

Salve a tutti!
Solo per dire che, come già scritto sopra, non credo si tratti di problemi legati necessariamente a joomla.
Infatti, un sito da me gestito e "costruito" interamente a manina, non quindi un CMS conosciuto, ha subito lo stesso tipo di attacco (inserimento di script malevolo).
Nel mio caso sono state modificate le pagine index.asp, index.htm, default.htm; questo sia nella / sia in alcune sottocartelle.

[mau_develop]

..allora, innanzituuto grazie a tutti quelli che mi hanno inviato una mail come avevo chiesto, appena ne ho almeno una decina incomincio a cercare similitudini e provare ad esploitare ricostruendo le situazioni che mi descrivete  e che risulteranno comuni. le caratteristiche degli hosting e i settaggi dei vari server riesco comunque ad averli con un po di enumerazione, vedremo dove si finisce.

Con una manina dove potete immaginare ... dico, "strano che non hanno ancora tentato con il mio, è vero che è messo giù benino ma è anche vero che non importa se comunque passano dai server.

@joomla-fan:
vedi, il tuo post è molto significativo di ciò che succede perchè a te sembra di aver raggiunto una certezza dicendo che anche un'altro cms non joomla ha subito lo stesso attacco, a me invece vengono comunque dei dubbi non conoscendo la sicurezza di quel sito e vedendo che era pure in asp.

Comunque se avete un po' di dimestichezza potete anche attaccarvi da soli per vedere cosa succede, OWASP ha rilasciato un tool di pentest specifico per joomla molto carino

M.

[citus]

Salve a tutti e grazie a mau_develop per l'ottimo post!
Proprio oggi ho ripristinato una quindicina di files index.php e html in diverse cartelle che generavano il classico "security alert" ecc.
L'antivirus mi intercettava il troian:
Trojan-Downloader.JS.Agent.fdl

Il file indec.php presentava una redirect verso index2.php ed in quest'ultimo c'era un'iniezione di codice js lungo un chilometro.

Benedetti siano i backup, sempre!
Fortunatamente il troian non è recentissimo e viene intercettato dagli antivirus o bloccato dai browser aggiornati. Inoltre non ho rilevato danni al sito.

La domanda è: Come lo hanno messo?
Non ho rilevato login anomale sia nel backend che ftp, ho implementato una serie di misure di sicurezza per limitare al massimo le possibilità di intrusione, eppure i files sono stati modificati.
L'hosting è aruba, di tipo Windows + Linux e l'installazione di jommla era ovviamente su linux. Ho letto che nell'ultimo mese sembra che non siano pochi i siti hostati che hanno subito un'invasione simile.
Problema dell'hosting quindi?
Forse...
Nel frattempo ho problemi a impostare le permission a 644 sui files per via del proprietario, quindi ho chiesto ad aruba di cambiare il proprietario. Probabilmente mettendo come proprietario l'utente web con 644 non potrò fare più modifiche via ftp, ma del resto va bene così. I siti meglio svilupparli in locale, upparli e poi modificarli da web se possibile. Questo potrebbe ridurre le possibilità di danni.

Per completezza, le cartelle dove è stato cambiato/immesso un index.* sono:
Components
cache
includes
languages
libraries
modules
plugins
templates
tmp
xmlrpc

Più altre sottocartelle di qualcuna di queste.

[mau_develop]

..guarda, sono quasi sicuro che sei tu stesso a fare quell'opera con un'infezione nell'ftp del tuo pc, solo che non lo posso dimostrare, quindi rimane solo una pura e semplice idea..

Ripuliti, come dici tu, i files index in ogni cartella di primo livello e tolto il mailcheck dovrebbe tornare tutto a posto.
..tranne il pc.

Quello che ti rileva l'av dovrebbe essere solo il malware che trova nel sito, io ho paura esista qualcos'altro

M.

[citus]

..guarda, sono quasi sicuro che sei tu stesso a fare quell'opera con un'infezione nell'ftp del tuo pc, solo che non lo posso dimostrare, quindi rimane solo una pura e semplice idea..

Ripuliti, come dici tu, i files index in ogni cartella di primo livello e tolto il mailcheck dovrebbe tornare tutto a posto.
..tranne il pc.

Quello che ti rileva l'av dovrebbe essere solo il malware che trova nel sito, io ho paura esista qualcos'altro

M.

ehehehe... molto probabile che tu ci abbia azzeccato, dato che è lo stesso sospetto che ho io
Purtroppo non sono il solo ad accedere in ftp, ma almeno se dovesse ricapitare terrò d'occhio l'ultima login e chi la fa tra i candidati :p
Io mi sento "ragionevolmente" sicuro, dato che ho l'intera suite di kaspersky e mi collego solo dall'ufficio, ma non si sa mai, non metto mai la mano sul fuoco su queste cose.
Grazie ancora!

[mau_develop]

Allora...che io in qualche modo centro me lo ha confermato anche l'hoster:

Gentile cliente,
A seguito di controllo sono risultati dei tentativi di upload di file infetti avvenuti tramite l' ip indicato, quindi, per protezione del Suo spazio è stato effettuato un blocco preventivo e momentaneo su quell' ip per l'accesso ftp allo spazio. A tal proposito Le consigliamo di eseguire una scansione accurata, con strumenti specifici, di tutte le macchine che utilizza per accedere allo spazio web.

Ovviamente l'ip gliel'avevo fornito io per il controllo.

..quindi l'infezione dell'ftp esiste,... ma non so ancora se è precedente o successiva.

Altra possibilità una csrf... mapperchè non riesco a dormire

M.

[mau_develop]

Hanno ritentato il giochetto oggi, solo che sicuramente io oggi non c'ero e non ho potuto farlo sicuramente, quindi qualche tesi comincia a vacillare.

C'è di buono che sto cordialmente colloquiando con l'hoster e cercando di fornirgli più elementi possibili per arrivare ad una soluzione.

M.

EDIT: ...interessante... entrambi gli attacchi sono stati fatti alle 13, uno 13,06 l'altro alle 13,11
... fa pensare ad attacchi effettuati all'accensione di macchine "possedute",... dove sono circa le 8,30 quando quì sono le 13?

... del sito sostanzialmente me ne frega nulla, ma sta storia mi piace

Guardate gli orari di modifica dei files

[guido57]

A tal proposito Le consigliamo di eseguire una scansione accurata, con strumenti specifici, di tutte le macchine che utilizza per accedere allo spazio web.

Scusa la domanda banale, ma questi strumenti specifici sono i normali antivirus? O si parla di altro?
Grazie
Guido

[robinhoood]

Ciao, e grazie a tutti per l'aiuto.
Un ringraziamento in particolare a mau_develop che mi ha dato delle indicazionni per email.
Rispondo qui, nella speranza che sia utili a chiunque ne avesse bisogno.
Mi sono messo subito al lavoro e per prima cosa ho cercato il mailcheck.php nella cartella administrator, ma non  riesco a trovarlo.
Ho notato che non tutte le index.php o index.html risultano iniettate, può significare qualcosa?
E' possibile stabilire con precisione da dove sono passati e come hanno fatto?

[mau_develop]

mi sono distratto mentre postavo e mi avete scavalcato

vabbè ricopio qui:

...interessante... entrambi gli attacchi sono stati fatti alle 13, uno 13,06 l'altro alle 13,11
... fa pensare ad attacchi effettuati all'accensione di macchine "possedute",... dove sono circa le 8,30 quando quì sono le 13?
... del sito sostanzialmente me ne frega nulla, ma sta storia mi piace
Guardate gli orari di modifica dei files

@ robinhoood:
se guardi sopra citrus ha fatto un elenco, ma non è detto che sia per tutti la stessa cosa.
le cose comuni sono: la tipologia di cod iniettato, l'infezione al pc.

Scusa la domanda banale, ma questi strumenti specifici sono i normali antivirus? O si parla di altro?
----------------------------------------------------------------
un sysadmin (tranne mmleoni che gli voglio bene) ti parlerà sempre di due cose: firewall e antivirus.
Entrambi hanno una cosa in comune, ed è la percentuale di attacchi bloccati ... il 20%

Perchè credi si usi un eval? ... semplice per separare l'esplosivo e la miccia, passano separatamente e ne l'av ne il fw capiscono cosa sta passando, per loro solo normale codice.... ma quando l'eval incontra la sua key ... li diventa pericoloso, e sei tu a dargliela visitando la pagina.

M.

[guido57]

un sysadmin (tranne mmleoni che gli voglio bene) ti parlerà sempre di due cose: firewall e antivirus.
Entrambi hanno una cosa in comune, ed è la percentuale di attacchi bloccati ... il 20%

Perchè credi si usi un eval? ... semplice per separare l'esplosivo e la miccia, passano separatamente e ne l'av ne il fw capiscono cosa sta passando, per loro solo normale codice.... ma quando l'eval incontra la sua key ... li diventa pericoloso, e sei tu a dargliela visitando la pagina.

M.

Sei stato chiaro! Ergo, a parte controllare periodicamente i file alla ricerca di date diverse e quindi cercare e cancellare quel codice che sto iniziando a vedere dappertutto, evitare template e componenti non sicuri, che strumenti abbiamo per evitare che infilino quell'eval e poi accendano la miccia?
sempre grazie
Guido

[robinhoood]

 :'(mi dite dove è il mailcheck vi prego!!

[mau_develop]

che strumenti abbiamo per evitare che infilino quell'eval e poi accendano la miccia
--------------------------------------------------------------

capire come fanno, collaborare, anche se non si è esperti si può comunque essere attenti a ciò che si fà e succede.
Dicevo prima che oggi ho partecipato ad un corso di security web2.0, molte cose mi erano note in quanto da sempre considerati vettori di attacco... ma oggi le cose si sono complicate parecchio, solo gli stupidi si fanno infilare dalle sqlinj, con i framework il codice è incapsulato e ti costringe a seguire un pattern per sviluppare e qs di per se è già molto.

Per risolverla bisognerebbe essere l'admin del server,... mi hanno rubato la macchina a casa sua e io riesco a vedere solo delle "foto"... è lui che può vedere tutto ma per vari questioni inutili da elencare, difficilmente collabora a meno tu non abbia servizi dedicati.

@robinhood: magari non c'è... o magari lo fa in un secondo momento, non sto toccando nemmeno io il sito perchè voglio vedere cosa accade...

[robinhoood]

Ok io continuo con la bonifica delle index,
comunque il mio pc sembra ok dopo diverse scansioni con avira.
Ma poi se aggiorno i componenti che eventualmente non sono up to date posso riuscire a ripristinare il tutto?

Grazie ancora!!

Eppure io il mailcheck non riesco a trovarlo!!!

[robinhoood]

Ho finito la bonifica delle index,
se accedo al backend e cerco di fare alcune operazioni comuni vengo redirezionato su http://android4apps.com/?id=2045-22&k=cbd1835f8&d=1  vi dice qualcosa?
Io ho cambiato la password ftp, ma non sono riuscito a trovare il mailcheck.

Cosa altro posso fare?

Grazie

[iccamar]

mau_develop Grazie per le preziose informazioni.

Dopo aver letto il tuo post sono andato a controllare nella root del mio sito la presenza di files sospetti.

Ho verificato le date (a questo proposito: esiste qualcosa componente che faccia questa verifica in automatico?) ed ho trovato due files strani.

Sono entrambi nella root principale e sono nominati motel.php e nOva.php.

[Edito] Trovato anche un file nominato language.php che KarspersKy mi segnala contenere un exploit....

Non capisco nulla di codice ma mi pare che uno dei due serva a spedire email con i soliti messaggi che invitano a scaricare qualcosa mentre l'altra esegue dei comandi.

Al sito, apparentemente non è successo nulla (ho provato anche a cercarmi con Google come suggerito). Le impostazioni sono quelle suggerite da GuardXT, il file di configurazione è fuori della Root e con altro nome e la cartella di admin e' protetta con password.

Hai qualche suggerimento? Possono sevire queste informazioni?

Grazie! 

[mau_develop]

Se ritieni di avere componenti aggiornatissimi e core a posto e nessuna manipolazione ti posso assicurare che o passano dal server o entrano con una Cross Site Request Forgery, o lo fai tu con qualche tecnica di hack sul modeling della pagina (Ajax) o clickjacking.

I files toglili e disinfetta per bene il computer.

Vi consiglierei anche una scorsa delle ultime vuln su addons joomla,... saranno un cinquantina.
http://www.exploit-db.com/webapps

M.

[iccamar]

Grazie per la risposta.
Poiché sono del tutto a digiuno potresti darmi qualche delucidazione (non ho capito questo: "...Cross Site Request Forgery, o lo fai tu con qualche tecnica di hack sul modeling della pagina (Ajax) o clickjacking."

Per il resto, posso dirti che il sito è su un host degli USA (non so se le regole del forum mi consentono di indicare il nome, quindi non lo faccio) che ha proprio in questi giorni aggiornato la sicurezza dei server facendo cambiare anche a tutti gli utenti le pw del database.

Io sono su un Gridserver e, quindi, penso che possano essere entrati anche attraverso qualche vicino meno prudente.

Il sito l'ho messo online con Joomla il 21 marzo u.s. ed i componenti li ho presi da Joomlaorg poco prima. Ho anche fatto una verifica qualche giorno fa.

Inoltre, sempre grazie ad un suggerimento che ho letto su un tuo post, mi scvcarico peridodicamente i feedrss da Joomla! Documentation - Vulnerable Extensions List.