[Risolto]Attenzione attacco Hacker!!!!!!!!!!!!

[Flaterik]

Magari creo solo falsi allarmi o magari e' una cosa nota che non sapevo ma non c'e' mai abbastanza prudenza in questi casi.

Il mio sito ha subito ieri un'attacco da parte di un hacker (CmTr).

Ho notato che pochi minuti prima dell'attacco, e' arrivata una richeista di recupero password all'indirizzo email di amministrazione del mio dominio.


In seguito a questo, il sito non era piu' accessibile lato admine ha poi subito un defacing.

Era una cosa nota?


Suppongo abbia usato il metodo di recupero password di joomla bucare l'utente.

A tal proposito c'e' un metodo diverso per il recupero password che qeusto con l'inserimento di un codice per il reset non mi convince affatto

[mau_develop]

Il recupero password ha un problema che avevo già segnalato tempo fa e avevo anche proposto una soluzione

http://www.spazioalchimia.it/laboratorio-di-sperimentazione/1-tutto-nasce-da-un-pensiero/51-joomla-lmd5-e-solo-un-opinione

ma non è sfruttabile per violare un sito, viene sfruttato per entrare come amministratore visto che violando il db trovi solo l'hash con cui non è possibile autenticarsi.

M.

[genoveffa]

Anche io ho avuto un attacco hacker da cmtr, controlla che nella cartella templates di beez non ci siano dei file nuovi tipo demon.php ed altri come la index.php

[consistenza buffa]

è successo anche a me, stesso hacker. ma ora come poter rimediare???
ho recuperato il backend ma il front- end è inaccessibile!
dove posso andare a guardare per rimettere le cose a posto?

[mmleoni]

ciao,
 prova a leggere qui:
http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

sarebbe comunque necessario sapere che accade esattamente quando accedi al front end (pagina bianca, errore, ...)

ciao,
marco

[consistenza buffa]

http://www.graficanexus6.it/

avevo ricaricato tutto da capo ripristinando tutto ma poi...rieccoli qua...

[mmleoni]

ciao,

avevo ricaricato tutto da capo ripristinando tutto ...

questa frase non mi piace. se erano riusciti ad entrare nel tuo sito, il ricaricare tutto come era di sicuro per l'hacker era una seccatura, non un problema.

avevi:
. cancellato i files che non esistevano nel back up
. aggiornato all'ultima release di joomla
. aggiornato le estensioni indispensabili
. rimosso tutte le altre estensioni
. cambiato tutte le pw

fatto tutto ciò?


ciao,
marco

[consistenza buffa]

Ok ho capito come agisce sto hacker:
Riscrive l'html del template in uso, ora non so come faccia ma i danni sono comunque minimi, non tocca altro.
quindi basta copia incollare (se ce l'avete) solo il codice HTML del template direttamente da backend.

Il problema sta nel fatto che il tipo modifica user e password del superadmin quindi per entrare da backend bisogna resettarli da phpMyadmin.

Io inoltre avevo la versione 1.5.1, ora ho aggiornato alla 1.5.15, sperando che sia abbastanza sicura da essere a prova di hacker turco...

[mmleoni]

... le estensioni, se no domani siamo punto a capo....

ciao

[Flaterik]

Il recupero password ha un problema che avevo già segnalato tempo fa e avevo anche proposto una soluzione

http://www.spazioalchimia.it/laboratorio-di-sperimentazione/1-tutto-nasce-da-un-pensiero/51-joomla-lmd5-e-solo-un-opinione

ma non è sfruttabile per violare un sito, viene sfruttato per entrare come amministratore visto che violando il db trovi solo l'hash con cui non è possibile autenticarsi.

M.

Grazie mille, ho applicato la tua modifica.

[ilvanni]

Quindi hai risolto? Se sì allora scrivilo nel titolo del primo post.

[Flaterik]

Dire che ho risolto è una parola grossa.
Diciamo che grazie alle dritte ho evitato questo tipo di attacco che si e' ripresentato e non e' andato a buon fine.

In realtà chiedevo anche se c'era un metodo alternativo di recupero password per joomla e non ho avuto risposte a riguardo.
COmunque lo metto come risolto (cosa che tra le altre cose faccio sempre quando risolvo...)

[mau_develop]

grazie alle dritte ho evitato questo tipo di attacco
------------------------------------------------------

se questo è vero, come spiegavo nell'articolo, vuol dire che hai un buco da qualche altra parte.
Quel "tricks" serve solamente ad evitare di dover craccare l'md5 della pw (che non è poco se la pw è complicata).
Quando esploitano la pw, con l'inj, hanno un print a video dove compare la variabile iniettata dell'hash md5, quello che vedi se apri la tabella sql.
Purtroppo ( ) l'inj può essere solo di "estrazione", mai ...per ora tu puoi andare a scrivere nel db, se non in casi particolari.
Quindi, dicevamo, tu hai l'hash della mia pw, ma quello se vuoi te lo do io non ti serve andare nel db... ma cosa ci fai?

M.

[Flaterik]

Quindi mi stai dicendo che, con la tua modifica risolvo solo in parte il problema. Ovvero gli impedisco di recuperare la password, ma il buco al sito rimane comunque altrove, magari in qualche componente. E' corretto ?

[mau_develop]

esatto.
... comunque è risolto dalla nuova .16

M.

[mmleoni]

io comunque consiglierei di andare a caccia del buco.

si sa mai che possa servire da qualche altra parte...

ciao

[mau_develop]

..non dovrebbe essere difficile, se ha bisogno di quel giochetto è un'injsql e dovresti vederla anche dal log delle request.

M.

[Flaterik]

..non dovrebbe essere difficile, se ha bisogno di quel giochetto è un'injsql e dovresti vederla anche dal log delle request.

M.

mi spiegheresti un po' meglio questo concetto?
 

[mau_develop]

... da qualche parte joomla dovrebbe poter tenere traccia delle visite e dei parametri di accesso.

io l'ho fatto con un plugin, e forse è pure contenuto in quello che avevo pubblicato in questa sezione tempo fa, non ricordo.

comunque partendo da quel plugin è semplice fare due righe per farlo, in pratica devi loggare (prima filtrare!) le request get/post

M.

ps altrimenti è banale anche usare la classe jbrowser

[Flaterik]

Scusate ma mi sono perso nella questione.
Cosa dovrei cercare nello specifico?
Come e'stata fatta la Injection?

Purtroppo non sono cosi' esperto e non ho capito cosa mi dici