Autore Topic: [Risolto]Attenzione attacco Hacker!!!!!!!!!!!! (Letto 7415 volte)

Flaterik · « **il:** 09 Apr 2010, 10:11:09 »

Magari creo solo falsi allarmi o magari e' una cosa nota che non sapevo ma non c'e' mai abbastanza prudenza in questi casi.

Il mio sito ha subito ieri un'attacco da parte di un hacker (CmTr).

Ho notato che pochi minuti prima dell'attacco, e' arrivata una richeista di recupero password all'indirizzo email di amministrazione del mio dominio.

In seguito a questo, il sito non era piu' accessibile lato admine ha poi subito un defacing.

Era una cosa nota?

Suppongo abbia usato il metodo di recupero password di joomla bucare l'utente.

A tal proposito c'e' un metodo diverso per il recupero password che qeusto con l'inserimento di un codice per il reset non mi convince affatto

mau_develop · « **Risposta #1 il:** 10 Apr 2010, 02:28:43 »

Il recupero password ha un problema che avevo già segnalato tempo fa e avevo anche proposto una soluzione

http://www.spazioalchimia.it/laboratorio-di-sperimentazione/1-tutto-nasce-da-un-pensiero/51-joomla-lmd5-e-solo-un-opinione

ma non è sfruttabile per violare un sito, viene sfruttato per entrare come amministratore visto che violando il db trovi solo l'hash con cui non è possibile autenticarsi.

M.

genoveffa · « **Risposta #2 il:** 12 Apr 2010, 08:04:47 »

Anche io ho avuto un attacco hacker da cmtr, controlla che nella cartella templates di beez non ci siano dei file nuovi tipo demon.php ed altri come la index.php

consistenza buffa · « **Risposta #3 il:** 19 Apr 2010, 19:21:08 »

è successo anche a me, stesso hacker. ma ora come poter rimediare???
ho recuperato il backend ma il front- end è inaccessibile!
dove posso andare a guardare per rimettere le cose a posto?

mmleoni · « **Risposta #4 il:** 20 Apr 2010, 22:41:02 »

ciao,
prova a leggere qui:
http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

sarebbe comunque necessario sapere che accade esattamente quando accedi al front end (pagina bianca, errore, ...)

ciao,
marco

consistenza buffa · « **Risposta #5 il:** 22 Apr 2010, 12:57:33 »

http://www.graficanexus6.it/

avevo ricaricato tutto da capo ripristinando tutto ma poi...rieccoli qua...

mmleoni · « **Risposta #6 il:** 22 Apr 2010, 14:56:41 »

ciao,

Citazione

avevo ricaricato tutto da capo ripristinando tutto ...

questa frase non mi piace. se erano riusciti ad entrare nel tuo sito, il ricaricare tutto come era di sicuro per l'hacker era una seccatura, non un problema.

avevi:
. cancellato i files che non esistevano nel back up
. aggiornato all'ultima release di joomla
. aggiornato le estensioni indispensabili
. rimosso tutte le altre estensioni
. cambiato tutte le pw

fatto tutto ciò?

ciao,
marco

consistenza buffa · « **Risposta #7 il:** 22 Apr 2010, 15:51:21 »

Ok ho capito come agisce sto hacker:
Riscrive l'html del template in uso, ora non so come faccia ma i danni sono comunque minimi, non tocca altro.
quindi basta copia incollare (se ce l'avete) solo il codice HTML del template direttamente da backend.

Il problema sta nel fatto che il tipo modifica user e password del superadmin quindi per entrare da backend bisogna resettarli da phpMyadmin.

Io inoltre avevo la versione 1.5.1, ora ho aggiornato alla 1.5.15, sperando che sia abbastanza sicura da essere a prova di hacker turco...

mmleoni · « **Risposta #8 il:** 22 Apr 2010, 16:11:44 »

... le estensioni, se no domani siamo punto a capo....

ciao

Flaterik · « **Risposta #9 il:** 23 Apr 2010, 09:08:59 »

Citazione da: mau_develop - 10 Apr 2010, 02:28:43

Il recupero password ha un problema che avevo già segnalato tempo fa e avevo anche proposto una soluzione

http://www.spazioalchimia.it/laboratorio-di-sperimentazione/1-tutto-nasce-da-un-pensiero/51-joomla-lmd5-e-solo-un-opinione

ma non è sfruttabile per violare un sito, viene sfruttato per entrare come amministratore visto che violando il db trovi solo l'hash con cui non è possibile autenticarsi.

M.

Grazie mille, ho applicato la tua modifica.

ilvanni · « **Risposta #10 il:** 23 Apr 2010, 09:20:22 »

Quindi hai risolto? Se sì allora scrivilo nel titolo del primo post.

Flaterik · « **Risposta #11 il:** 24 Apr 2010, 12:24:01 »

Dire che ho risolto è una parola grossa.
Diciamo che grazie alle dritte ho evitato questo tipo di attacco che si e' ripresentato e non e' andato a buon fine.

In realtà chiedevo anche se c'era un metodo alternativo di recupero password per joomla e non ho avuto risposte a riguardo.
COmunque lo metto come risolto (cosa che tra le altre cose faccio sempre quando risolvo...)

mau_develop · « **Risposta #12 il:** 24 Apr 2010, 19:54:54 »

grazie alle dritte ho evitato questo tipo di attacco
------------------------------------------------------

se questo è vero, come spiegavo nell'articolo, vuol dire che hai un buco da qualche altra parte.
Quel "tricks" serve solamente ad evitare di dover craccare l'md5 della pw (che non è poco se la pw è complicata).
Quando esploitano la pw, con l'inj, hanno un print a video dove compare la variabile iniettata dell'hash md5, quello che vedi se apri la tabella sql.
Purtroppo (

) l'inj può essere solo di "estrazione", mai ...per ora tu puoi andare a scrivere nel db, se non in casi particolari.
Quindi, dicevamo, tu hai l'hash della mia pw, ma quello se vuoi te lo do io

non ti serve andare nel db... ma cosa ci fai?

M.

Flaterik · « **Risposta #13 il:** 26 Apr 2010, 09:56:33 »

Quindi mi stai dicendo che, con la tua modifica risolvo solo in parte il problema. Ovvero gli impedisco di recuperare la password, ma il buco al sito rimane comunque altrove, magari in qualche componente. E' corretto ?

mau_develop · « **Risposta #14 il:** 26 Apr 2010, 10:46:21 »

esatto.
... comunque è risolto dalla nuova .16

M.

mmleoni · « **Risposta #15 il:** 26 Apr 2010, 15:57:20 »

io comunque consiglierei di andare a caccia del buco.

si sa mai che possa servire da qualche altra parte...

ciao

mau_develop · « **Risposta #16 il:** 26 Apr 2010, 17:15:41 »

..non dovrebbe essere difficile, se ha bisogno di quel giochetto è un'injsql e dovresti vederla anche dal log delle request.

M.

Flaterik · « **Risposta #17 il:** 27 Apr 2010, 12:18:41 »

Citazione da: mau_develop - 26 Apr 2010, 17:15:41

..non dovrebbe essere difficile, se ha bisogno di quel giochetto è un'injsql e dovresti vederla anche dal log delle request.

M.

mi spiegheresti un po' meglio questo concetto?

mau_develop · « **Risposta #18 il:** 27 Apr 2010, 15:10:08 »

... da qualche parte joomla dovrebbe poter tenere traccia delle visite e dei parametri di accesso.

io l'ho fatto con un plugin, e forse è pure contenuto in quello che avevo pubblicato in questa sezione tempo fa, non ricordo.

comunque partendo da quel plugin è semplice fare due righe per farlo, in pratica devi loggare (prima filtrare!) le request get/post

M.

ps altrimenti è banale anche usare la classe jbrowser

Flaterik · « **Risposta #19 il:** 27 Apr 2010, 16:19:13 »

Scusate ma mi sono perso nella questione.
Cosa dovrei cercare nello specifico?
Come e'stata fatta la Injection?

Purtroppo non sono cosi' esperto e non ho capito cosa mi dici

mau_develop · « **Risposta #20 il:** 27 Apr 2010, 16:25:38 »

Purtroppo non sono cosi' esperto
---------------------------------

mmmhhh, fai prima a fare così:
(ammesso tu non abbia messo mano al codice)

fai l'elenco dei componenti installati extra core
prendi google e digita il nome del componente+exploit+vuln
vieni solitamente spedito a db di vulnerabilità dove viene riportata la versione e la stringa di exploit (così ti puoi anche divertire a vedere come funzionano e SE funzionano... direbbe Vamba

)

M.

Flaterik · « **Risposta #21 il:** 28 Apr 2010, 10:34:00 »

Ah perfetto grazie!!

Al codice ho messo mano ma solo per modifiche estetiche e su qualche componente tipo adsmanager per visualizzare o meno alcuni campi ma nessuna modifica sostanziale!