Autore Topic: [RISOLTO]Numerose intrusioni sul sito. (Letto 11622 volte)

blufix79 · « **il:** 20 Mag 2010, 21:58:00 »

Salve a tutti ragazzi, e da un po che vi leggo perchè sto subendo numerose intrusioni sul sito e grazie a voi sto cercando di capire come proteggere il sito e le azioni da intraprendere.
Proprio oggi ho fatto una nuova installazione pulita della versione 1.5.17. Ho impostato una password per la cartella administrator e impostato i permessi del configuration.php a 644. Ora non so se è necessario attuare altri accorgimenti sui permessi, nel caso vi chiedo quali.
Comunque veniamo al punto, i componenti installati fino a qualche giorno fa erano parecchi, molti installati per prova oppure usati un pochino, ma oggi facendo una nuova installazione ho lasciato solo i componenti strettamente necessari, tra cui il componente com_properties. A tale componente io ho apportato alcune modifiche principalmente aggiungendo alcune funzionalità per il calcolo dell'affitto degli immobili, niente di che e soprattutto non ho modificato altro.
Ho notato dai log che alcuni "visitatori" al mio sito hanno digitato la seguente url:

index.php?option=com_properties&controller=../../../../../../../../../../../../XXXXXX

index.php?option=com_properties&controller=../../../../../../../../../../../../../../../../../../../../../../XXXXXX

ho volutamente sostituito la parte finale della stringa con XXXXXX per evitare di pubblicare qualcosa di vietato non sapendo con certezza se posso e per evitare ulteriori problemi perche
provando la prima delle due mi appare una sorta di file manager. qualcuno mi sa spiegare in dettagli di che si tratta? Gli eventuali accorgimenti da prendere? Se qualcuno mi da conferma posto la stringa intera magari in privato, ditemi voi.

non so se posso citare l'indirizzo del sito, nel caso fatemi sapere.

Un grosso grazie in anticipo.

blufix79 · « **Risposta #1 il:** 20 Mag 2010, 22:43:35 »

Ho temporaneamente risolto, controllando la variabile controller sull'entry point del componente, nel caso siano presenti quei caratteri riporta a null la variabile.

Intanto attendo spiegazioni sulla query string postata in precendenza.

vamba · « **Risposta #2 il:** 20 Mag 2010, 22:55:19 »

apri i file principali sia sito che admin del componente e controlla che eventuali controller aggiuntivi siano richiamati con questa regola

Codice: [Seleziona]

// Require specific controller if requested
if($controller = JRequest::getWord('controller')) {
	$path = JPATH_COMPONENT.DS.'controllers'.DS.$controller.'.php';
	if (file_exists($path)) {
		require_once $path;
	} else {
		$controller = '';
	}
}

controlla innanzi tutto che la request sia

Citazione

JRequest::getWord

e non

Citazione

JRequest::getVar

se non ci sono controller aggiuntivi puoi anche provare con

Codice: [Seleziona]

$controller->execute( JRequest::getVar('task', null, 'default', 'cmd') );

blufix79 · « **Risposta #3 il:** 21 Mag 2010, 07:12:25 »

Grazie Vamba per la risposta.

Io ieri avevo temporaneamente risolto cosi:

Codice: [Seleziona]

if($controller = JRequest::getVar('controller')) {
        if(strcmp($controller,"/") or strcmp($controller,"%") or strcmp($controller,"..")){
		$controller = null;		
	}
	else{	
		require_once (JPATH_COMPONENT.DS.'controllers'.DS.$controller.'.php');
	}
}

che ho prontamente sostituito con la tua soluzione.

Comunque ora posto la stringa intera:
index.php?option=com_properties&controller=../../../../../../../../../../../../../../../tmp/shell1299%00

ho il mod rewrite attivo, ma vorrei capire se quel file risiede su qualche cartella sotto la mia root oppure può essere addirittura ad un livello superiore e quindi da qualche altra parte sul server?

mmleoni · « **Risposta #4 il:** 21 Mag 2010, 07:59:41 »

ciao,
questo tipo di attacco si chiama LFI (local file inclusion), ed è utilizzato per raggiungere file esterni al sito, tipicamente per ottenere il controllo di shell od environment.

comunque se il server è configurato bene l'inclusione non riesce.

Citazione

impostato i permessi del configuration.php a 644

la configurazione corretta sarebbe 444 (555 per le dirs), così come per tutti i files che debbono essere solo letti: ovviamente è necessario che php non possa eseguire il chmod

ciao,
marco

blufix79 · « **Risposta #5 il:** 21 Mag 2010, 08:23:37 »

ciao Marco, grazie della spiegazione, molto chiara.

Quindi il file risiede all'esterno, e da quello che mi dici il server non è configurato bene, perchè io ho provato e l'inclusione riesce, mi apre in interfaccia per poter gestire permessi cartelle etc, quindi un controllo di shell.

Quindi per i permessi gli imposto come mi hai suggerito tu.

Sta mattina mi sono reso conto che il cms non sta funzionando bene, infatti tutti i link agli articoli mi restituiscono una pagina bianca come se l'articolo non esistesse.

Non vorrei avessero fatto qualche danno, sta notte o ieri sera prima di apportare la modifica di filtraggio della variabile controller.

Ora sto spazzando tutto e ricarico la versione funzionante che ho in locale (cosa per altro fatta ieri mattina).

Non ci sto capendo più nulla.

EDIT: sarà il caso che mi faccia resettare le password nuovamente, cosa fatta per altro ieri mattina.

mau_develop · « **Risposta #6 il:** 21 Mag 2010, 08:35:33 »

no ma aspetta..."l'inclusione riesce.." come fa a riuscire?

Quella che apri è una shell, c99 o r57 o derivati, ma non serve a nulla che venga inclusa, deve essere residente.

se ho una shell sul mio sito e tu la includi in quel modo sul tuo, vedi il MIO server non il tuo, che è quello che runna il php della shell.

Sei sicuro di aver tutti i files e le img a posto?

Come dice Marco è difficile che quell'attacco funzioni su un server minimamente configurato.

Sono tutti attacchi da vocabolario stringhe.

M.

blufix79 · « **Risposta #7 il:** 21 Mag 2010, 08:49:19 »

Citazione

l'inclusione riesce

Intendevo che inserendo l'url con la stringa mi appare quest'interfaccia in cui vedo dei file con i relativi permessi a fianco e una serie di altre funzioni, su cui non ho approfondito bene e non sono stato a controllare se erano i miei file, perchè avevo l'ansia di bloccarlo e cosi ho fatto come descritto nei post precendeti. Quindi per "inclusione riesce" intendevo questo.

Per quanto riguarda le img e i files ieri mattina ho fatto un installazione pulita della 1.5.17 e ho aggiunto dopo la cartella images spulciandola bene, infatti all'interno ho trovato un file viewe.php (che era una backdoor) e lo rimosso. Poi non so se intendi qualcos'altro.

Ora che ci penso, sull'interfaccia appariva il nome del mio server.. se vuoi ti do il link e puoi dargli uno sguardo..

mau_develop · « **Risposta #8 il:** 21 Mag 2010, 09:04:04 »

Ora che ci penso, sull'interfaccia appariva il nome del mio server..
--------------------------------------------------------------------

..può darsi che siano passati da un sito accanto, la r57 dovrebbe avere anche dei tool di privilege escalation.

E' bene che nel discorso venga coinvolto anche l'hoster sicuramente hai qualche direttiva un po' "larga" su quel server.

Se la Ozio era datata consentiva un file include locale.
Credo che la chiave era proprio quella backdoor, il resto veniva di conseguenza, magari era codice creato dinamicamente con gli eval().

Considera anche che l'attacker sa tutte le pw, ha accesso completo al dominio caselle di posta comprese, quindi è necessario, una volta turata la falla, cambiare tutto.

magari quando clicchi sul sito fai girare tamper data che è un plugin di ffox, puoi vedere tutti gli header che passano e ti accorgi se viene chiesto il caricamento di "cose strane".

Per le shell, purtroppo bisogna fare a manina, è comunissimo codice php e se non vengono rilevate le evasion che usa come malevole è difficile accorgersi dov'è se non chiamandola direttamente.

Se avevi malware stai attento che anche il browser e l'ftp possono essere stati infettati, soprattutto se il server è malconfigurato è facile attaccare le stored procedures.

M.

M.

blufix79 · « **Risposta #9 il:** 21 Mag 2010, 09:13:24 »

Ok, mi accorgo che il discorso e molto complesso e può allargarsi tanto se teniamo in considerazione tutte le cose che mi stai dicendo.

Quindi avviso l'hoster indicandogli che potrebbe esserci qualcosa che non va e quel file di shell potrebbe essere la da qualche parte?

faccio resettare le password.

Quello che non mi quadra sono i malfunzionamenti di sta mattina, sembrava tutto ok nei file ma non funzionava nulla.

EDIT: Mi è venuto in mente che ieri sera prima di scoprire e porre rimedio alla falla, ho trovato un file chiamato ".log.php", ho eliminato anche quello. Da una prima analisi, mi sembra anche questa una backdoor e infatti nei file di log, ho trovato delle chiamate a questo file, da un indirizzo ip differente da quello che ha tentato il LFI.

mmleoni · « **Risposta #10 il:** 21 Mag 2010, 09:24:50 »

Citazione da: mau_develop - 21 Mag 2010, 08:35:33

no ma aspetta..."l'inclusione riesce.." come fa a riuscire?

Quella che apri è una shell, c99 o r57 o derivati, ma non serve a nulla che venga inclusa, deve essere residente.

è esterna alla root del sito, ma residente sul server. tipicamente con questo tipo di si riesce a richiamare wget ed a caricare un trojan/back door nel sito.

ovviamente non riporto le istruzioni complete (caso mai ci fosse ancora qualcuno che non lo sa fare

), ma se il server non è ben configurato l'hack è fatto in tre minuti, e questa volta senza mail all'admin.

se la LFI riesce riporta immediatamente, come già detto da maurizio, la cosa al sysadmin.

ciao,
marco

blufix79 · « **Risposta #11 il:** 21 Mag 2010, 09:28:15 »

Vi ringrazio per gli aiuti,
Ho già aperto un ticket di assistenza. Quindi in effetti, e come immaginavo, la shell risiede su una cartella superiore alla mia root.

blufix79 · « **Risposta #12 il:** 21 Mag 2010, 09:38:17 »

Dopo aver spazzato tutto e fatto l'upload della versione funzionante in locale, continua a persistere l'errore relativo agli articoli. Pagina con errore 404, articolo non trovato. il Database sembra ok. Ieri sera il sito era completamente funzionante.

mau_develop · « **Risposta #13 il:** 21 Mag 2010, 09:40:45 »

è esterna alla root del sito, ma residente sul server
------------------------------------------------------
appunto queste sono le maglie "un po' larghe" che dicevo..

quindi: php vecchio e server malconfigurato

@ blufix79: no no, l'hoster non deve cercare nulla, anche perchè non lo farebbe... deve solamente cambiarti tutti i dati di autenticazione.

Il discorso dei servizi come ftp etc era per dire che uno script malevolo che ti si piazza nel pc potrebbe andare a rompere le scatole anche ad altri servizi.

Molti dei malware in circolazione ora hanno come unico obbiettivo gli account sui social network.
Magari se ne hai qualcuno cambia un po di roba anche li.

Quindi, per non far confusione:

Oltre quello che hai già fatto (corretto):

- avvisa l'hoster e cambia tutte le pw
-fai una scansione con antivirus.

OT: stavo trafficando con Backtrack ieri sera e sono capitato sulla disclosure di emgent (mod latitante di qg forum

) di come grabbare le pw di google con le widget

http://www.ihteam.net/blog/hacking-news/un-gadgets-di-google-per-rubare-password/

...bello e bravo eee.... semplice o quasi

M.

mau_develop · « **Risposta #14 il:** 21 Mag 2010, 09:41:58 »

scusa se uppo

Pagina con errore 404, articolo non trovato.
-----------------------------------------------

hai guardato se ha modificato il sef o l'htaccess?

M.

blufix79 · « **Risposta #15 il:** 21 Mag 2010, 09:55:02 »

Ok Maurizio, quindi non chiedo di controllare nulla ma semplicemente farmi resettare i dati di accesso. fatto sta che se loro non controllano quel file di shell rimane la da qualche parte.

Sef e htaccess sono ok..
Allora, ho provato su un altro pc. Il sito funziona alla grande. Si è infettato il mio pc?

Faccio una scansione.

EDIT: Il problema e chrome, su Firefox e su Ie8 nello stesso pc, va tutto bene.

Spero di non andare OT.

mmleoni · « **Risposta #16 il:** 21 Mag 2010, 10:22:19 »

NO!.
devi comunicare la cosa, il file richiamato è, molto probabilmente, giusto che si sia meno giusto è che sia richiamabile.

se non mettono a posto il setup del server prima o poi sei da capo.

ciao,
marco

blufix79 · « **Risposta #17 il:** 21 Mag 2010, 10:28:50 »

Ok Marco, nella richiesta ho espressamente indicato che c'è stato un attacco di quel tipo indicandogli anche l'url che ho postato qua sul forum. Quindi gli ho messi al corrente e chiesto di mettere in sicurezza il server.

Risolto il problema degli errori 404. Sicuramente era un problema di cache su chrome, risolto riavviando.

mau_develop · « **Risposta #18 il:** 21 Mag 2010, 11:06:02 »

fatto sta che se loro non controllano quel file di shell rimane la da qualche parte.
--------------------------------

se non mettono a posto il setup del server prima o poi sei da capo
-------------------------------------------------------------------

esatto, praticamente state vivendo tutti in un grande condominio senza porta blindata di casa, ognuno può andare dove vuole e fare ciò che vuole.
L'hoster non ammetterà mai nulla, ma è importante che faccia qualcosa, aldilà che lo dica o meno.
Altrimenti fai lo stesso gioco, gli rooti il server gli metti la patch, chiudi tutto e li saluti sui log

M.

blufix79 · « **Risposta #19 il:** 21 Mag 2010, 11:20:25 »

"Altrimenti fai lo stesso gioco, gli rooti il server gli metti la patch, chiudi tutto e li saluti sui log"

Ascolta per i permessi gli sto impostando come mi hai detto tu, c'è un modo per non farlo file per file?

Autore Topic: [RISOLTO]Numerose intrusioni sul sito. (Letto 11622 volte)

vamba

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop