[RISOLTO]Numerose intrusioni sul sito.

[blufix79]

Salve a tutti ragazzi, e da un po che vi leggo perchè sto subendo numerose intrusioni sul sito e grazie a voi sto cercando di capire come proteggere il sito e le azioni da intraprendere.
Proprio oggi ho fatto una nuova installazione pulita della versione 1.5.17. Ho impostato una password per la cartella administrator e impostato i permessi del configuration.php a 644. Ora non so se è necessario attuare altri accorgimenti sui permessi, nel caso vi chiedo quali.
Comunque veniamo al punto, i componenti installati fino a qualche giorno fa erano parecchi, molti installati per prova oppure usati un pochino, ma oggi facendo una nuova installazione ho lasciato solo i componenti strettamente necessari, tra cui il componente com_properties. A tale componente io ho apportato alcune modifiche principalmente aggiungendo alcune funzionalità per il calcolo dell'affitto degli immobili, niente di che e soprattutto non ho modificato altro.
Ho notato dai log che alcuni "visitatori" al mio sito hanno digitato la seguente url:

index.php?option=com_properties&controller=../../../../../../../../../../../../XXXXXX

index.php?option=com_properties&controller=../../../../../../../../../../../../../../../../../../../../../../XXXXXX

ho volutamente sostituito la parte finale della stringa con XXXXXX per evitare di pubblicare qualcosa di vietato non sapendo con certezza se posso e per evitare ulteriori problemi perche
provando la prima delle due mi appare una sorta di file manager. qualcuno mi sa spiegare in dettagli di che si tratta? Gli eventuali accorgimenti da prendere? Se qualcuno mi da conferma posto la stringa intera magari in privato, ditemi voi.

non so se posso citare l'indirizzo del sito, nel caso fatemi sapere.

Un grosso grazie in anticipo.

[blufix79]

Ho temporaneamente risolto, controllando la variabile controller sull'entry point del componente, nel caso siano presenti quei caratteri riporta a null la variabile.

Intanto attendo spiegazioni sulla query string postata in precendenza.

[vamba]

apri i file principali sia sito che admin del componente e controlla che eventuali controller aggiuntivi siano richiamati con questa regola

Codice: [Seleziona]

// Require specific controller if requested
if($controller = JRequest::getWord('controller')) {
$path = JPATH_COMPONENT.DS.'controllers'.DS.$controller.'.php';
if (file_exists($path)) {
require_once $path;
} else {
$controller = '';
}
}
controlla innanzi tutto che la request sia

JRequest::getWord

e non

JRequest::getVar

se non ci sono controller aggiuntivi puoi anche provare con

Codice: [Seleziona]

$controller->execute( JRequest::getVar('task', null, 'default', 'cmd') );

[blufix79]

Grazie Vamba per la risposta.

Io ieri avevo temporaneamente risolto cosi:

Codice: [Seleziona]

if($controller = JRequest::getVar('controller')) {
        if(strcmp($controller,"/") or strcmp($controller,"%") or strcmp($controller,"..")){
$controller = null;
}
else{
require_once (JPATH_COMPONENT.DS.'controllers'.DS.$controller.'.php');
}
}

che ho prontamente sostituito con la tua soluzione.

Comunque ora posto la stringa intera:
index.php?option=com_properties&controller=../../../../../../../../../../../../../../../tmp/shell1299%00

ho il mod rewrite attivo, ma vorrei capire se quel file risiede su qualche cartella sotto la mia root oppure può essere addirittura ad un livello superiore e quindi da qualche altra parte sul server?

[mmleoni]

ciao,
questo tipo di attacco si chiama LFI (local file inclusion), ed è utilizzato per raggiungere file esterni al sito, tipicamente per ottenere il controllo di shell od environment.

comunque se il server è configurato bene l'inclusione non riesce.

impostato i permessi del configuration.php a 644

la configurazione corretta sarebbe 444 (555 per le dirs), così come per tutti i files che debbono essere solo letti: ovviamente è necessario che php non possa eseguire il chmod 

ciao,
marco

[blufix79]

ciao Marco, grazie della spiegazione, molto chiara.

Quindi il file risiede all'esterno, e da quello che mi dici il server non è configurato bene, perchè io ho provato e l'inclusione riesce, mi apre in interfaccia per poter gestire permessi cartelle etc, quindi un controllo di shell.

Quindi per i permessi gli imposto come mi hai suggerito tu.

Sta mattina mi sono reso conto che il cms non sta funzionando bene, infatti tutti i link agli articoli mi restituiscono una pagina bianca come se l'articolo non esistesse.

Non vorrei avessero fatto qualche danno, sta notte o ieri sera prima di apportare la modifica di filtraggio della variabile controller.

Ora sto spazzando tutto e ricarico la versione funzionante che ho in locale (cosa per altro fatta ieri mattina).

Non ci sto capendo più nulla.

EDIT: sarà il caso che mi faccia resettare le password nuovamente, cosa fatta per altro ieri mattina.

[mau_develop]

no ma aspetta..."l'inclusione riesce.."  come fa a riuscire?

Quella che apri è una shell, c99 o r57 o derivati, ma non serve a nulla che venga inclusa, deve essere residente.

se ho una shell sul mio sito e tu la includi in quel modo sul tuo, vedi il MIO server non il tuo, che è quello che runna il php della shell.

Sei sicuro di aver tutti i files e le img a posto?

Come dice Marco è difficile che quell'attacco funzioni su un server minimamente configurato.

Sono tutti attacchi da vocabolario stringhe.

M.

[blufix79]

l'inclusione riesce

Intendevo che inserendo l'url con la stringa mi appare quest'interfaccia in cui vedo dei file con i relativi permessi a fianco e una serie di altre funzioni, su cui non ho approfondito bene e non sono stato a controllare se erano i miei file, perchè avevo l'ansia di bloccarlo e cosi ho fatto come descritto nei post precendeti. Quindi per "inclusione riesce" intendevo questo.


Per quanto riguarda le img e i files ieri mattina ho fatto un installazione pulita della 1.5.17 e ho aggiunto dopo la cartella images spulciandola bene, infatti all'interno ho trovato un file viewe.php (che era una backdoor) e lo rimosso. Poi non so se intendi qualcos'altro.

Ora che ci penso, sull'interfaccia appariva il nome del mio server.. se vuoi ti do il link e puoi dargli uno sguardo..

[mau_develop]

Ora che ci penso, sull'interfaccia appariva il nome del mio server..
--------------------------------------------------------------------

..può darsi che siano passati da un sito accanto, la r57 dovrebbe avere anche dei tool di privilege escalation.

E' bene che nel discorso venga coinvolto anche l'hoster sicuramente hai qualche direttiva un po' "larga" su quel server.

Se la Ozio era datata consentiva un file include locale.
Credo che la chiave era proprio quella backdoor, il resto veniva di conseguenza, magari era codice creato dinamicamente con gli eval().

Considera anche che l'attacker sa tutte le pw, ha accesso completo al dominio caselle di posta comprese, quindi è necessario, una volta turata la falla, cambiare tutto.

magari quando clicchi sul sito fai girare tamper data che è un plugin di ffox, puoi vedere tutti gli header che passano e ti accorgi se viene chiesto il caricamento di "cose strane".

Per le shell, purtroppo bisogna fare a manina, è comunissimo codice php e se non vengono rilevate le evasion che usa come malevole è difficile accorgersi dov'è se non chiamandola direttamente.

Se avevi malware stai attento che anche il browser e l'ftp possono essere stati infettati, soprattutto se il server è malconfigurato è facile attaccare le stored procedures.

M.

M.

[blufix79]

Ok, mi accorgo che il discorso e molto complesso e può allargarsi tanto se teniamo in considerazione tutte le cose che mi stai dicendo.

Quindi avviso l'hoster indicandogli che potrebbe esserci qualcosa che non va e quel file di shell potrebbe essere la da qualche parte?

faccio resettare le password.

Quello che non mi quadra sono i malfunzionamenti di sta mattina, sembrava tutto ok nei file ma non funzionava nulla.

EDIT: Mi è venuto in mente che ieri sera prima di scoprire e porre rimedio alla falla, ho trovato un file chiamato ".log.php", ho eliminato anche quello. Da una prima analisi, mi sembra anche questa una backdoor e infatti nei file di log, ho trovato delle chiamate a questo file, da un indirizzo ip differente da quello che ha tentato il LFI.

[mmleoni]

no ma aspetta..."l'inclusione riesce.."  come fa a riuscire?

Quella che apri è una shell, c99 o r57 o derivati, ma non serve a nulla che venga inclusa, deve essere residente.

è esterna alla root del sito, ma residente sul server. tipicamente con questo tipo di si riesce a richiamare wget ed a caricare un trojan/back door nel sito.

ovviamente non riporto le istruzioni complete (caso mai ci fosse ancora qualcuno che non lo sa fare  ), ma se il server non è ben configurato l'hack è fatto in tre minuti, e questa volta senza mail all'admin.

se la LFI riesce riporta immediatamente, come già detto da maurizio, la cosa al sysadmin.

ciao,
marco

[blufix79]

Vi ringrazio per gli aiuti,
Ho già aperto un ticket di assistenza. Quindi in effetti, e come immaginavo, la shell risiede su una cartella superiore alla mia root.

[blufix79]

Dopo aver spazzato tutto e fatto l'upload della versione funzionante in locale, continua a persistere l'errore relativo agli articoli. Pagina con errore 404, articolo non trovato. il Database sembra ok. Ieri sera il sito era completamente funzionante.

[mau_develop]

è esterna alla root del sito, ma residente sul server
------------------------------------------------------
appunto queste sono le maglie "un po' larghe" che dicevo..

quindi: php vecchio e server malconfigurato

@ blufix79: no no, l'hoster non deve cercare nulla, anche perchè non lo farebbe... deve solamente cambiarti tutti i dati di autenticazione.

Il discorso dei servizi come ftp etc era per dire che uno script malevolo che ti si piazza nel pc potrebbe andare a rompere le scatole anche ad altri servizi.

Molti dei malware in circolazione ora hanno come unico obbiettivo gli account sui social network.
Magari se ne hai qualcuno cambia un po di roba anche li.

Quindi, per non far confusione:

Oltre quello che hai già fatto (corretto):

- avvisa l'hoster e cambia tutte le pw
-fai una scansione con antivirus.

OT: stavo trafficando con Backtrack ieri sera e sono capitato sulla disclosure di emgent (mod latitante di qg forum ) di come grabbare le pw di google con le widget

http://www.ihteam.net/blog/hacking-news/un-gadgets-di-google-per-rubare-password/

...bello e bravo eee.... semplice o quasi

M.

[mau_develop]

scusa se uppo

Pagina con errore 404, articolo non trovato.
-----------------------------------------------

hai guardato se ha modificato il sef o l'htaccess?

M.

[blufix79]

Ok Maurizio, quindi non chiedo di controllare nulla ma semplicemente farmi resettare i dati di accesso. fatto sta che se loro non controllano quel file di shell rimane la da qualche parte.

Sef e htaccess sono ok..
Allora, ho provato su un altro pc. Il sito  funziona alla grande. Si è infettato il mio pc?

Faccio una scansione.

EDIT: Il problema e chrome, su Firefox e su Ie8 nello stesso pc, va tutto bene.

Spero di non andare OT.

[mmleoni]

NO!.
devi comunicare la cosa, il file richiamato è, molto probabilmente, giusto che si sia meno giusto è che sia richiamabile.

se non mettono a posto il setup del server prima o poi sei da capo.

ciao,
marco

[blufix79]

Ok Marco, nella richiesta ho espressamente indicato che c'è stato un attacco di quel tipo indicandogli anche l'url che ho postato qua sul forum. Quindi gli ho messi al corrente e chiesto di mettere in sicurezza il server.

Risolto il problema degli errori 404. Sicuramente era un problema di cache su chrome, risolto riavviando.

[mau_develop]

fatto sta che se loro non controllano quel file di shell rimane la da qualche parte.
--------------------------------

se non mettono a posto il setup del server prima o poi sei da capo
-------------------------------------------------------------------

esatto, praticamente state vivendo tutti in un grande condominio senza porta blindata di casa, ognuno può andare dove vuole e fare ciò che vuole.
L'hoster non ammetterà mai nulla, ma è importante che faccia qualcosa, aldilà che lo dica o meno.
Altrimenti fai lo stesso gioco, gli rooti il server gli metti la patch, chiudi tutto e li saluti sui log

M.

[blufix79]

"Altrimenti fai lo stesso gioco, gli rooti il server gli metti la patch, chiudi tutto e li saluti sui log" 

Ascolta per i permessi gli sto impostando come mi hai detto tu, c'è un modo per non farlo file per file?

[blufix79]

Mi hanno appena risposto dall'assistenza.

"abbiamo rimosso tutti i file nella directory temporanea"
tutti i file? chissà quanti erano!! ma è possibile che non se ne accorgano loro senza che gli avvisi qualcuno??

[mau_develop]

ma è possibile che non se ne accorgano loro senza che gli avvisi qualcuno?
--------------------------------------------

accorgano di che cosa?

allora, continuiamo a parlare di bestie strane trojan,virus,backdoor e alla fine nascono i mostri, sembra di vivere tra i manga

Lascia perdere questa visione e pensa semplicemente che hai un problema: qualcuno ha trovato il modo di far fare al tuo sito (inteso come codice) qualcosa di inaspettato/non voluto.

Molte volte il limite è proprio questo, non sono script fatti con la penna rossa o puzzano,... sono uguali agli altri, è lo scopo che è malevolo.

una backdoor non è altro che uno script interno al sito che mi permette dall'esterno di lanciare comandi coi privilegi del possessore del sito, come se fosse uno script voluto, un servizio.
Anche un antivirus che potrebbe fare? blocca tutti gli invii di mail? ... e se stai spedendo la newsletter?

No, la manutenzione è affidata al webby che deve avere le competenze necessarie, joomla poi lo può usare anche il nonno....

M.

[blufix79]

l'assistenza mi ha appena effettuato un backup e rimosso tutto dalla directory del sito.
le loro parole: "visto la presenza di file pericolisi le ho effettuato nuovamente un backup del sito attuale
ersonard-21-05-10.tgz
e rimosso tutto il materiale presente nella sua home (compresi file e directory nascosti).

EDIT: Sono costretto a tenere il sito off-line? mi sembra assurdo..

[mau_develop]

EDIT: Sono costretto a tenere il sito off-line? mi sembra assurdo..
----------------------------------------------------------------

allora, prima di rimettere qualsiasi cosa cambia i dati.

metti una nuova .17

spulcia il db e aggancialo,... ci saranno un po' di errori.

fai una cosa per volta, controlla il template  e uppalo e via via così

FAI GIRARE un antivirus. se hai problemi nell'ftp o nel browser si ripete tutto.

M.

[blufix79]

Sto facendo fare una scansione, ma l'antivirus non trova nulla ne su ftp ne su browser.

Inoltre sto facendo fare una scansione anche sul backup del sito che mi ha fatto l'assistenza (lo scaricato in locale), ma per ora nulla.

Ripeto l'installazione pulita e seguo i passi che mi hai indicato, speriamo bene.

Se puo essere utile, il log è pieno di chiamate simili a quelle di ieri sera, che ho gia postato.

[mau_develop]

il log è pieno di chiamate simili a quelle di ieri sera, che ho gia postato.
------------------------------------------

questo te lo hanno già spiegato prima, nel punto in cui mi sono introdotto nel 3d.
Se il server è configurato a dovere e non hai installato addons strane o datate, quella stringa non funziona, se vuoi provala sul mio o su qs sito.

Se poi ti rimangono dubbi Vamba ti ha spiegato dove sta il problema e perchè viene chiamato il controller, ma non è un problema della versione.

M.

[blufix79]

Se poi ti rimangono dubbi Vamba ti ha spiegato dove sta il problema e perchè viene chiamato il controller, ma non è un problema della versione

Nessun dubbio, anche perchè dopo aver fatto la correzione al codice suggerita da Vamba ho riprovato la stringa ma non succede nulla.

Mi sembra di aver capito che l'hoster ha rimosso i miei file in maniera preventiva, quando dice "vista la presenza di file pericolosi" intendeva quelli presenti nella /tmp, anche perchè dopo scrivono:

"all'interno della /tmp o erano presenti directory nascoste usando attributi
del filesystem, onde evitare problemi ho rimosso il tutto cancellandole l'intera radice e ricreandola.
Oltre a questo erano state inserite nel crontab degli script che andavano a scrivere nella sua public..."

EDIT: confermo che è stato fatto in maniere preventiva.

[mau_develop]

erano state inserite nel crontab
--------------------------------

eggià, un po' di tempo fa avevano fatto la stessa cosa al mio spazio, diventavo stupido a ripristinare, non riusciva più l'attacco ma risultavano cambiate le date di ultima scrittura, che cos'era?

quello! non mi ero accorto del nuovo servizio di crontab che avevano aggiunto e dell'impostazione che avevano messo.
Il file si apriva, l'iniezione non funzionava e il file veniva chiuso. ... ma ho dovuto arrivarci da solo ...

M.

[blufix79]

Grazie Maurizio,

senti ora non è che voglio sapere come vengono inseriti gli script nel crontab, ma potresti dirmi se per inserirli potrebbero essere passati da qualche buco sul mio sito, oppure è sempre un problema delle famose "maglie larghe" sul server di cui parlavi?

EDIT: Ho un problema con i permessi, gli sto settando a 444 per i files e 555 per le directory, come suggerito da Marco, ma ho notato che per queste la modifica non viene accettata, rimangono 755.

[mau_develop]

senti ora non è che voglio sapere come vengono inseriti gli script nel crontab
--------------------------------------------------------------------
beh... hanno tutte le password, non credo sia così difficile

...per i permessi ... veditela con Marco

M.

[blufix79]

Ok grazie, Maurizio.

Allora per i permessi attendo Marco e visto che ci sono chiedo se esiste qualche wiki o topic (ho fatto una ricerca ma nulla) dove si parla dei permessi da assegnare alle varie directory e file del core joomla. Questo perchè non so se assegnare 555 a tutte le directory oppure qualcuna deve rimanere con 755.

Ps. Mi accorgo di non essermi mai firmato.
Salvatore.

[blufix79]

Uppo perche mi succede una cosa stranissima.
Premetto, che da venerdi sera dopo il mio ultimo post, sembra (dico sembra) che non ci siano stati più problemi, noto nel log che qualche simpaticone tenta ancora di eseguire dei LFI su quel componente, ma evidentemente senza successo.

Ora vi dico cosa mi capita. Lavoro su winzozz, e utilizzo easyphp in locale. Accedendo tramite ftp, all'interno della cartella administrator, mi ritrovo costantemente una directory che riproduce il percorso locale dove ho installato easyphp compresa la cartella www e quella di joomla in locale, e pecisamente:

C:/Programmi/EasyPhp/www/sito/tmp

la tmp è vuota.

E già capitato a qualcuno?