Vulnerabilità versione -che si fa?

[Netphil]

Mi è arrivata questa comunicazione

l’applicativo Joomla! per la creazione/gestione dei propri siti, che è stata individuata una vulnerabilità nelle versioni precedenti e/o uguali alla 1.5.20.

Tale vulnerabilità (chiamata in gergo XSS - cross site scripting) consentirebbe di accedere con poteri di amministratore alle pagine del sito web e modificarne il contenuto e qualora l’accesso fosse effettuato da malintenzionati, potrebbero addirittura essere causati danni al sito e ai visitatori dello stesso.

Che si deve fare?

Grazie

[daffy_dark]

aggiornare con la nuova versione di joomla .21

[Skate]

aggiornare con la nuova versione di joomla .21

Purtroppo in alcuni casi non basta.
Io pure avendo aggiornato alla .21 mi ritrovo con il sito bloccato anche se riesco ad entrare nell'area da admin.
Bisogna controllare nel index.php e anche in altri .... a sapere quali!?!?!?!?!?!?

[alexred]

Calma.... calma...
per risolvere il problema segnalato nei primo post è necessario procedere con l'aggiornamento alla versione 1.5.21

Poi se nel sito hai installato anche altre estensioni esterne o altre applicazioni, ovviamente devi mantenere aggiornate anche queste per avere il tuo sito al sicuro da attacchi.
Ed anche il tuo pc deve essere sicuro, perchè ultimamente alcuni virus invadono i pc alla ricerca degli accessi FTP dei siti degli utenti, e con questi è poi facile accedere ai siti anche se questi sono aggiornatissimi.

[Skate]

Ciao alex, ho bisogno di aiuto.
Ho subito anche io l'attacco malefico e nonostante abbia aggiornato alla versione 1.5.21 credo di non aver risolto. Il sito è su, ma ho notato che quando vado sulla pagina di login admin tenta di connettersi un intruso come da foto che allego.
Ho visto che hanno sovrascritto index.php sia lato sito che lato admin e io ho provveduto a ripristinare quello di un backup di qualche settimana fa', ma il problema persiste.
Cosa altro posso controllare ?
Grazie

[allegato eliminato da un amministratore]

[vamba]

Non puoi solo cambiare cerchione se la ruota è forata!!
Ovviamente se avevi subito un attacco alla versione precedente aggiornarla alla 1.5.21 non risolve certo il problema.
L'aggiornamento ha efficacia solo se non si è già stati attaccati e se il sito è in sicurezza, mentre non risolve una cippa se il sito prima non viene rimesso in sicurezza e poi aggiornato.

Probabilmente chi ha avuto accesso al tuo sito a nascosto qualche file in qualche cartella tipo cache o images, (dove non penseresti mai di andare a cercarli) e ad ogni tua azione di rimettere i due file originali (gli index.php intendo) lui agisce nuovamente su file magari mascherati da .txt, jpg, gif ecc file apparentemente innoqui.
Altro possibile caso sarebbe..... se chi ti ha attaccato ha sniffato le tue credenziali di accesso e quindi a questo punto sarebbe il caso di modificarle ulteriormente e fare un bel controllo della tua postazione pc che sia immune da adware, malware, trojan, rootkit ecc ecc

[Skate]

Si, la pagina administrator presenta un iframe nuovo che porta questo:

*********** codice rimosso

ma da dove posso iniziare a ripulire il sito (pc escluso ovviamente)?
Grazie

Ops...scusa non ho fatto in tempo a evitare il codice....!!!! Grazie per la rimozione.

[vamba]

Bien la procedura può apparire semplice o complicata a seconda dell'approccio.
Per me può essere considerata semplice, mentre  potrebbe essere considerato, per me, complicata recitare la tabellina del sette.
In pratica ciò che voglio dire è che tutto è relativo.

D'istinto mi vien da dire, in questi casi, ne semplice, ne complicata .... ma molto delicata.

Prima di tutto verificare i segnali.
1. Esempio ieri non è accaduto nulla oggi si ... probabilmente il problema è da ricercarsi oggi oppure meglio nei 3-4 giorni precedenti all'evento ... quindi, dato che tutti i file prendono una data di modifica verificare quali sono stati modificati in questo frangente.
2. Per i più esperti leggere i vari log del server per trovare tracce del possibile acaro e temporizzare quindi quando è avvenuto il tutto.
3. se abbiamo un backup dei file meno recente dell'attacco sostituire tutto con quello e magari poi effettuare eventuali modifiche fatte
4. se abbiamo un back che entra nella fascia protetta prima di inserirlo verificare in locale se non ci sono file strani.
5. serebbe cosa buona e giusta fare un hash dei file del sito così da ritrovare facilmente le modifiche (ovviamente questo per i più esperti e smaliziati utenti)

Cambiare subito le credenziali di accesso sia ftp che db ...
e pregare che non ritornino gli unni

Ovvimamente verificate bene le problematiche di estensioni che non fanno parte del core di joomla altrimenti sian da capo e giovannini.

[Skate]

Uaauuuu....che spiegazione!
Intanto recupero il backup giornaliero/settimanale e in locale me lo vivi-seziono.
Poi cambio credenziale ftp (ma qui ci vorranno almeno 3 gg vista la procedura)
Poi riprovo a downloadare il tutto.
...spero.

Grazie

[Skate]

Se può essere utile a qualcuno o notato che tutte le modifiche riferite all'orario dell'attacco (ore 03.10) consistono nella modifica di tutti i files index.html con l'aggiunta di un iframe strano.
Mi tocca ricopiare tutte le index a mano?

[alexred]

poi scaricare il pacchetto completo di Joomla 1.5.21
scompattarlo sul tuo pc e caricare tutto il contenuto sul sito via FTP, senza la cartella installation, sovrascrivendo tutto.
In questo modo tutti i file di sistema di Joomla saranno ripristinati con gli originali.

[Skate]

Si, come una normale procedura di aggiornamento.
Il problema è che i files index.html sono una miriadeeeee!
Spero di risolvere sovrascrivendo un backup settimanale e oltretutto sperare che non mi rifacciano lo scherzetto prima del cambio delle credenziali ftp. 

[alexred]

no, la normale procedura di aggiornamento è differente. Cerchiamo di non fare casino!
Per la normale procedura di aggiornamento su usa il rispettivo pacchetto di aggiornamento da versione a versione.

[Skate]

Ecco, come al solito sono precipitoso.
Ma mi basta ripristinare i files originali della 1.5.21 o cmq devo modificare i file index.html ?
Forse dovrò anche agire sui diversi moduli e componenti in quanto anche li vedo esserci presenti dei files index.html con iframe strani.

Grazie ale

[alexred]

poi scaricare il pacchetto completo di Joomla 1.5.21
scompattarlo sul tuo pc e caricare tutto il contenuto sul sito via FTP, senza la cartella installation, sovrascrivendo tutto.
In questo modo tutti i file di sistema di Joomla saranno ripristinati con gli originali.

[Skate]

Grazie Ale,
ci provo...anche se gli "amici" di aruxxx ci metteranno una vita ad cambiarmi le credenziali.
Per fortuna sto migrando pian pianino verso gli Amici di XXXXXXXX (non si fanno figli e figliastri).

[Skate]

Ciao Alex, ecco la mia situazione:
Ho effettuato un backup dal server verso il mio pc (relativo a 6 gg fa)
Ho scaricato la versione 1.5.21 ita, decompressa sul mio pc e sovrascritto tutto (eccetto installation) sul server.
Il sito è ancora su, ma come faccio a capire se ci sono ancora "intrusi".
Nel frattempo ho chiesto il cambio login e psw di accesso ftp.
Denghiu

[alexred]

hai per caso qualche estensione esterna installata?

[Skate]

si, certo, componenti, moduli e plugin e mi chiedo;
come faccio a capire quanti files fanno parte di quel modulo o componente così da poterli controllare uno per uno?
Es: il modulo ozio gallery ( ) crea una dir sia nella cartella administrator che component e basta?

[alexred]

quindi devi riuscire ad avere la lista completa di ciò che hai installato, e verificare che sia tutto aggiornato alle ultime versioni di queste estensioni e che queste non siano attualmente inserite nella lista delle estensioni vulnerabili:
http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct

poi disintalla tutte quelle che non utilizzi.