r57shell gestione media

[scherman83]

Salve ragazzi,
stamattina avevo delle foto da aggiungere ad un mio vecchio portale, vado in gestione media e mi ritrovo una pagine grigia dal nome r57shell. corro ad interrogare l'oracolo Google e joomla.it e mi pare di capire sia un attacco hacker!!! attaccare un portale privato di un'associazione onlus, bah.


la versione joomla era la 1.5.14, vecchissima ormai lo so, ho aggiornato sperando si risolvesse il problema ma nulla.


come posso eliminare questo fastidioso r57shell e tornare alla mia vecchia gestione media??


grazie.


edit : la stessa schermata esce se provo ad accedere a qualsiasi componente, ma penso lo immaginavate già :l

[mau_develop]

se sono riusciti a uppare una shell vuol dire che eri proprio messo malissimo.
Comunque non è nulla di che , un semplice file con comandi e qualche stringa di evasion, al 99% te la trovi tra le immagini.

Aldilà di cosa si potrebbe fare se fossi in te rifarei completamente tutto, quel sito è abbandonato da almeno un paio di anni.

M.

[thinkbinary]

Sono d'accordo sul rifarlo, spero hai un backup, chiedi al tuo Provider se c'è l'ha.

[scherman83]

ho seguito la guida del post in evidenza, cancellato tutto e rimesso su tutto con la versione di backup.


ora che è online, mi metto a lavorare ad una versione aggiornata.


mi pare di capire che l'unica arma facile da usare contro gli attacchi è restare costantemente aggiornati!

[mau_develop]

quello sicuramente.
I cms hanno il loro punto di forza che è anche quello di debolezza o viceversa; quando non va qualcosa in uno non va qualcosa in tutti e questo per il bimbo di turno è fantastico basta che vada su un db di vulnerabilità e può copiare a piacimento.

Essendo però in tanti ad usare lo stesso codice è più veloce scoprire i problemi, e quando vengono scoperti viene sempre immediatamente rilasciato un avviso e successivamente la patch.

M.

[scherman83]

l'hanno rifatto, che bolle!!! stavolta funziona il backend ma non il frontend. stessa r57 shell e la versione di joomla stavolta era la 1.5.23!!!!


possibile che ogni settimana dovrò stare a ripristinare backup?

[mau_develop]

possibilissimo finchè non trovi da dove passano.
Ti posso garantire che dalla .23 core non uppi nessuna shell.
Non può essere un cross site poichè lo script deve eseguirsi sul server vittima.
Solitamente si riesce a fare sfruttando un'altro sito bucabile sullo stesso server e passando da li ma in questo caso è il server che non è sicuro e non ha le directory virtuali in chroot.
La r57 ha degli script di evasion quindi è possibile che la scelta non sia casuale.


Oppure usando un upload di immagini o files; in qs caso però dovresti trovarti un utente strano registrato... perchè non lo fai da guest.


M.

[scherman83]

dando una controllata di utenti strani registrati a bizzeffe


per le immagini uso ozio e l'upload da backend in gestione media


edit : che vuol dire dalla .23 core? che facendo l'aggiornamento dalla .14 c'è ancora il buco e installando la .23 exnovo si risolve?

[mau_develop]

dando una controllata di utenti strani registrati a bizzeffe
----------------------------------------------------------------------------
..quindi bisogna evitarlo. Elimina ciò che disconosci e controlla che non esistano utenti con i permessi di admin.
Alla fine installa un captcha (anche se non è risolutivo, chi uppa una shell è più che human...)

per le immagini uso ozio
---------------------------------
controlla che sia l'ultima versione, e così anche tutte le estensioni oltre all'installazione base (core)

che vuol dire dalla .23 core?
----------------------------------------
installazione del pacchetto che scarichi senza nulla aggiunto

che facendo l'aggiornamento dalla .14 c'è ancora il buco e installando la .23 exnovo si risolve?
-------------------------------------------------------------------
beh... il problema di cui sei stato vittima esiste per la .14 ma non certo per la .23.
Controlla di aver effettivamente upgradato e se hai altre estensioni extra-core aggiornale.

M.

PS: Io ripartirei daccapo come ho descritto nel post in testa a qs sezione.
E' facile che sovrascrivendo con la .23 la .14 non venga sovrascritto qualche file non presente nella .23 (come ad esempio la shell). Solitamente si lascia anche una backdoor imboscata da qualche parte che risulterebbe difficile da trovare per questo è sempre meglio reinstallare e ricollegare il vecchio db dopo averne verificato i contenuti