Autore Topic: code injection (Letto 8492 volte)

spakket · « **il:** 26 Lug 2011, 23:30:18 »

salve ragazzi, sono dieci giorni che subisco attacchi di code injection su siti realizzati in joomla 1.5.23.
l'attacco inserisce del codice script su tutti i file index.php e index.html e cambiano anche i permessi ai file, facendo crollare il sito e riempire il pc di zozzeria.

quindi vi chiedo se sta capitando anche a voi? spero che parteciperete a questa discussione perchè il problema è serio visto che hanno attaccato anche joomla 1.6
se volete vi posto tutti gli script malevoli e i log di accesso all'ftp

grazie!!

56francesco · « **Risposta #1 il:** 27 Lug 2011, 00:13:37 »

no, non postare la monnezza, meglio il porta a porta nel senso di differenziati..
da quello che dici posso immaginare che tieni qualche contatore di visite esterno?

spakket · « **Risposta #2 il:** 27 Lug 2011, 00:20:09 »

contatote di visite esterno histats, se poi intendi contatore dei log ho richiesto i report ad aruba

56francesco · « **Risposta #3 il:** 27 Lug 2011, 00:24:32 »

da almeno dieci anni si sa in rete che dai servizi esterni entrano gli spammers per riempire le pagine dei siti vuoti con le loro sozzerie che poi non sono altro che stringhe che gli servono per far salire i loro siti nei motori di ricerca..
togli i contatori esterni e così gli chiudi le porte.

spakket · « **Risposta #4 il:** 27 Lug 2011, 00:29:59 »

ma non entrano da li perchè ho messo il contatore solo a 3 siti ma ne hanno buttati giù 15. sono dieci giorni che cambio psw su cms, fto, db, backup db , ftp etc etc.
dopo migliaia di prove penso che sia qualcosa del sistema visto che attaccano anche il sitema appena installato tutto pulito sia della 1.5.23 che la 1.6. non uso moduli e/o componenti strani, cmq tutti controllati.

56francesco · « **Risposta #5 il:** 27 Lug 2011, 00:33:39 »

sarà il server ad essere bucherellato come una groviera allora..
tu comunque le porte tienile chiuse che quando poi entrano non è che si limitano ad un sito ma da li poi accedono alla macchina intera se sono quelli cattivi.

spakket · « **Risposta #6 il:** 27 Lug 2011, 00:40:34 »

ti complico ulteriolmene le cose!!
in totale i siti attaccati sono 18 su tre manteiner diversi ognuno con dominio, ftp, db proprio. tutte psw diverse (che ogni volta per ricordarle è un'impresa)
ho pensato che fosse un problema mio a livello di pc, allora ho formattato tutti e tre i pc e ho tolto winzozzo e ho messo mac, cambiato router (ipotizzavo anche un attaco al mio ip).
insomma le sto provando tutte ma niente passano 2 giorni e uno alla volta cominciano a cadere.
bo!!!!!

mau_develop · « **Risposta #7 il:** 27 Lug 2011, 14:29:28 »

ma va dai... non ti accorgi di qualche cosa che lasci... backdoor probabilmente.

Se su uno qualsiasi dei tuoi domini attaccati pialli tutto e installi da pacchetto vergine puoi lasciarla li quanto vuoi ma non inietta nulla nessuno.

M.

spakket · « **Risposta #8 il:** 27 Lug 2011, 15:19:36 »

mau_ ho fatto tutte le prove possibili, ho installato la 1.6 pulita senza template senza moduli, vergine. dopo 2 giori il codice era tutto sporcato da script.

sto analizzando tutti i log di accesso se scopro qualcosa vi farò sapere, non saprei che altro dire. se questo problema ce l'ho solo io in tutto il mondo allora si vede che dipende da!! bo!!!

mau_develop · « **Risposta #9 il:** 27 Lug 2011, 15:51:39 »

ma la 1.6 è vulnerabile a meno tu non abbia l'ultima 1.6.6

M.

spakket · « **Risposta #10 il:** 27 Lug 2011, 15:52:37 »

scusami anche la 1.7?
perchè anche quella non va

mau_develop · « **Risposta #11 il:** 27 Lug 2011, 16:11:57 »

mah... chi può dirlo... non ho ancora provato.
secondo me non ti accorgi di qualcosa che fai o che ricarichi.
Io proverei a rifare tutto da una distro live, se poi riesci a proxare le richieste puoi anche vedere se sei tu ad "inserire il problema".
secondo me ricarichi qualcosa che fa da backdoor, o hai rubato la donna di kevin mithnick e si è incaxato o è un automatismo, e un automatismo cerca sempre la "strada segnata"... se riesce vuol dire che la trova.

M.

spakket · « **Risposta #12 il:** 27 Lug 2011, 16:17:38 »

vabbè!!
cmq vi ringrazio e vi farò sapere, sperando di mettere [RISOLTO]

ciaooo

bertoandrea86 · « **Risposta #13 il:** 08 Ago 2011, 00:55:58 »

Sì infatti, è nettamente impossibile che ti bucano 18 siti internet con hosting diversi e versioni diverse, con pc formattati, password diverse, versione vuota del cms...insomma le probabilità sono nulle! o_O
Quindi c'è qualche procedimento errato che fai tu per forza..comeha detto Mau, se hai rubato la donna a Kevin, beh, allora si può capire

mauro77a · « **Risposta #14 il:** 05 Set 2011, 17:53:26 »

Ciao,
ti capisco, ho il tuo stesso problema.

Ho ripristinato tutto controllato il mio pc da virus cambiate tutte le password, disinstallati tutti i componenti potenzialmente "cattivi" aggiornato tutto il resto e portato il sito in versione joomla quasi base.

Credevo di aver risolto.
Tempo una settimana 10 giorni ed il mio sito era nuovamente bucato!!!

Cosa fare?

mmleoni · « **Risposta #15 il:** 07 Set 2011, 22:15:31 »

Citazione da: mauro77a - 05 Set 2011, 17:53:26

disinstallati tutti i componenti potenzialmente "cattivi"

è come li distingui da quelli sicuramente buoni?

massima parte degli attacchi vanno a buon fine grazie ad errori di programmazione nei componenti più diffisi, e dai più ritenuti belli, buoni e sicuri.

hai per caso i log del webserver dei giorni precedenti all'attacco?

ciao,
marco

mauro77a · « **Risposta #16 il:** 08 Set 2011, 18:17:13 »

no purtroppo non ho i log.

Comunque se può interessare a qualcuno dopo aver ripristinato il sito in seguito ad un code injection, il sito ha resistito per circa 7/10 giorni e dopo punto e a capo.

Ripristinato tramite akeeba con un backup pulito ed ora ho disattivato il componente Jnews (coponente che gestisce le newsletter).
Per ora il sito sta reggendo... spero sia dipeso da quel componente... se avrò nuovamnete problemi farò un comunicato.

mmleoni · « **Risposta #17 il:** 08 Set 2011, 18:28:35 »

installa questo e abilita il report via mail almeno per un po' di giorni:

http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731

ciao,
marco

mauro77a · « **Risposta #18 il:** 08 Set 2011, 20:05:07 »

già fatto... ma stranamente quando ho ricevuto questi attacchi non ho ricevuto nemmeno una mail di notifica..

mmleoni · « **Risposta #19 il:** 09 Set 2011, 08:55:00 »

a questo punto sì che m piacerebbe avere i logs

ovviamente hai verificato che il plugin sia attivo e correttamente configurato...

prova così:
(pubblico l'attacco lfi dato che oramai lo conoscono tutti...)
www.example.com/index.php?option=com_ckforms&controller=../../../../../../../../../../../../..//proc/self/environ%00

al posto di example.com metti il tuo sito e vedi se arriva la mail di allerta.

ciao,
marco

mauro77a · « **Risposta #20 il:** 13 Set 2011, 18:46:09 »

ho subito nuovamente un code injection ma Marcos's SQL injection non ha avvertito nulla... ormai vado avanti a botte di ripristini con akeeba backup ... il sito dura un pò di giorni e poi pluff!! e affondato!

mau_develop · « **Risposta #21 il:** 13 Set 2011, 19:56:20 »

ormai vado avanti a botte di ripristini con akeeba backup ... il sito dura un pò di giorni e poi pluff!! e affondato!
------------------------------------------------------------------
probabilmente perchè riproponi sempre lo stesso problema contenuto nel backup.

se il plugin di marco non ha funzionato è perchè usano qualcosa direttamente.
MA CAMBI LE PASSWORD DI TUTTI I SERVIZI? ...ogni volta?

hai qualche estensione bucabile, sempre tu abbia l'ultima versione di Joomla

M.

mmleoni · « **Risposta #22 il:** 13 Set 2011, 20:40:19 »

penso anche io che il problema possa trovarsi nel backup, molto probabilmente vi sarà un file che è stato modificato, o più probabilmente aggiunto, che agisce come cavallo di troia.

sarà abbastanza difficile trovare dove sta il problema senza i log di apache, prova a cercare funzioni quali gzinflate, base64_decode od eval nei file php e comparare questi con gli originali. se trovi qualcosa come eval(gzinflate(base64_decode('83u3nsbnsxy[et cetera]=='))) hai trovato un cavallo di troia. nota: le funzioni possono variare.

ciao,
marco

mauro77a · « **Risposta #23 il:** 14 Set 2011, 14:40:55 »

... ho estratto il file backup di akeeba con cui effettuo i ripristini e fatto una ricerca con notepad++
riesco a trovare queste parole ma separatamente così come in elenco ma non abbinate fra loro

gzinflate

base64_decode

eval

mauro77a · « **Risposta #24 il:** 14 Set 2011, 14:44:01 »

ad esempio questo mi sembra dannoso... ed è inserito in questo file libraries\phpxmlrpc\xmlrpc.php

Line 615: $GLOBALS['_xh']['value']=base64_decode($GLOBALS['_xh']['ac']);

Line 2466: print "<PRE>---SERVER DEBUG INFO (DECODED) ---\n\t".htmlentities(str_replace("\n", "\n\t", base64_decode($comments)))."\n---END---\n</PRE>";

mau_develop · « **Risposta #25 il:** 14 Set 2011, 14:51:15 »

print "<PRE>---SERVER DEBUG INFO (DECODED)
---------------------------------------------

esatto,... guarda... ha lasciato anche gli appunti

M.

mauro77a · « **Risposta #26 il:** 14 Set 2011, 15:02:49 »

ok.. ma ci sono 33 files che contengono almeno questo testo: base64_decode

secondo te ogni stringa che contiene tale codice dovrebbe essere eliminata? oppure potrebbe anche essere del normale codice di programmazione?

Domanda da un milione di $$$ ?!???

$:-\$

mau_develop · « **Risposta #27 il:** 14 Set 2011, 15:43:31 »

ok.. ma ci sono 33 files che contengono almeno questo testo: base64_decode
----------------------------------------------------------------------------------------------------------------

... non è stupido... il fatto che ti mette in difficoltà vuol dire che il suo lavoro lo ha fatto bene.

Se leggevi il mio post in testa alla sezione c'è sicuramente indicato di SOVRASCRIVERE tutti i files (tranne .htaccess .. bla bla)

questo cancella automaticamente tutte quelle stringhe anche fossero su 3000 file.
E' malsano aprirli uno a uno per vedere ti pare?

M.

mmleoni · « **Risposta #28 il:** 14 Set 2011, 15:55:28 »

Citazione da: mauro77a - 14 Set 2011, 14:44:01

ad esempio questo mi sembra dannoso...

non è dannoso, ma è di joomla 1.5 e non 1.6. usa un comparatore di directories/files per verificare le differenze con i files nel pacchetto joomla.

inoltre base64 non è l'unico sistema di encoding usabile, bisognerebbe provare le vare funzioni.

attenzione che sovrascrivere non basta, l'hacker avrà aggiunto anche qualche files per non correre rischi. l'unica in questi casi è fare una installazione pulita e poi caricare il precedente db.

senza analisi dei logs però non vai da nessuna parte

ciao,
marco

mau_develop · « **Risposta #29 il:** 14 Set 2011, 16:29:58 »

ma è di joomla 1.5 e non 1.6.
---------------------------------
a ecco ... nemmeno nella 1.7 vero? ... sennò mi manca... sai che nn mi sono mai accorto di quel codice nemmeno nella 1.5?

...scusa ma il sito è online, raggiungibile? almeno te lo dico da lì come fa ... 0day non credo proprio ne esistano.

credo anch'io a qs punto siano indispensabili dei log... magari passa direttamente dal server

M.

Autore Topic: code injection (Letto 8492 volte)

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop