code injection

[mauro77a]

ho subito nuovamente un code injection ma Marcos's SQL injection non ha avvertito nulla... ormai vado avanti a botte di ripristini con akeeba backup ... il sito dura un pò di giorni e poi pluff!! e affondato!

[mau_develop]

ormai vado avanti a botte di ripristini con akeeba backup ... il sito dura un pò di giorni e poi pluff!! e affondato!
------------------------------------------------------------------
probabilmente perchè riproponi sempre lo stesso problema contenuto nel backup.

se il plugin di marco non ha funzionato è perchè usano qualcosa direttamente.
MA CAMBI LE PASSWORD DI TUTTI I SERVIZI? ...ogni volta?

hai qualche estensione bucabile, sempre tu abbia l'ultima versione di Joomla

M.

[mmleoni]

penso anche io che il problema possa trovarsi nel backup, molto probabilmente vi sarà un file che è stato modificato, o più probabilmente aggiunto, che agisce come cavallo di troia.

sarà abbastanza difficile trovare dove sta il problema senza i log di apache, prova a cercare funzioni quali gzinflate, base64_decode od eval nei file php e comparare questi con gli originali. se trovi qualcosa come eval(gzinflate(base64_decode('83u3nsbnsxy[et cetera]=='))) hai trovato un cavallo di troia. nota: le funzioni possono variare.

ciao,
marco

[mauro77a]

... ho estratto il file backup di akeeba con cui effettuo i ripristini e fatto una ricerca con notepad++
riesco a trovare queste parole ma separatamente così come in elenco ma non abbinate fra loro

gzinflate

base64_decode

eval

[mauro77a]

ad esempio questo mi sembra dannoso... ed è inserito in questo file libraries\phpxmlrpc\xmlrpc.php

    Line 615:  $GLOBALS['_xh']['value']=base64_decode($GLOBALS['_xh']['ac']);

    Line 2466:  print "<PRE>---SERVER DEBUG INFO (DECODED) ---\n\t".htmlentities(str_replace("\n", "\n\t", base64_decode($comments)))."\n---END---\n</PRE>";

[mau_develop]

print "<PRE>---SERVER DEBUG INFO (DECODED)
---------------------------------------------
esatto,... guarda... ha lasciato anche gli appunti

M.

[mauro77a]

ok.. ma ci sono 33 files che contengono almeno questo testo: base64_decode

secondo te ogni stringa che contiene tale codice dovrebbe essere eliminata? oppure potrebbe anche essere del normale codice di programmazione?

Domanda da un milione di $$$ ?!???

[mau_develop]

ok.. ma ci sono 33 files che contengono almeno questo testo: base64_decode
----------------------------------------------------------------------------------------------------------------

... non è stupido... il fatto che ti mette in difficoltà vuol dire che il suo lavoro lo ha fatto bene.

Se leggevi il mio post in testa alla sezione c'è sicuramente indicato di SOVRASCRIVERE tutti i files (tranne .htaccess .. bla bla)

questo cancella automaticamente tutte quelle stringhe anche fossero su 3000 file.
E' malsano aprirli uno a uno per vedere ti pare?

M.

[mmleoni]

ad esempio questo mi sembra dannoso...

non è dannoso, ma è di joomla 1.5 e non 1.6. usa un comparatore di directories/files per verificare le differenze con i files nel pacchetto joomla.

inoltre base64 non è l'unico sistema di encoding usabile, bisognerebbe provare le vare funzioni.

attenzione che sovrascrivere non basta, l'hacker avrà aggiunto anche qualche files per non correre rischi. l'unica in questi casi è fare una installazione pulita e poi caricare il precedente db.

senza analisi dei logs però non vai da nessuna parte 


ciao,
marco

[mau_develop]

ma è di joomla 1.5 e non 1.6.
---------------------------------
a ecco ... nemmeno nella 1.7 vero? ... sennò mi manca... sai che nn mi sono mai accorto di quel codice nemmeno nella 1.5?

...scusa ma il sito è online, raggiungibile?  almeno te lo dico da lì come fa ... 0day non credo proprio ne esistano.

credo anch'io a qs punto siano indispensabili dei log... magari passa direttamente dal server

M.