Autore Topic: Tentato attacco LFI (o forse riuscito?) (Letto 10544 volte)

Drugo83 · « **il:** 12 Dic 2011, 13:13:21 »

Ciao a tutti,
stamattina guardando il mio phpstats mi sono accorto che su un sito da me gestito si sono verificati accessi agli indirizzi:
- ?file.../../../../proc/self/environ%00
- ?page.../../../../proc/self/environ%00
- ?mod.../../../../proc/self/environ%00
Tutto ciò è avvenuto varie volte.
Guardando nel forum mi sono imbattutto in un posto che consigliava un plugin che segnala questo genere di attacchi.
Ho installato il plugin (Marco's SQL Injection - LFI Interceptor), e ho attivato la notifica tramite mail al mio indirizzo.
Successivamente ho provate a digitare l'indirizzo ?file.../../../../proc/self/environ%00 e anche gli altri due, ma non mi arriva nessuna mail. Digitando http://www.miosito.it/?file.../../../../proc/self/environ%00 mi viene visualizzata la homepage.
Quando sono arrivati questi attacchi la versione di joomla era la 1.5.23 adesso aggiornata alla 1.5.25.
Premetto che il sito è online e apparentemente non c'è stato alcun danneggiamento.
Come posso accertarmi che non sia realmente successo niente? e soprattutto cosa posso fare adesso per mettere il tutto al sicuro(più o meno) o quantomeno cercare di prevenire?

Grazie

giusebos · « **Risposta #1 il:** 12 Dic 2011, 14:04:06 »

Stanotte è stata la notte brava degli haker, ma fortunatamente non hanno combinato guai.

Guardando il report del plug-in Marco's SQL ho notato che ci sono degli indirizzi ip, di cui uno porta ad un sito italiano di consulenti finanzari.

Mi piacerebbe sapere se quel server potrebbe avere qualche bug usato per questi attacchi...

tomtomeight · « **Risposta #2 il:** 12 Dic 2011, 14:33:04 »

Non solo stanotte, è da Mercoledì che stanno impazzando

giusebos · « **Risposta #3 il:** 12 Dic 2011, 14:40:24 »

Citazione da: tomtomeight - 12 Dic 2011, 14:33:04

Non solo stanotte, è da Mercoledì che stanno impazzando

preparero loro una bella cella imbottita.....

tomtomeight · « **Risposta #4 il:** 12 Dic 2011, 15:09:47 »

Sei finanziere?

giusebos · « **Risposta #5 il:** 12 Dic 2011, 15:21:57 »

No. Era un modo per dire che se c'è l'hanno con noi noi ci difenderemo.....forse.......meglio essere ottimisti...

mau_develop · « **Risposta #6 il:** 12 Dic 2011, 16:04:55 »

beh... un po di fermento durante il cambio di anno c'è sempre...
credo che siano più in cerca di server che di joomla... su twitter ci sono dei post che fanno pensare a qualche "accadimento" a breve...

ma non certo al vs o al mio sito o a qualche piattaforma specifica...

... e poi ci sono i pischelli a casa per le feste, dicembre è pieno un po' ovunque....
... e poi ti regalano il pc e tu la notte ti sogni come il "piccolo assange"

...poi vengono fuori queste inutili rotture di c..scatole

M.

Drugo83 · « **Risposta #7 il:** 12 Dic 2011, 16:10:37 »

Ciao a tutti e grazie per le risposte.
Ma dire il vero ancora non ho capito cosa fare.

Digitando http://www.miosito.it/?file.../../../../proc/self/environ%00 mi viene visualizzata la homepage.
Come posso accertarmi che non sia realmente successo niente? e soprattutto cosa posso fare adesso per mettere il tutto al sicuro(più o meno) o quantomeno cercare di prevenire?

Potrebbe qualcuno rispondere a queste mie domande?

Grazie

jeckodevelopment · « **Risposta #8 il:** 12 Dic 2011, 16:24:59 »

non puoi essere sicuro al 100%,
ma puoi essere più tranquillo, questo sicuramente

Aggiorna e tieni aggiornata Joomla all'ultima versione
Aggiorna e tieni costantemente aggiornate tutte le estensioni (componenti, moduli e plugin) alle ultime release disponibili
Fai attenzione quando modifichi i permessi dei file tramite il tuo file manager o il tuo client FTP, quindi evitare permessi "libertini" del tipo 777 (anche se tutto dipende dalla configurazione del tuo server)
Installare (sempre all'ultima versione) ed attivare il plugin di cui si parla in questo post "Marco's SQL Injection - LFI Interceptor" , aiuterà a proteggere il sito da una serie di attacchi comuni di tipo SQL Injectione e di tipo Local File Inclusion.
Backup dei file e del database frequenti e salvati in posizioni differenti rispetto alla root del tuo sito web, così da poter ripristinare il lavoro qualora malauguratamente un attacco di questo tipo riuscisse a "defacciare"/prendere il controllo/sottrarre dati al sito.

Suggerisco inoltre la lettura di questo interessante post:
http://forum.joomla.it/index.php/topic,117151.0.html

mau_develop · « **Risposta #9 il:** 13 Dic 2011, 14:54:45 »

ATTENZIONE
mi avete incuriosito così sono andato avedere che succede nel mio db negli ultimi 15gg... praticamente quello che succede a voi ma mi sono accorto di alcune stringhe non proprio uguali alle altre, anzi erano RFI e non LFI

A qualcuno potrebbe venire la curiosità di vedere dove portano quei link, magari, avete estensioni o vi appoggiate a servizi che mostrano la request... NON cliccateci e non visitate il sito/file di destinazione poichè molte volte sono script grabbanti... sessione, cookies dati inseriti e memorizzati in qualche cache.

Quando avete sessioni autenticate APERTE nel browser si deve evitare di navigare. Non esiste amministrare Joomla intanto che chattate o postate sui forum è pericoloso... ma non solo per Joomla, direi per tutto.

M.

Drugo83 · « **Risposta #10 il:** 13 Dic 2011, 15:02:46 »

Troppo tardi... ci ho cliccato per vedere dove portavano, ma mi visualizza la home.
E adesso cosa posso fare per vedere se mi causato danni?

mau_develop · « **Risposta #11 il:** 13 Dic 2011, 16:33:35 »

se hai cliccato su una delle stringhe che hai postato non succede nulla

M.

jeckodevelopment · « **Risposta #12 il:** 13 Dic 2011, 16:52:06 »

Citazione

Quando Joomla è 1.5 qs da errore: sito.it/administrator/manifests/files/joomla.xml
Quando Joomla è 1.7 ti dice oltre la versione anche il grado di aggiornamento
... evviva la sincerità:)

questo mi sembra un po' pericoloso!
che manchi il codice di blocco per i file xml nell'htaccess?

Drugo83 · « **Risposta #13 il:** 13 Dic 2011, 16:58:08 »

Citazione da: mau_develop - 13 Dic 2011, 16:33:35

se hai cliccato su una delle stringhe che hai postato non succede nulla

Per fortuna si, era la risposta che volevo sentirmi dire...

Grazie

mau_develop · « **Risposta #14 il:** 13 Dic 2011, 18:40:37 »

questo mi sembra un po' pericoloso!
-------------------------------------------------
bah .. o è un problema solo mio che non ho seguito qualche magica guida in lingua tzigana per settare joomla...
....o si vede che non gliene frega nulla ...

M.

jeckodevelopment · « **Risposta #15 il:** 13 Dic 2011, 19:01:58 »

provato anche io e funziona

quindi escludo che si tratti di un problema solo tuo.
sarà l'htaccess!

mau_develop · « **Risposta #16 il:** 13 Dic 2011, 19:19:56 »

quando devi ricorrere all'htaccess per risolvere un problema è perchè sei alle cozze

.. sinceramente non mi preoccupo, anzi, spero che qualcuno lo usi per aggiornare qualche scanner, almeno la smettono di usare stringhe inutili che mi impestano il db

....solo mi sembra "bizzarro"... ma non è l'unico...

M.

Drugo83 · « **Risposta #17 il:** 14 Dic 2011, 10:25:41 »

Citazione da: mau_develop - 13 Dic 2011, 14:54:45

ATTENZIONE
A qualcuno potrebbe venire la curiosità di vedere dove portano quei link

Ciao mau,
adesso che ricordo bene, dopo aver visitato gli indirizzi che ho postato sopra, ho visitato anche gli indirizzi ip dal quale provenivano gli attacchi.
Ti riferisci a questi come link da non visitare?
Nel caso fosse così come posso procedere adesso?
Premetto che navigo da una postazione con ip fisso(non so se questa informazione può servire).

Grazie

2004bla · « **Risposta #18 il:** 14 Dic 2011, 14:03:55 »

Ciao a tutti!
mi avete incuriosito e volevo guardare anche il mio sito ma dove trovo il phpstats?

Cercando in giro ho trovato anche questo tool per la sicurezza di siti joomla! "Admin tools" (trovabile in questo sito http://www.akeebabackup.com/software/admin-tools.html)
Qualcuno l'ha già provato e potrebbe essere utile?

Grazie!

mau_develop · « **Risposta #19 il:** 14 Dic 2011, 17:28:18 »

è natale , ci vuole relax...
non difendete nulla,... non c'è nulla da difendere ... non smazzulatevi il cervello a guardare stringhe che avrebbero lo stesso effetto della lettura di un enciclopedia medica... dopo due minuti non capendoci più nulla sospettereste di tutto.
Queste valanghe di query a me tranquillizzano... sono casuali... il giorno che ti bucano il sito non lo vedi da quelle stringhe... lo vedi o meglio...non vedi più il sito

nessun tool, solo un po' di metodicità in backup e aggiornamenti, guide e modalità ce ne sono in abbondanza ovunque.. e anche qui

M.