nginx: può causare danni?

[MasterTheBest]

Dati del problema
Sito:
http://www.trecampanili.it
Joomla2.5.3
Plugin Esterni:

• phocagallery
• xmap
• phocaslide ~ nivo

Plugin Interni:

• impostazione seo
• motore di ricerca (indicizzazione contenuto)

Il fattaccio:
un mese fa, ho avuto un problema molto serio con un malware estremamente infame: continuava ad aggiungere a fine file index.php in root, un iframe a google.
Risolto il problema con la rimozione completa ed il re-up della medesima versione 2.5, la pace dei sensi è ritornata sul dominio.
Stamane, si è presentato il problema, di nuovo: l'host dice espressamente

il cms che ha utilizzato (joomla)sta presentando numerosi problemi su vari server, che sono completamente indipendenti dall'hosting e da tutto il resto.
Deve aggiornarlo.

Il problema, volle risolverlo con un file da eseguire due volte: questo il contenuto del suddetto

Codice: [Seleziona]

<?php

function replaceLineInTextFile($file) {
    $content = file_get_contents($file);
    if (preg_match('/var BrowserDetect.*}else {}/', $content) > 0) {
        $content = preg_replace('/var BrowserDetect.*}else {}/', "", $content);
        file_put_contents($file, $content);
        print "$file -> replaced!\n";
    }
}

function fileArray($path, &$result) {
        $folder_handle = opendir($path);
    $exclude_array = explode("|", ".|..");
        while(false !== ($filename = readdir($folder_handle))) {
        if(in_array(strtolower($filename), $exclude_array)) 
            continue;
                else if(is_dir($path . $filename . "/"))
                    fileArray($path . $filename . "/", $result);
                else
            if (preg_match('/\.js/', $filename) > 0)                    
                $result[] = $path . $filename;
    }
        return $result;
}

$result = array();
fileArray("../", $result);
foreach ($result as $key => $value)
    replaceLineInTextFile($value);

?>Perchè ho detto nginx? perchè, a fine del file index.php, ho trovato un iframe con src a questo indirizzo
http:// 31.184.242.81 / link.php
ho aggiunto gli spazi per evitare casini.
Ora, una volta cliccato su questo magnifico link, mi ritrovo un bel
404 Not Found (FALSISSIMO)
nginx(qui la ricerca su google per capire che cosa sia questa sigla)

ORA
cosa ne pensate? realmente joomla è cosi buggato? Io son estremamente scettico sull'affermazione e rimedio dell'intermediaria.

Un vostro parere? Per altre info, chiedetemi pure! =)

[mau_develop]

l'host dice espressamente ....  Deve aggiornarlo.
-----------------------------------------------------------------
e l'hai fatto? anche le estensioni?

se si che di dicesse da dove sono passati visto che ha i log
poi se hai aggiornato una versione bacata difficilmente hai tolto il problema

M.

[MasterTheBest]

Grazie per la tempestiva attenzione.
Ebbene si, aggiornato alla j2.5.3 e non solo: il re-up, dopo la precedente segnalazione, è stato fatto con 1 nuovo download da joomla.it (quindi file sicuri), spacchettati in una nuova cartella ed uppati sia su trecampanili  che sul mio privato.

Altro dato: il mio sito, con gli stessi plugin, funziona perfettamente e non ha mai avuto problemi. (una volta che li installai sul mio, gli stessi file scaricati li utilizzavo per installarli su trecampanili)

[mau_develop]

se sei aggiornato e ti fa vedere l'esploit pensa che sei uno dei pochi se non l'unico a conoscere uno 0day per joomla ... mitico

M.

[MasterTheBest]

se sei aggiornato e ti fa vedere l'esploit pensa che sei uno dei pochi se non l'unico a conoscere uno 0day per joomla ... mitico

M.

ehm, non ho capito scusami

[mau_develop]

se joomla è aggiornato e non ci sono vulnerabilità conosciute,
se l'hoster ti dice che sono passati da joomla,
nei log del server trovi che esploit hanno usato, e deve essere per forza sconosciuto altrimenti avrebbero già aggiornato joomla.

M.

http://nginx.org/en/security_advisories.html

[MasterTheBest]

Attualmente ho impostato l'index.php con diritti 444 (solo lettura per tutti), modificati via filezilla. Per ora regge, speriamo!

[mau_develop]

se passano da joomla sono 4 perchè sono joomla, altrimenti quell'index non funzionerebbe
se passano dal server gliene frega nulla di quei permessi

M.

..infatti non dovrebbe essere possibile fare quell'iniezione di codice su un server dove joomla non è owner, quelli che solitamente apri un post per dire che non riesci ad installare nulla, che non riesci a modificare il configuration... sempre passino da joomla

[MasterTheBest]

Se ho capito, mau_develop, stai dicendo:

• se tutto regge è un problema di joomla
• se invece esplode, c'è qualcosa sul server

ho capito male?

[mau_develop]

no scusa, ho scritto una mezza fesseria,
in buona sostanza cambiando i permessi come hai fatto hai messo in sicurezza la scrittura diretta sul file, anche da parte di joomla, in mezzo ci sono un sacco di però e di modi di bypassare anche questo.
Io non mi metterei a ragionare su come proteggere i filex index dalla scrittura perchè in linea di massima succedono sempre due cose:
- finiscono prima le dita dei buchi
- quando devi far fare delle operazioni di aggiornamento joomla non riesce più a toccare nulla

Semplicemente non è normale che qualcuno ti scriva su quei files quindi rimani sul fatto che o hai un problema tu o ce l'ha il server; tu fai la tua parte e verifica di farla bene, tutto più che aggiornato e non smanettato, poi se succede ancora si cambia il server.

M.

[MasterTheBest]

Molte grazie mau_develop!!