[RISOLTO]Attacco su 2.5.9

[devil_cp]

Ciao,

credo di aver subito un attacco sulla versione 2.5.9 con tutte le componenti aggiornate.

Mi sono ritrovato tutti gli untenti modificati con stessa userneme e stessa password sul db.

Ho ripristinato e tutto sembra essere tornato a posto.

Suggerimenti?

Grazie

[BelinBelan]

Ciao,
se quel che dici corrisponde al vero, supporrei un attacco sql-injection.. c'è una lista di componenti sul sito joomla che mostra tutte le vulnerabilità conosciute e i componenti sconsigliati... guarda un po' se in quella lista "rossa" trovi qualcuna delle tue..

[devil_cp]

Sto verificando.

Grazie

[devil_cp]

Non avevo utilizzato alcuna delle componenti segnalate.

In primis tutto è nato da una mia dimenticanza: capcha mancante su form di contatti Fox Contact.

Ora ho rimendiato ed in più ho trovato lo script utilizzato, dal quale ho preso qualche spunto per aumentare i controlli su quanto inserito dagli utenti.

[BelinBelan]

Ciao,
confermi che l'attacco si sql-injection è passato per Fox-Contact? 

Sarebbe interessante sapere se è davvero così vulnerabile...

Grazie per la preziosa segnalazione.

[BelinBelan]

Per ora nel forum di Fox, si parla di "vulnerabilità gravi scoperte testando il componente su un sito..."

Segnalazione "vaga" di un Utente del Forum stesso...

[mau_develop]

Per ora nel forum di Fox, si parla di "vulnerabilità gravi scoperte testando il componente su un sito..."
-------------------------------------------------------------------------------------------------------------------------------------------
dove? ... metti un link pf?

[BelinBelan]

Ecco il link:

http://www.fox.ra.it/forum/5-support/7665-security-concern.html

E' una segnalazione "vaga" ma se la sommiamo a quanto afferma devil_cp, due indizi fanno un sospetto 

[mau_develop]

beh il tipo dice che ha lanciato un tool.... ora, se sapesse pure usarlo ci sarebbe voluto 1,5 sec per testarla quindi direi che l'attendibilità è + o - 0 ... però...
volevo dare un occhiata a quell'estensione,... l'ho scaricata... l'ho aperta e nn ci ho capito nulla di come l'ha scritta

[BelinBelan]

Si ho letto la "vaghezza".. e non ho alcun strumento per pensare positivamente o negativamente..

Però... ho notato un bel po' di siti joomla che ultimante la stanno usando... aspettiamo di sentire se sono stati "bucati" o meno...

Qui nel Forum ho letto di sql-injection in cui si sono trovati tutti gli account rinominati... vai a sapere se avevano fox-contact...

[devil_cp]

Io so per certo hanno postato nel contenuto del messaggio uno script che poi è rimasto nei log.

[BelinBelan]

Buongiorno,
non dubito della tua esperienza, anzi... nel forum del sito del produttore ancora non se ne parla e ripeto, ultimamente alcuni qui hanno postato d'aver avuto il tuo stesso problema e se fosse confermato che anche loro avessero avuto installato fox-contact sarebbe quasi certamente la "prova del 9" sulla vulnerabilità di questo componente che in parecchi iniziano ad usare...

[mau_develop]

se il log registra errori sicuramente o quello non è l'esploit o è solo parte di esso.
Per funzionare un esploit deve non far fallire il processo... altrimenti cosa esploiti?
Inoltre se hanno cambiato tutti gli users non lo hanno certo fatto con una injection sql la quale non riuscirà mai a scrivere nulla su un db, solo a leggere.
Come dicevo prima non si può imputare una presunta vulnerabilità... se è presunta sai qual'è e se sai qual'è basta che la provi altrimenti è aria fritta.
Questo non assolve l'estensione dalla possibilità di contenere qualcosa che non va ma non puoi segnalare che con un tool hai trovato qualcosa... se fai girare un tool su joomla te ne segnala almeno 10 di "cose" ... che poi nn portano a nulla, nessun tool sostituisce l'intelligenza e il know-how.
Mi sarebbe piaciuto controllarla ma è un casino e diventerebbe un lavoro... per cui nn mi interessa, che lo faccia lo sviluppatore

[BelinBelan]

Condivido.
Alla prossima che leggo di "utenti" modificati, proverò a chiedere se hanno fox-contact 
ciao.

[mau_develop]

...prova anche a chiedere anche quali scemenze sconosciute hanno installato e quante smanacciate hanno fatto per risolvere problemi o esigenze... tanto quelle o non se le ricordano o non gli danno importanza o non te le dicono... basta anche una scemenza nel template... sai quanti copiano e incollano stringhe di codice senza nemmeno accorgersi dei problemi che causano? ... l'importante non è mai solo il risultato.

[BelinBelan]

E già... e magari Template hackerati o componenti scaricate da siti russi, cinesi o di chissà dove giusto per non avere quella "linea con il nome del componente" (leggi copyrigth) e vabbè...sarebbe un discorso troppo lungo e off-topic 

[devil_cp]

Purtroppo abbiamo provato ad indagare e a cercare tra le componenti codice malevolo. Abbiamo trovato anche lo script che è stato utilizzato, ma analizzarlo e capire con esattezza porta via tempo e come già accennato da qualcuno non può diventare un lavoro.

Se sento altre segnalazioni o lamentele al riguardo della componente vedrò di far fattor comune.