Subito attacco da ThE ViPeR - analisi

[ndomiano]

Buongiorno, come da titolo questa notte alle 4.20 sono entrati nel mio sito e hanno scombussolato un pò le cose.

Piattaforma: J 1.5.22
Hosting: ****

Gli Hacker hanno uppato i file:
post.php.png
post.php.jpg
che sono identici, affetti da
Exploit.C99Shell.Gen

il nome della shell è : '# Web Shell by boff'

Ha cancellato tutti gli articoli presenti nel sito e rimpiazzati con uno in home page:

---------------------------------

I Will Be BaCK Again

--

 - Asdelly - All My Friends
THE GangSteR 007
ALLAH
}
Thanks to{

--
King.HaCK@hotmail.frKing.HaCK@hotmail.fr 

To Contact:  Die Alone

Work Alone & # ThE ViPeR #

# Hacked By ThE ViPeR #

--secure !!

Your Server is not --
root
groups=0(root)

uid=0(root) gid=0(root) # id;whoami

--
Your B0x 0wn3d !!

24njgxx.gif[


HaCKeD By The VipeR

---------------------------------

L'hosting non vuole fornirmi i log per questioni di privacy, io vorrei comunque capire come hanno fatto ad inviare quei files al server per prevenrire futuri attacchi simili.

N.B. è prevista la migrazione IMMEDIATA a J 2.5!!!

Se volete posso postare lo script che ora è in mio possesso

Ciao e grazie

[tomtomeight]

Beh non aggiornando prima o poi dovevi aspettartelo, adesso che passi alla nuova versione mi raccomando, aggiornamenti e bachup.

P.S.  Ti ricordo che è vietato citare cose commerciali anche spezzettandole.

[ndomiano]

Beh non aggiornando prima o poi dovevi aspettartelo, adesso che passi alla nuova versione mi raccomando, aggiornamenti e bachup.

P.S.  Ti ricordo che è vietato citare cose commerciali anche spezzettandole.

  scusate per la citazione commerciale

Quello che mi preme capire è come hanno uppato il file, sfruttando che tipo di vulnerabilità. Dato che ho in gestione anche altri siti mi interesserebbe molto.
In definitiva avranno
bucato il sito, uppato il file e preso il controllo o uppato il file e preso il controllo, nonchè i permessi di admin ?

[tomtomeight]

Avranno sfruttato vulnerabilità del cms o delle estensioni non aggiornate. Ecco perché è importante tenere aggiornato tutto.

[ndomiano]

Avranno sfruttato vulnerabilità del cms o delle estensioni non aggiornate. Ecco perché è importante tenere aggiornato tutto.

alcune delucidazioni:
-se l'hosting avesse avuto un firewall, tutto ciò sarebbe accaduto? mi spiego, ho lanciato lo script dal mio pc e gdata firewall mi ha subito individuato l'exploit, non pensate che se l'hosting avesse avuto un firewall simile avrebbe a sua volta bloccato l'exploit?
-se nella dir /images avessi uppato un htaccess contentente:
<files *.php>
order deny,allow
deny from all
</files>
avrei risolto il problema dell'esecuzione script?

[mau_develop]

aggiorna joomla

[ndomiano]

aggiorna joomla

Leggo in tutte le discussioni che riportano il mio problema una frase del genere...

Dando per scontato che AGGIORNO JOOMLA qualcuno piu esperto e non finto esperto puó illuninarmi sulla domanda posta precedentemente, dato che la mia curiosità é capire il come ed arricchire il mio bagaglio personale, nonche creare una documentazione utile, che sia anche solo un semplice post, per altri utenti.

[BelinBelan]

basta che non t'arrabbi 


Consigliare un aggiornamento non è mai banale né scontato, la maggior parte delle "failure" che si leggono derivano proprio da questa non-curanza sia verso joomla! che verso le estensioni/plugin.


C'é gente, qui fuori, che si diverte a fare "reverse-engineering" delle più popolari estensioni/plugin/componenti anche di Joomla! per scovare buchi, difetti,anomalie utili a poter entrare in un "sistema" cms come questo.


Più ci sono le stesse analisi verso Apache o il codice php. E' una lotta.


Come fare a capire da dove sono entrati? Credo che nemmeno un "super-esperto" te lo potrebbe dire: sicuramente da uno dei moltissimi "difetti" che vengono scovati in Joomla! o in Apache. Alcuni anche di tipo "zero-day".


Un punto da cui partire è anche questo: [size=78%]http://vel.joomla.org/[/size] lì c'é tutto quello che viene scoperto e che rende potenzialmente vulnerabile joomla!


Poi nella JED ci sono estensioni per protegge il Backend, la sql-injection, firewall di ogni sorta.. etc.. ma se non si usano... 


Innanzitutto occorre pensare che, come già detto molte volte, la sicurezza è il nostro modo di agire.


Perdonami se non so dirti come ti hanno bucato il sito ma più di questo non so scriverti, e non penso nemmeno sia così banale o scontato da scrivere.

[mau_develop]

guarda come si fa...
https://www.google.it/search?q=joomla+1.5.22+vulnerability
prendo, ne leggo uno, copio il codice e ti buco il sito, così per ogni cosa vulnerabile che hai installato.

non sciupare tempo a capire aggiorna tutti i siti

[ndomiano]

basta che non t'arrabbi 


Consigliare un aggiornamento non è mai banale né scontato, la maggior parte delle "failure" che si leggono derivano proprio da questa non-curanza sia verso joomla! che verso le estensioni/plugin.


C'é gente, qui fuori, che si diverte a fare "reverse-engineering" delle più popolari estensioni/plugin/componenti anche di Joomla! per scovare buchi, difetti,anomalie utili a poter entrare in un "sistema" cms come questo.


Più ci sono le stesse analisi verso Apache o il codice php. E' una lotta.


Come fare a capire da dove sono entrati? Credo che nemmeno un "super-esperto" te lo potrebbe dire: sicuramente da uno dei moltissimi "difetti" che vengono scovati in Joomla! o in Apache. Alcuni anche di tipo "zero-day".


Un punto da cui partire è anche questo: [size=78%]http://vel.joomla.org/[/size] lì c'é tutto quello che viene scoperto e che rende potenzialmente vulnerabile joomla!


Poi nella JED ci sono estensioni per protegge il Backend, la sql-injection, firewall di ogni sorta.. etc.. ma se non si usano... 


Innanzitutto occorre pensare che, come già detto molte volte, la sicurezza è il nostro modo di agire.


Perdonami se non so dirti come ti hanno bucato il sito ma più di questo non so scriverti, e non penso nemmeno sia così banale o scontato da scrivere.

io non mi arrabbio ma ti trovi con me che sui forum si trovano sempre queste risposte banali..magari messe giusto per 'far punteggio'? La mia questione era chiara, HO SBAGLIATO, vorrei imparare da questo sbaglio. Tu sei stato molto chiaro in tutto quello che mi hai detto e ti ringrazio.

Mi leggerò tutto nella documentazione che mi hai linkato, non la conoscevo. Premo ancora, però, sulla questione dell'htaccess, e del firewall, in quanto vorrei capire l'efficacia.
Se inserivo quell'HTACCESS in quella cartella ero protetto ( in quella cartella )? Sarebbero entrati in altro modo si, però mettiamo il caso che io volevo sventare questo preciso attacco, secondo voi HTACCESS e/o FIREWALL avrebbero arginato il tutto?

Grazie ancora!

[ndomiano]

guarda come si fa...
https://www.google.it/search?q=joomla+1.5.22+vulnerability
prendo, ne leggo uno, copio il codice e ti buco il sito, così per ogni cosa vulnerabile che hai installato.

non sciupare tempo a capire aggiorna tutti i siti

fortunatamente di tempo ne ho.. voglio solo capire

[mau_develop]

io non mi arrabbio ma ti trovi con me che sui forum si trovano sempre queste risposte banali..
----------------------------------------------------------------------
perchè se posti qui' per risolvere vuol dire che risposte più complesse sarebbero o incomprensibili o impraticabili su qs forum... ma ce ne sono tanti anche di sicurezza informatica.

Se inserivo quell'HTACCESS in quella cartella ero protetto ( in quella cartella )? Sarebbero entrati in altro modo si, però mettiamo il caso che io volevo sventare questo preciso attacco, secondo voi HTACCESS e/o FIREWALL avrebbero arginato il tutto?
-------------------------------
No

fortunatamente di tempo ne ho.. voglio solo capire
--------------------------------------------------------------------
c'è poco da capire, se alla porta di casa non controlli chi entra ma basta dire "sono pippo" ti trovi in casa chiunque, buoni e cattivi.
..comunque visto che hai tempo qs è un riferimento: https://www.owasp.org/index.php/Category:Vulnerability
..e se guardi la mia firma c'è un esempio fresco fresco

[ndomiano]

io non mi arrabbio ma ti trovi con me che sui forum si trovano sempre queste risposte banali..
----------------------------------------------------------------------
perchè se posti qui' per risolvere vuol dire che risposte più complesse sarebbero o incomprensibili o impraticabili su qs forum... ma ce ne sono tanti anche di sicurezza informatica.

Se inserivo quell'HTACCESS in quella cartella ero protetto ( in quella cartella )? Sarebbero entrati in altro modo si, però mettiamo il caso che io volevo sventare questo preciso attacco, secondo voi HTACCESS e/o FIREWALL avrebbero arginato il tutto?
-------------------------------
No

fortunatamente di tempo ne ho.. voglio solo capire
--------------------------------------------------------------------
c'è poco da capire, se alla porta di casa non controlli chi entra ma basta dire "sono pippo" ti trovi in casa chiunque, buoni e cattivi.
..comunque visto che hai tempo qs è un riferimento: https://www.owasp.org/index.php/Category:Vulnerability
..e se guardi la mia firma c'è un esempio fresco fresco

non ho ben capito questo owasp...
comunque riguardo htaccess se dici che non funziona come mai si sbattono tanto a farli?

tipo qui mi sembra molto esaustivo ed ha anche un senso..: http://tomolivercv.wordpress.com/2011/07/24/protect-your-uploads-folder-with-htaccess/
messo in images e tutte le upload folder non dovrebbe permettere l'esecuzione di tutta quella roba che dice lui.. no?

[mau_develop]

conosci php o un linguaggio di programmazione?
...altrimenti per forza non capisci...

[ndomiano]

conosci php o un linguaggio di programmazione?
...altrimenti per forza non capisci...

Certo altrimenti non avrei posto la domanda. Ma io vedo riferimenti solo a java, .net, c/c++