Autore Topic: [Risolto] Vulnerabilità sito (credo) (Letto 11248 volte)

lucantropo · « **il:** 02 Ago 2013, 00:00:24 »

Buona sera, stavo cominciando ad aggiornare i miei siti alla versione 2.5.14 di joomla e capitando nella discussione del forum sono andato a leggermi di una vecchia vulnerabilità.
Ovvero infilando questa stringa nella path del mio sito
index.php?option=com_media&view=images&tmpl=component&fieldid=&e_name=jform_articletext&asset=com_content&author=&folder=
dal browser esce fuori il sistema di caricamento immagini di joomla da back end (credo si dica così).
Ora il sito non lo cito per ovvi motivi, ma era alla versione 2.5.11 prima dell'aggiornamento e presentava il problema che non si è risolto aggiornando.

Provando su altri siti, tra l'altro ospitati sullo stesso server ed un paio con versioni più vecchie il problema non si presenta.

Che si può fare in proposito?

Grazie in anticipo

lucantropo · « **Risposta #1 il:** 02 Ago 2013, 00:04:54 »

Come ho accennato l'ho già fatto e non è servito a niente! Ehm rispondevo ad un utente che mi diceva di aggiornare ma è sparito boh...

Peppe-73 · « **Risposta #2 il:** 02 Ago 2013, 00:08:43 »

A me non esce nulla ho provato ora, forse e un problema del tuo Host,

EDIT:
ti confermo che e una vulnerabilità del tuo Host, perché ho provato da capo e mi esce la scritta rossa che non sono autorizzato a vedere questa pagina

lucantropo · « **Risposta #3 il:** 02 Ago 2013, 00:10:55 »

Sto pensando anche io che sia un problema del mio host, non capisco come mai però accada solo su questo sito e non sugli altri. L'unica spiegazione che mi viene in mente al momento è che dato che me lo hanno migrato loro da poco e parlavano di codice malevolo, non abbiano combinato qualche casino.
Però prima di aprire un tiket preferisco avere le maggiori info possibile, visto che so che sono della cape toste!

lucantropo · « **Risposta #4 il:** 02 Ago 2013, 11:21:01 »

Come volevasi dimostrare ho chiesto al mio hosting...
Prima risposta: Vulnerabilità del com_jce sulla versione di joomla 1.5.26

Jce su questo sito mai installato e versione in uso fino a ieri 2.5.11 e in seguito 2.5.14

Sigh, qualcuno ha idee alternative?

Peppe-73 · « **Risposta #5 il:** 02 Ago 2013, 11:48:44 »

Nessuna, cambia Host non è un problema di Joomla, io ho cambiato Host 1 mese fa perché si ostinavano a non farmi l'aggiornamento al PhP per l'oro era ancora in beta dicevano cosa falsa, da come ne parli spero che non sia dove ero prima io, comunque non ci sono soluzioni deve risolvere il tuo Host

lucantropo · « **Risposta #6 il:** 02 Ago 2013, 11:57:41 »

La loro soluzione è rimettere su un installazione pulita dato che c'è stato un attacco hacker su jce che ripeto non c'è.
Ora sto tirando giù l'intero sito per scansionarlo e vedere se non ci sia comunque un qualche virus.
La cosa che mi fa sorridere è che sul server c'è la vecchia installazione del sito con la 1.526 che avrei tolto in questi giorni perchè il sito è appena stato migrato, ho provato ad inserire la stringa nella path e funziona perfettamente.

Per il cambio host ci sto pensando devo prima decidere per quanto starà aperto questo sito.

Peppe-73 · « **Risposta #7 il:** 02 Ago 2013, 12:52:53 »

Se ancora vedi la vecchia installazione te sfuggito qualcosa, probabilmente ti creano problemi, da quello che sto capendo tu ai fatto una migrazione da 1.5.x alla 2.5.x e saranno rimasti vecchi file, elimina ho aggiorna tutto quello che riguardava la vecchia installazione.

Se ai un sito con pochi contenuti e che puoi rifare con un poco di pazienza allora ti suggerirei magari di fare una bella installazione pulita e nuova con l'ultima versione localizzata Joomla 2.5.14 ho la 3.1.5

lucantropo · « **Risposta #8 il:** 02 Ago 2013, 12:59:25 »

scusa mi spego meglio, la vecchia installazione era li nel caso avessi dovuto ripristinare dopo la migrazione, l'avrei tolta a giorni e in questo momento la sto togliendo.
La migrazione l'han fatta i tecnici dell'host in quanto non riuscivo con i vari tool.

Detto questo loro asseriscono che il problema sta in jce che ripeto non è stato mai installato in nessuna delle due versioni perchè non serve.

Va bene che c'è ancora la versione vecchia ma il problema non sta li sicuramente.

Ho scansionato e risultava il virus blackhole, potrebbe essere quello? in un altro sito l'avevo beccato ma non dava lo stesso problema e inoltre la versione 1.526 non presenta problemi e la scansione non da risultati di virus.

Ora sono già nella fase di pulizia del server per poi ripristinare il tutto sperando di averla adeguatamente pulita ma la cosa come me l'hanno spiegata loro secondo me non è giusta.

purtroppo il sito è decisamente corposo con più di 400 utenti registrati, rifarlo da zero è impossibile.

Mi armerò di santa pazienza

Peppe-73 · « **Risposta #9 il:** 02 Ago 2013, 13:05:49 »

Capisco, rifare da capo e pesante ai ragione, non ti resta la pazienza e verificare poco per volta ed eliminare il virus, quello che non capisco come fa a risultare un file che non e stato mai installato

controlla il DB per scrupolo e se trovi qualcosa con JCE la elimini

lucantropo · « **Risposta #10 il:** 02 Ago 2013, 13:06:49 »

Grazie per il sostegno!!!

e per i consigli

ps. intanto confermo che in nessuno dei due database è presente niente a riguardo di jce

Peppe-73 · « **Risposta #11 il:** 02 Ago 2013, 13:12:27 »

Citazione da: lucantropo - 02 Ago 2013, 13:06:49

Grazie per il sostegno!!! e per i consigli
ps. intanto confermo che in nessuno dei due database è presente niente a riguardo di jce

Prego

mau_develop · « **Risposta #12 il:** 02 Ago 2013, 15:06:22 »

e capitando nella discussione del forum sono andato a leggermi di una vecchia vulnerabilità.
Ovvero infilando questa stringa nella path del mio sito
index.php?option=com_media&view=images&tmpl=component&fieldid=&e_name=jform_articletext&asset=com_content&author=&folder=
--------------------------------------------------------------------
non è tanto vecchia, di fine maggio ma credo che ufficialmente non sia mai stata segnalata
non è relativa a jce ma a joomla
non ho ancora capito se è quella per cui hanno segnalato la vulnerabilità in questa versioncina intermedia che ha causato problemi.
non hanno l'abitudine di spiegare i problemi

lucantropo · « **Risposta #13 il:** 02 Ago 2013, 15:28:22 »

Io ce l'ho solo su un sito su tutti gli altri niente.
Ora sta finendo di caricare la versione pulita ma il problema persiste.
Ho effettuato le seguenti operazioni:
Scaricato tutte le cartelle, scansionate con due antivirus eliminati due blackhole.
Ho sovrascritto tutti i file del core con una versione 2.5.14, riscansionato e trovato nessun virus.
Rimesso su tutto e siamo punto e a capo.

Ripeto il problema si presentava già su la versione 2.5.11.

Secondo voi ( lo so sto per dire una cazzata ) devo modificare permessi su delle cartelle per riuscire a tamponare?

p.s. ho anche appena fatto una verifica con sucuri e il sito risulta pulito.

Peppe-73 · « **Risposta #14 il:** 02 Ago 2013, 16:09:55 »

Prova a disattivare poco per volta quache modulo ed estensione ho plugin, al momento non mi viene in mente altro

lucantropo · « **Risposta #15 il:** 02 Ago 2013, 16:27:41 »

Provato, non ti dico neanche il risultato.

Sto attendendo risposte dal mio host mi sa che altro non posso fare.

Oddio forse potrebbe esserci qualche stranezza sul database ma li meglio che non ci metta le mani,

mau_develop · « **Risposta #16 il:** 02 Ago 2013, 17:17:35 »

non ho mai provato o indagato su quel problema ho solo letto un post su un sito che leggo e poi avevo risposto in qs sezione a qulcuno.

Sicuramente una differenza di comportamento la fa un'eventuale cookie o sessione autenticata che eventualmente ti porti dietro, prova a svuotare la cache del browser, i cookie etc prima di ogni prova

lucantropo · « **Risposta #17 il:** 03 Ago 2013, 00:27:25 »

Citazione da: M_W_C - 02 Ago 2013, 17:17:35

non ho mai provato o indagato su quel problema ho solo letto un post su un sito che leggo e poi avevo risposto in qs sezione a qulcuno.

Sicuramente una differenza di comportamento la fa un'eventuale cookie o sessione autenticata che eventualmente ti porti dietro, prova a svuotare la cache del browser, i cookie etc prima di ogni prova

Grazie per il tentativo, mi piacerebbe fosse così semplice la soluzione, purtroppo ho già provato sia da pc che da tablet con più browser e il risultato ê sempre lo stesso.

Ora appena mi è possibile volevo tentare ad installare una copia del sito su un altro server per vedere se non sia quello che ha problemi. Sto andando per tentativi capiamoci ma dall'host ci hanno messo poco a dirmi che ci fosse un tentato hackeraggio su jce ma da quando ho risposto che jce non è mai stato installato su quel server son spariti.

Mah!

Peppe-73 · « **Risposta #18 il:** 03 Ago 2013, 00:33:15 »

Citazione da: lucantropo - 03 Ago 2013, 00:27:25

[size=78%] Sto andando per tentativi capiamoci ma dall'host ci hanno messo poco a dirmi che ci fosse un tentato hackeraggio su jce ma da quando ho risposto che jce non è mai stato installato su quel server son spariti.[/size]

Mah!

No voglio difenderli, ma quel Host come assistenza e presente, fatti vedere spesso via ticket anche telefonicamente, se non ti rispondono velocemente dopo la tua risposta magari stanno cercando la soluzione, domanda magari stupida ma sei su server Linux ovviamente !

lucantropo · « **Risposta #19 il:** 03 Ago 2013, 00:40:05 »

Io sono abbastanza soddisfatto del loro operato, mi fa solo inc.... che raccontano spesso panzane, per esempio per la migrazione si sono inventati che c'era codice malevolo che non faceva migrare con jupgrade. In realtà da loro la migrazione standard è impossibile.
Poi me l'hanno fatta dicendo via jupgrade ma in realtà hanno fatto a mano.
Ora la questione jce.
Pensano sempre di avere a che fare con gente che non sa niente, spesso magari è così ma quando non lo è fanno brutte figure.
So che arriveremo ad una soluzione prima o poi ma ogni tanto me le fanno girare

Si si server Linux, ormai windows non li prendo più neanche per siti statici.

Autore Topic: [Risolto] Vulnerabilità sito (credo) (Letto 11248 volte)

mau_develop

mau_develop