[Risolto] Vulnerabilità sito (credo)

[lucantropo]

Buona sera, stavo cominciando ad aggiornare i miei siti alla versione 2.5.14 di joomla e capitando nella discussione del forum sono andato a leggermi di una vecchia vulnerabilità.
Ovvero infilando questa stringa nella path del mio sito
index.php?option=com_media&view=images&tmpl=component&fieldid=&e_name=jform_articletext&asset=com_content&author=&folder=
dal browser esce fuori il sistema di caricamento immagini di joomla da back end (credo si dica così).
Ora il sito non lo cito per ovvi motivi, ma era alla versione 2.5.11 prima dell'aggiornamento e presentava il problema che non si è risolto aggiornando.

Provando su altri siti, tra l'altro ospitati sullo stesso server ed un paio con versioni più vecchie il problema non si presenta.

Che si può fare in proposito?

Grazie in anticipo

[lucantropo]

Come ho accennato l'ho già fatto e non è servito a niente! Ehm rispondevo ad un utente che mi diceva di aggiornare ma è sparito boh...

[Peppe-73]

A me non esce nulla ho provato ora, forse e un problema del tuo Host,


EDIT:
 ti confermo che e una vulnerabilità del tuo Host, perché ho provato da capo e mi esce la scritta rossa che non sono autorizzato a vedere questa pagina

[lucantropo]

Sto pensando anche io che sia un problema del mio host, non capisco come mai però accada solo su questo sito e non sugli altri. L'unica spiegazione che mi viene in mente al momento è che dato che me lo hanno migrato loro da poco e parlavano di codice malevolo, non abbiano combinato qualche casino.
Però prima di aprire un tiket preferisco avere le maggiori info possibile, visto che so che sono della cape toste!

[lucantropo]

Come volevasi dimostrare ho chiesto al mio hosting...
Prima risposta: Vulnerabilità del com_jce sulla versione di joomla 1.5.26

Jce su questo sito mai installato e versione in uso fino a ieri 2.5.11 e in seguito 2.5.14

Sigh, qualcuno ha idee alternative?

[Peppe-73]

Nessuna, cambia Host non è un problema di Joomla, io ho cambiato Host  1 mese fa perché si ostinavano a non farmi l'aggiornamento al PhP per l'oro era ancora in beta dicevano cosa falsa, da come ne parli spero che non sia dove ero prima io, comunque non ci sono soluzioni deve risolvere il tuo Host

[lucantropo]

La loro soluzione è rimettere su un installazione pulita dato che c'è stato un attacco hacker su jce che ripeto non c'è.
Ora sto tirando giù l'intero sito per scansionarlo e vedere se non ci sia comunque un qualche virus.
La cosa che mi fa sorridere è che sul server c'è la vecchia installazione del sito con la 1.526 che avrei tolto in questi giorni perchè il sito è appena stato migrato, ho provato ad inserire la stringa nella path e funziona perfettamente.

Per il cambio host ci sto pensando devo prima decidere per quanto starà aperto questo sito.

[Peppe-73]

Se ancora vedi la vecchia installazione te sfuggito qualcosa, probabilmente ti creano problemi,  da quello che sto capendo tu ai fatto una migrazione da 1.5.x alla 2.5.x e saranno rimasti vecchi file, elimina ho aggiorna tutto quello che riguardava la vecchia installazione.


Se ai un sito con pochi contenuti e che puoi rifare con un poco di pazienza allora ti suggerirei magari di fare una bella installazione pulita e nuova con l'ultima versione localizzata Joomla 2.5.14 ho la 3.1.5 

[lucantropo]

scusa mi spego meglio, la vecchia installazione era li nel caso avessi dovuto ripristinare dopo la migrazione, l'avrei tolta a giorni e in questo momento la sto togliendo.
La migrazione l'han fatta i tecnici dell'host in quanto non riuscivo con i vari tool.

Detto questo loro asseriscono che il problema sta in jce che ripeto non è stato mai installato in nessuna delle due versioni perchè non serve.

Va bene che c'è ancora la versione vecchia ma il problema non sta li sicuramente.

Ho scansionato e risultava il virus blackhole, potrebbe essere quello? in un altro sito l'avevo beccato ma non dava lo stesso problema e inoltre la versione 1.526 non presenta problemi e la scansione non da risultati di virus.

Ora sono già nella fase di pulizia del server per poi ripristinare il tutto sperando di averla adeguatamente pulita ma la cosa come me l'hanno spiegata loro secondo me non è giusta.

purtroppo il sito è decisamente corposo con più di 400 utenti registrati, rifarlo da zero è impossibile.

Mi armerò di santa pazienza

[Peppe-73]

Capisco, rifare da capo e pesante ai ragione, non ti resta la pazienza e verificare poco per volta ed eliminare il virus, quello che non capisco come fa a risultare un file che non e stato mai installato    controlla il DB per scrupolo e se trovi qualcosa con JCE la elimini 

[lucantropo]

Grazie per il sostegno!!!  e per i consigli 
ps. intanto confermo che in nessuno dei due database è presente niente a riguardo di jce
 

[Peppe-73]

Grazie per il sostegno!!!  e per i consigli 
ps. intanto confermo che in nessuno dei due database è presente niente a riguardo di jce

Prego

[mau_develop]

 e capitando nella discussione del forum sono andato a leggermi di una vecchia vulnerabilità.
Ovvero infilando questa stringa nella path del mio sito
index.php?option=com_media&view=images&tmpl=component&fieldid=&e_name=jform_articletext&asset=com_content&author=&folder=
--------------------------------------------------------------------
non è tanto vecchia, di fine maggio ma credo che ufficialmente non sia mai stata segnalata
non è relativa a jce ma a joomla
non ho ancora capito se è quella per cui hanno segnalato la vulnerabilità in questa versioncina intermedia che ha causato problemi.
non hanno l'abitudine di spiegare i problemi

[lucantropo]

Io ce l'ho solo su un sito su tutti gli altri niente.
Ora sta finendo di caricare la versione pulita ma il problema persiste.
Ho effettuato le seguenti operazioni:
Scaricato tutte le cartelle, scansionate con due antivirus eliminati due blackhole.
Ho sovrascritto tutti i file del core con una versione 2.5.14, riscansionato e trovato nessun virus.
Rimesso su tutto e siamo punto e a capo.

Ripeto il problema si presentava già su la versione 2.5.11.

Secondo voi ( lo so sto per dire una cazzata ) devo modificare permessi su delle cartelle per riuscire a tamponare?

p.s. ho anche appena fatto una verifica con sucuri e il sito risulta pulito.

[Peppe-73]

Prova a disattivare poco per volta quache modulo ed estensione ho plugin, al momento non mi viene in mente altro

[lucantropo]

Provato, non ti dico neanche il risultato.

Sto attendendo risposte dal mio host mi sa che altro non posso fare.

Oddio forse potrebbe esserci qualche stranezza sul database ma li meglio che non ci metta le mani,

[mau_develop]

non ho mai provato o indagato su quel problema ho solo letto un post su un sito che leggo e poi avevo risposto in qs sezione a qulcuno.

Sicuramente una differenza di comportamento la fa un'eventuale cookie o sessione autenticata che eventualmente ti porti dietro, prova a svuotare la cache del browser, i cookie etc prima di ogni prova

[lucantropo]

non ho mai provato o indagato su quel problema ho solo letto un post su un sito che leggo e poi avevo risposto in qs sezione a qulcuno.

Sicuramente una differenza di comportamento la fa un'eventuale cookie o sessione autenticata che eventualmente ti porti dietro, prova a svuotare la cache del browser, i cookie etc prima di ogni prova

Grazie per il tentativo, mi piacerebbe fosse così semplice la soluzione, purtroppo ho già provato sia da pc che da tablet con più browser e il risultato ê sempre lo stesso.


Ora appena mi è possibile volevo tentare ad installare una copia del sito su un altro server per vedere se non sia quello che ha problemi. Sto andando per tentativi capiamoci ma dall'host ci hanno messo poco a dirmi che ci fosse un tentato hackeraggio su jce ma da quando ho risposto che jce non è mai stato installato su quel server son spariti.


Mah!

[Peppe-73]

[size=78%] Sto andando per tentativi capiamoci ma dall'host ci hanno messo poco a dirmi che ci fosse un tentato hackeraggio su jce ma da quando ho risposto che jce non è mai stato installato su quel server son spariti.[/size]


Mah!

No voglio difenderli, ma quel Host come assistenza e presente, fatti vedere spesso via ticket anche telefonicamente, se non ti rispondono velocemente dopo la tua risposta magari stanno cercando la soluzione, domanda magari stupida ma sei su server Linux ovviamente !

[lucantropo]

Io sono abbastanza soddisfatto del loro operato, mi fa solo inc.... che raccontano spesso panzane, per esempio per la migrazione si sono inventati che c'era codice malevolo che non faceva migrare con jupgrade. In realtà da loro la migrazione standard è impossibile.
Poi me l'hanno fatta dicendo via jupgrade ma in realtà hanno fatto a mano.
Ora la questione jce.
Pensano sempre di avere a che fare con gente che non sa niente, spesso magari è così ma quando non lo è fanno brutte figure.
So che arriveremo ad una soluzione prima o poi ma ogni tanto me le fanno girare 


Si si server Linux, ormai windows non li prendo più neanche per siti statici.

[Peppe-73]

Ti può consolare che c'è di peggio molto peggio, con l'oro all'inizio qualche problema c'è stato, ho migrato un sito la prima volta e ci sono stati problemi di compatibilità per Joomla via Ticket ho fatto un po di casino aprendo pure un reclamo, cosa che non mi sarei mai aspettato mi arriva una telefonata dalla direzione per scusarsi, ma i problemi li anno risolti, già che ti abbiano chiamato e chiesto scusa e molto, ho avuto esperienze cosi negati su un Host precedente a confronto e oro questo dove sono ora, anche a livello di prestazioni dei server non ci sono paragoni da dove ero prima.

[lucantropo]

Aggiornamento della situazione:

Ho preso un back up e l'ho installato su un server completamente diverso. I back up era della versione 2.5.11, ho poi upgradato alla 2.5.14 e il problema si presenta lo stesso.

Per sicurezza ho fatto una scansione con sucuri e risultava tutto pulito.

allo stato attuale cambiare host non risolverebbe niente mi sa.

Sto controllando gli altri siti , sono tutti alla 2.5.11 o precedenti  e non presentano problemi addirittura neanche i due che mantengo con la 1.5.26

[Peppe-73]

Significa che ai il backup ho e danneggiato ho infettato, ho riesci a scovare il problema guardando file per file ho ti armi di pazienza e rifai quel sito, per gli utenti basta avvisarli con una email di massa ed invii a tutti

[lucantropo]

Mi sa che mi metterò a guardare i file, troppo complicato rifarlo tutto, son stato stupido ad eliminare la versione nella 1.5 quella funzionava perfettamente...

[Peppe-73]

Mi sa che mi metterò a guardare i file, troppo complicato rifarlo tutto, son stato stupido ad eliminare la versione nella 1.5 quella funzionava perfettamente...

La prossima volta sicuramente non rifarai lo stesso errore 

[lucantropo]

Provo a fare un altra domanda di quelle veramente furrrrrbe!


Ma se sul server dove ho messo la copia provassi a fare un'upgrade a joomla 3.x.x, ovviamente verificando prima che i componenti siano compatibili.


Potrebbe essere una soluzione? Lo chiedo perché non conosco le differenze del core tra le due versioni.

[Peppe-73]

Sono totalmente diversi, Joomla 3 a delle novità molto interessanti che la 2 non ha e stato molto migliorato, ma non penso che risolvi, perché se il DB e infetto infetterai pure la 3 facendo upgrade, se fosse stato un problema di DB danneggiato ho file mancanti allora si avresti risolto con upgrade

[lucantropo]

Me lo sentivo che non sarebbe servito  , devo dire che a livello di database sono una pippa, quindi non so come scoprire se infettato o no.


Cortesemente sapresti indicarmi dove reperire della documentazione in proposito?


Grazie in anticipo.

[Peppe-73]

Sul DB non posso aiutarti tanto non sono ferrato in materia, cerca con google, altrimenti attendi qualcuno che ti sappia dare una risposta, per il DB c'è la sezione apposita, magari apri un post più specifico in quella sezione altrimenti difficilmente con questo topic riceverai aiuto specifico.

[lucantropo]

L'host ha risolto, effettivamente il problema stava nel database ecco cosa mi hanno segnalato:


Nella tabella j25_assets per il record "root.1" (id 1) abbiamo provveduto a modificare l'impostazione della direttiva "core.edit.own" nel campo "rules" da

"core.edit.own":{"1":1,"6":1,"3":1}

a

"core.edit.own":{"6":1,"3":1}


Per me è arabo ma effettivamente ora tutto è tornato regolare!

[Peppe-73]

Che ti dicevo, passa del tempo ma risolvono, anche se non ti rispondevano subito stavano cercando la soluzione    metti [ RISOLTO ] nel titolo del tuo primo post

[mau_develop]

Per me è arabo
---------------------------
.... male! Non era compito loro far quel lavoro che riguarda i permessi di joomla, quelli che imposti da opzioni o sistema
Hanno semplicemente cambiato qualcosa nei permessi sull'editing di contenuti propri passando dalla stringa serializzata nel db piuttosto che dal normale pannello che hai in amministrazione.

[Peppe-73]

M_W_C anche se non era compito l'oro e pur sempre un cliente con una difficoltà, se si può risolvere non ha importanza di chi era il compito ho meno basta risolvere ed avere il cliente apposto.

[lucantropo]

Per me è arabo
---------------------------
.... male! Non era compito loro far quel lavoro che riguarda i permessi di joomla, quelli che imposti da opzioni o sistema
Hanno semplicemente cambiato qualcosa nei permessi sull'editing di contenuti propri passando dalla stringa serializzata nel db piuttosto che dal normale pannello che hai in amministrazione.

Scusa, ma io i permessi di editing in joomla non li ho mai cambiati dopo l'installazione, avessi saputo che si trattava di quello avrei fatto le opportune modifiche.
L'host stesso ha asserito di aver trovato codice malevolo in jce che ricordo di non avere mai installato.


Nel limite del possibile i casini me li risolvo da solo, infatti tutti gli altri siti joomla non presentano questo problema, questo sito in particolare è stato migrato dall'host perché già esistono difficoltà in un sito semplicel fare la migrazione da loro ma in questo in particolare con adsmanager non c'era verso di farlo ne con jupgrade pro ne con il componente j2xml. Credo che il casino lo abbiano fatto loro durante la migrazione e se così fosse è giusto che lo abbiano risolto loro.