Marco's SQL Injection - LFI Interceptor

[pespe]

Aiutooo !!!! Mi è appena arrivata questa mail dal plugin "Marco's SQL Injection - LFI Interceptor"

Codice: [Seleziona]

    ** Local File Inclusion [GET:controller] => ../../../../../../../../../../../../../../../proc/self/environ\0
** Local File Inclusion [REQUEST:controller] => ../../../../../../../../../../../../../../../proc/self/environ\0

**PAGE / SERVER INFO

*REMOTE_ADDR :89.200.170.145

*HTTP_USER_AGENT :libwww-perl/5.813

*REQUEST_METHOD :GET

*QUERY_STRING :
option=com_realtyna&controller=../../../../../../../../../../../../../../../proc/self/environ%00

** SUPERGLOBALS DUMP (sanitized)

*$_GET DUMP
 -[option] => com_realtyna
 -[controller] => proc/self/environ\0

*$_POST DUMP

*$_COOKIE DUMP

*$_REQUEST DUMP
 -[option] => com_realtyna
 -[controller] => proc/self/environ\0
Sapreste dirmi di cosa si tratta o se per caso è colpa di CK Forms 1.3.4.?
Il dominio in questione è www.graficare.it

Grazie

[mau_develop]

stacca tutto! elimina joomla! ....rompi il citofono e se ti chiedono qualcosa di che non sei stato tu!


... e che è successo?... hanno tentato una inj sul tuo sito e il plugin correttamente ti ha avvisato.

se joomla e i componenti sono aggiornati non hai nulla da temere.

M.

[pespe]

.... grazie per la risposta ....
L'unico è appunto CK Forms 1.3.4 .... ora però non resco più ad accedere al sito Joomla.it (solo a joomla.it)
perchè un messaggio mi avvisa di un "tentativo di attacco dal mio sistema"!!!!!
Sia da Pc che da Mac !!!!

P.s.
Stacco tutto !!!! ho una copia di una settimana fa, di più cosa posso fare.

Luca

[pespe]

Da quanto mi sembra di capire hanno cercato di sfuttare il componente Realtyna che io però non ho installato !!!! Giusto?

_____ Update _______
Poi continuo a non accedere al sito di Joomla.it da nessun Pc o Mac dell'ufficio e nemmeno se uso una connessione wireless di un ufficio vicino?

[mau_develop]

stacca il router e riattaccalo.... svuota la cache del browser e vedrai che rientri ... ti sta bloccando l'ip perchè hai probabilmente postato qualcosa di "indesiderato"

comunque non dovresti avere nessun problema, è un'attacco da dizionario sparato a caso..

M.

[pespe]

stacca il router e riattaccalo.... svuota la cache del browser e vedrai che rientri ... ti sta bloccando l'ip perchè hai probabilmente postato qualcosa di "indesiderato"

comunque non dovresti avere nessun problema, è un'attacco da dizionario sparato a caso..

M.

Grazie 1000 !!!

[mmleoni]

Aiutooo !!!! Mi è appena arrivata questa mail dal plugin "Marco's SQL Injection - LFI Interceptor"
... omissis ...
Sapreste dirmi di cosa si tratta o se per caso è colpa di CK Forms 1.3.4.?

=== risposta dell'autore 

come detto da maurizio si tratta di un attacco di tipo Local File Inclusion, volto cioè ad ottenere l'inclusione, all'interno del processo di esecuzione di php, di un file esistente sul server, ma estraneo all'applicazione php in uso. nello specifico si tenta di richiamare l'interprete dei comandi e di passare allo stesso un file php, contenuto nella request http, da eseguire da command line.  Scopo dell'operazione è, nella maggior parte dei casi, scrivere sul file system del sito un file (cavallo di troia) in grado di eseguire comandi arbitrari inviati da remoto.

questi attacchi sono automatizzati e si spara nel mucchio alla ricerca di un sito con una estensione vulnerabile.

lo user agent ci dice che l'attacco è compiuto con uno script:
*HTTP_USER_AGENT :libwww-perl/5.813

la query string ci indica il componente vulnerabile:
option=com_realtyna&controller=../../../../../../../../../../../../../../../proc/self/environ%00

se il server è configurato correttamente questo tipo di attacco non ha esito, indipendentemente dall'estensione.

in ckform 1.3.4 sono, comunque, stati corretti tutti problemi presenti nella 1.3.3, e, al momento, è da ritenesi una estensione sicura.

ciao,
marco

[marcothemix]

Anche io oggi ho ricevuto ben 3 email, il componente in questione è "com_joomlapicasa2"
e il corpo delle 3 mail è uguale, cambia solo il "*REMOTE_ADDR :"

Dunque dato che non ho il componente joomlapicasa2 non ho nulla da temere? L'attacco riguarda solo quel componente o indirettamente anche tutte le altre estenzioni?

Ad ogni modo i componenti sono tutti aggiornati devo solo dare una ocntrolalta ai plugin, anche quelli sono a rischio?

E' stato detto nel post precedente che sono importanti quindi anche configurazioni del server su cui è ospittao il sito, manderò una mail per esser sicuro che sia protetto da questi tipi di attacchi.

Grazie.

[mau_develop]

sono cose fatte a macchinetta... tools... non guardano cosa hai, lanciano la query, se ce l'hai esploita altrimenti gli da errore e passa avanti.

Se non hai quel componente non ci sono problemi...mail sono inutili e non andare in paranoia, sul mio sito ne ho almeno 50 al giorno di quelle ed altre "simpatie"

M.

[tomtomeight]

Ciao mau_develop
Forse dico una sciocchezza, ma cambiando il nome delle estensioni forse saremmo più sicuri?

[mau_develop]

beh.. in un certo senso si ma dovresti cambiare il nome del componente/modulo/plugin e anche di quelli del core joomla.
Ciò vuol dire mandare in completo casino tutte le regole dei nomi
Purtroppo non basta il friendly url ad evitare qs cosa

poi c'è da dire che non funzionerebbe l'automatismo ma guardando il sorgente c'è sempre qualcosa che richiama il componente/modulo/plugin ...a quel punto puoi addirittura determinare che è "casalingo" quindi magari con maggiori possibilità di esploit

Comunque tutti quegli automatismi pescano da db di vulnerabilità quindi non contengono mai 0dayma cose probabilmente già note e patchate... se hai il sito in ordine sono totalmente innocui ...anzi, ti fanno salire la top100

M.

[mmleoni]

non contengono mai 0day

questa non mi sento di sottoscriverla totalmente, chi è in cerca di zoombie per fare spamming è molto più avanti degli scriptkiddies, anche se questi sono il 99%.

@marcothemix
il numero di mail è direttamente proporzionale al page rank. prima di disattivare le mail di report, solo il primo giorno, ne ho ricevute poco meno di 500, solo per il mio sito...
per il resto vedi il mio post precedente e quanto detto da maurizio.

ciao,
marco

[mau_develop]

chi è in cerca di zoombie per fare spamming è molto più avanti degli scriptkiddies
----------------------------------------------------------------------------------------------------------------
Beh... è qs "il mercato". nessuno ti paga per lasciare la foto del pirata in homepage
a 10/20 dollaroni puoi "affittare" una botnet/darknet dotata di tutti gli script più nocivi del mondo, 10 minuti di setup e fai danni peggio che con un carro armato.... all'avanguardia: cina e russia
basta un sito bucabile e un server malconfigurato o non patchato che hai una lista infinita di mail a cui spammare andandotele a prendere direttamente dal server, quindi non è detto che sei tu la causa del tuo male, magari è il tuo "vicino di casa"

M.

[marcothemix]

Grazie a tutti per le utilissime info, e complimenti siete sempre rapidi e super competenti.
Ho un pagerank di solo 2, di notifiche per ora me ne sono arrivate solo 2 quindi le lascierò attive.
(scusate per la risposta in ritardo ma avevo dimenticato di attivare le notifiche per questo topic)

[megawatt]

A me è arrivata questa mail, potete aiutarmi a capaire ?

Codice: [Seleziona]

** Table name in url [GET:Itemid] => 1 and(select 1 from(select count(*),concat((select username from jos_users where usertype='super administrator' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
 ** Table name in url [REQUEST:Itemid] => 1 and(select 1 from(select count(*),concat((select username from jos_users where usertype='super administrator' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
 
 **PAGE / SERVER INFO
 
 
 *REMOTE_ADDR :
 188.143.232.176
 
 *HTTP_USER_AGENT :
 Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.18) Gecko/20110614 Firefox/3.6.18 GTB7.1
 
 *REQUEST_METHOD :
 GET
 
 *QUERY_STRING :
 option=com_user&view=reset&lang=en&Itemid=1%20and(select%201%20from(select%20count(*),concat((select%20username%20from%20jos_users%20where%20usertype=%27super%20administrator%27%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)
 
 *HTTP_REFERER :
 http://www.google.com/
 
 
 
 ** SUPERGLOBALS DUMP (sanitized)
 
 
 *$_GET DUMP
 -[option] => com_user
 -[view] => reset
 -[lang] => en
 -[Itemid] => 1 and(select 1 from(select count(*),concat((select username from -- users where usertype='super administrator' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
 
 
 *$_POST DUMP
 
 
 *$_COOKIE DUMP
 
 
 *$_REQUEST DUMP
 -[option] => com_user
 -[view] => reset
 -[lang] => en
 -[Itemid] => 1 and(select 1 from(select count(*),concat((select username from -- users where usertype='super administrator' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

[saliinvetta]

rimosso

[mau_develop]

...perchè hai postato quì?

[saliinvetta]

Chiedo scusa se ho sbagliato sezione.
Pensavo fosse una discussione innerente ai report di Marco's SQL Injection