JAMSS - Joomla! Anti-Malware Scan Script - Report

[azocomposto]

Ciao,
ho aggiornato joomla alla versione 2.5.16 e ho utilizzato il tool JAMSS (https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script). Il report prodotto restituisce diversi alert e tra i quali riporta il seguente avviso:

***********
In file ./components/com_weblinks/models/form.php-> we found 1 occurence(s) of Pattern #17 - PHP: double GZINFLATE||GZUNCOMPRESS||B64||ROT13
---> Details: "This pattern could be used in highly encoded, malicious code hidden under a loop of gzinflate/gzuncompress/base64_decode calls. In these cases the decoded hacker code goes through an eval call to execute it. This pattern is also often used for legitimate purposes, e.g. storing configuration information or serialised object data. Please inspect the file manually and compare it with the one in the original extension or Joomla package to verify that this is not a false positive."
***********


E' un problema reale di cui preoccuparsi e cercare una soluzione?


Grazie

[mmleoni]

può sicuramente esserlo.

quella sequenza di funzioni è anche usata per nascondere codice di link/js, quindi suggerirei di vedere che c'è nel file e di confrontare lo stesso con il file originario della distribuzione di joomla.

l'uso di tali funzioni è anche legittimo, nel caso del componente specifico viene usato per codificare gli indirizzi cui saltare in modo che non diano noia nei link interni.

ciao,
marco

[azocomposto]

quella sequenza di funzioni è anche usata per nascondere codice di link/js, quindi suggerirei di vedere che c'è nel file e di confrontare lo stesso con il file originario della distribuzione di joomla.

ho confrontato i due file tramite un programmino che si chiama WinMerge e risultano identici.

grazie
ciao

[mmleoni]

un [risolto] nel titolo del post di apertura aiuta anche gli altri 

[azocomposto]

In realtà non è risolto.

Conosco la notiquette del forum e come ci si comporta. Tra l'altro, in altri miei post inserisco sempre il risolto perchè è d'aiuto per gli altri utenti che come me cercano risposte.

ciao

[mmleoni]

perché dici che non è risolto?
 

[azocomposto]

Secondo me nn è risolto perché il tool di controllo segnala questo potenziale problema e non capisco come mai venga segnalato non ostante il file sia nativo e pulito.

Sbaglio l'interpretazione della risposta?

[mmleoni]

This pattern could be used in highly encoded, malicious code hidden under a loop of gzinflate/gzuncompress/base64_decode calls.

il tool non segnala un potenziale problema, ma un codice che potenzialmente potrebbe essere usato per scopi non voluti, e questo non è un sofisma ma è il punto chiave per capire tools come questo e/o antivirus.

in questo caso il tool non segnala un problema noto, ma solo un pattern che in alcuni casi è usato dagli hackers: la segnalazione serve solo a richiamare la l'attenzione dell'IT che, basandosi sulle sue capacità tecniche, valuta se il codice in questione è o meno pericoloso.

Questo è il motivo per cui ti ho consigliato di confrontare il codice, del resto, se tu fossi stato un programmatore esperto, avresti valutato da te il codice senza aprire il topic.
Se il file è stato scritto così dal team di joomla è quasi certo che così debba essere, se ti resta qualche dubbio puoi sempre postare la sequenza incriminata (e solo quella) indicando file e versione di joomla.

ciao,
marco

[azocomposto]

Grazie Marco, non sarà necessario postare altrove perché sei stato molto chiaro.

Però i miei dubbi rimangono, ovvero: could be used ...potrebbe essere usato, pertanto questo potrebbe essere un punto di attacco.

Grazie

[mmleoni]

no, non hai proprio capito né il messaggio del tool, né la mia risposta! 

Non può essere un punto d'attacco: è un pattern, ovvero una tipologia di scrittura del codice, che possono usare gli hacker per nascondere il loro codice, ma che di per sé è perfettamente lecito.

il tool dice solo di verificare che il codice sia lecito, dato che lui da solo non può capirlo.
nessun tool può sostituire anni di studio e di esperienza, e chi lo ha scritto lo sa bene:

This script still doesn't do any cleanup on its own, it's only informative about some suspicious code in your Joomla! installation.

This script is far from being 100% accurate. It has just a few patterns at this moment, and the false-positives are very well to be expected. So you may only use it wisely and with caution.

liberamente tradotto: devi essere un programmatore esperto per capire le segnalazioni.

ciao

[azocomposto]

Ora è chiaro!

ciao