Vulnerabilità JCE, ma JCE non c'è più

[Zagorix]

Ciao a tutti,
a pochi giorni dal previsto passaggio alla versione 2.5 mi ritrovo il sito hackerato.

Nella cartella /tmp/ (non quella standard di Joomla!, quella allo stesso livello di /public_html/) vengono periodicamente generati dei malware dal nome php***** (al posto degli asterischi caratteri random).


Dai log del firewall di Admin Tools troviamo delle eccezioni nella sicurezza del tipo DFIShield generate da:
index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cidV .


Quindi probabilmente stanno sfruttando una nota vulnerabilità di JCE, a questo punto l'ho disinstallato, ma il problema non si è risolto.


JCE e i suoi plugin non ci sono più, ma mi ritrovo comunque i file malevoli.


Grazie in anticipo per darmi qualche suggerimento.

[mmleoni]

ciao, come è stato detto mille volte non basta rimuovere la falla una volta che gli hacker sono entrati.


leggi i vari post...


ciao,
marco

[Zagorix]

Ciao,
grazie per la risposta, mi sapresti indicare un post adatto? Ne ho letti molti senza risolvere.
Prima di scrivere, oltre ad aver disinstallato JCE, ho fatto le seguenti operazioni:


- backup di sito e db (giornalmente)
- rimozione malware on line tramite sucuri.net
- scansione, pulizia e ripubblicazione del codice scaricato dai backup in locale
- cambiate tutte le password (ftp, amministratori, email)
- reimpostati permessi di file e cartelle, tutti i file sensibili (configuration.php, .htaccess, etc.)impostati con permessi 444, cartelle con 755 e file vari 644
- analizzato database (senza risultati)
- cercate ed analizzate manualmente nel codice del sito stringhe "particolari" come:


'base64_decode';
'edoced_46esab'; // base64_decode reversed
'preg_replace';
'HTTP_REFERER'; // checks for referrer based conditions


- riscritto file .htaccess
- aggiunto nella cartelle di sistema un .htaccess con:


<Files *.php> Deny from all </Files>
Questo non è stato possibile nella cartella components, và in conflitto con Virtuemart che mi serve.


Probabilmente dimentico qualcosa, secondo voi?


Buona serata,
Alessandro.

[giusebos]

salva il db, pialla tutto e ricostruisci.....

[mmleoni]

- reimpostati permessi di file e cartelle, tutti i file sensibili (configuration.php, .htaccess, etc.)impostati con permessi 444, cartelle con 755 e file vari 644

e a che dovrebbe servire? non rispondere: è una domanda retorica fatta da un sistemista che resta sempre perplesso di fronte a certe asserzioni...

- cercate ed analizzate manualmente nel codice del sito stringhe "particolari" come:

dimentichi la più pericolosa di tutte: move_uploaded_file!
che si può scrivere in un migliaio di modi. perché, come hacker, dovrei scrivere qualcosa che attiri l'attenzione quando posso scrivere qualcosa di assolutamente normale che mi permette di accedere al sito quando voglio? non troverai mai ciò che un hacker appena decente ti ha inserito...

Probabilmente dimentico qualcosa, secondo voi?

lascia stare, no way!
come detto in numerosi altri post, una volta che un hacker, che non sia uno script kid, è entrato, il codice non lo pulisci più. vedi gli altri post per le operazioni da compiere.

ciao,
marco

[Zagorix]

Ciao,
grazie a tutti per le preziose risposte e consigli.

lascia stare, no way!
come detto in numerosi altri post, una volta che un hacker, che non sia uno script kid, è entrato, il codice non lo pulisci più. vedi gli altri post per le operazioni da compiere.

Prima di dedicarmi a un weekend da incubo durante il quale proverò a cancellare e reinstallare tutto, penso di provare scrivendo qualche regola sul file .htaccess in modo da bloccare l'user agent BOT JCE.

Vorrei riuscire a resistere fino al completamento imminente della versione 2.5.

Saluti,
Alessandro.

[mmleoni]

penso di provare scrivendo qualche regola sul file .htaccess in modo da bloccare l'user agent BOT JCE.

e anche questo a che dovrebbe servire?
e, soprattutto, che c'entra lo user agent?

[Zagorix]

Ogni volta che viene inserito un file malevolo nella cartella /tmp/ il firewall di Admin Tools riporta nei log:


-------------------------------------------------------------------------------
Blocking reason: dfishield
-------------------------------------------------------------------------------
Date/time : 2014-04-03 07:11:34 GMT
URL       : http://www.grosfer.it/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=cf6dd3cf1923c950586d0dd595c8e20b
User      : Guest
IP        : 54.236.73.101
Country   : (unknown country)
Continent : (unknown continent)
UA        : BOT/0.1 (BOT for JCE)
Hash      : post
Variables :
Array
(
    [upload-dir] => /
    [upload-overwrite] => 0
    [upload-name] => food
    [action] => upload
)


Per questo ho pensato che bloccando il BOT/0.1 (BOT for JCE) potrei tamponare il problema.


Ciao e grazie ancora per l'aiuto,
Alessandro.

[mmleoni]

anche in questo caso la domanda era retorica...


"buongiorno signora, sono il ladro... che fa, mi apre???"


quello è lo ua dello scritp di spiegazione dello exploit che qualche dozzina di script kiddies stanno facendo girare. uno che un minimo sa che sta facendo usa l'idendificazione di FF o di google bot.


sono richieste che sono indirizzate ad un componente che hai rimosso (verifica che non ci siano i files), ergo il massimo che ottengono è un 404.


quello che non puoi bloccare è l'accesso ai cavalli di trioa, dato che non sai quali sono.
se non hai componenti particolari, ha più senso bloccare l'accesso a qualsiasi file php che non sia index.php


ciao,
marco

[Zagorix]

Grazie Marco,

sono richieste che sono indirizzate ad un componente che hai rimosso (verifica che non ci siano i files), ergo il massimo che ottengono è un 404.

quello che inizialmente mi sembrava strano è il fatto che avevo rimosso il componente e controllato la rimozione di tutti i file, ugualmente mi ritrovavo file probabilmente inviati grazie alla falla di JCE.

Questa mattina ho reistallato JCE sperando che un aggiornamento del componente avrebbe risolto, niente da fare.
L'ho quindi disinstallato e da allora non noto più file strani in giro, non so come, ma forse qualcosa ho risolto.

se non hai componenti particolari, ha più senso bloccare l'accesso a qualsiasi file php che non sia index.php

[/size]
Questo lo applico subito.

Ciao,
Alessandro.

[mmleoni]

ho scritto index.php ma doveva essere /index.php, ovvero solo lo index.php che si trova nella root del sito.


ps. ricordati di non bloccare l'amministrazione.


ciao,
marco
 

[Zagorix]

Ciao Marco,
grazie per la precisazione, purtroppo questo pomeriggi i file si sono ripresentati  .
Non mi resta che seguire il consiglio di Giusebos:
salva il db, pialla tutto e ricostruisci.....[/size]

[size=78%].[/size]
Noto tra l'altro un'anomalia anche sul file .htaccess, se lo modifico anche aggiungendo un solo commento ## e lo ripubblico, il server restituisce un errore 500, lo rimpiazzo con il file originale e tutto torna a posto ... ma forse questo è un'altro argomento. Proverò a chiedere aiuto all'amministratore di sistema.

Saluti e grazie ancora,
Alessandro.

[mmleoni]

Scusa alessandro , ma quale parte di 'no way' non era chiara?
Se ti fossi letto gli altri topics, come suggerito, avresti visto  che sono anni che ripeto e spiego le stesse cose.
Ps: mi occupo di sicurezza informatica da circa 15 anni...

Ciao,
Marco

[Zagorix]

No, forse mi son spiegato male, tutto chiaro ...
con un po' di pazienza riparto da qui http://forum.joomla.it/index.php/topic,117151.0.html .
Grazie e ciao,
Alessandro.