Back to top

Autore Topic: vulnerabilità com_mailto?  (Letto 2033 volte)

Offline thewebsurfer

  • Abituale
  • ****
  • Post: 904
    • Mostra profilo
vulnerabilità com_mailto?
« il: 06 Ago 2015, 14:37:53 »
salve, un sito che curo stamane è stato bloccato dall'hosting per spam.
Mentre facevo un backup in locale avira ha rilevato uno script malevolo components\com_mailto\views\mailto\ajax.php

Cercando in giro vedo che ci sono diversi post che lamentano vulnerabilità del componente..

Offline steganoga

  • Abituale
  • ****
  • Post: 1313
    • Mostra profilo
Re:vulnerabilità com_mailto?
« Risposta #1 il: 06 Ago 2015, 15:18:58 »
Cercando in giro vedo che ci sono diversi post che lamentano vulnerabilità del componente..

dove sono questi post?

avira ha rilevato uno script malevolo components\com_mailto\views\mailto\ajax.php

dov'è questo file in un pacchetto joomla 3.x ?
« Ultima modifica: 06 Ago 2015, 15:25:48 da steganoga »
...sono dove non ti aspetti di trovarmi, mi alimento della tua supponenza e disseto la mia curiosità nel silenzio.
Non sono un nemico, considerami un ospite.

Offline thewebsurfer

  • Abituale
  • ****
  • Post: 904
    • Mostra profilo

Offline steganoga

  • Abituale
  • ****
  • Post: 1313
    • Mostra profilo
Re:vulnerabilità com_mailto?
« Risposta #3 il: 06 Ago 2015, 19:25:31 »
ora prenditi la briga di rivisitare quei link e guardare la data e per ognuna guarda che versione joomla c'era... la 3.4.1 non credo e tu questa dovresti avere

quel file ajax.php è uno script malevolo, ho trovato anche joomlasite/plugins/editors/none/lib.php
------------------------------------------------
quindi ti hanno caricato dei files malevoli per fare spam e altro ma non capisco cosa centra com_mailto. Qualcosa è vulnerabile controlla di avere tutto aggiornato o di non portarti dietro problemi dai vari aggiornamenti
« Ultima modifica: 06 Ago 2015, 19:31:13 da steganoga »
...sono dove non ti aspetti di trovarmi, mi alimento della tua supponenza e disseto la mia curiosità nel silenzio.
Non sono un nemico, considerami un ospite.

Offline thewebsurfer

  • Abituale
  • ****
  • Post: 904
    • Mostra profilo
Re:vulnerabilità com_mailto?
« Risposta #4 il: 06 Ago 2015, 20:01:26 »
avevo già notato le date.
se lo script è in quel path permettimi di sospettare che la vulnerabilità è in quel componente  :)
comunque ho eliminato i due script (che probabilmente erano i colpevoli) e ho dato mandato di cambiare tutte le password.

Offline giggioman00

  • Appassionato
  • ***
  • Post: 293
    • Mostra profilo
Re:vulnerabilità com_mailto?
« Risposta #5 il: 07 Ago 2015, 00:57:00 »
Anni fa a me era capitata una cosa simile... Avevo installato un componente vulnerabile e gli hacker mi avevano caricato un sacco di cose sul mio hosting... Tra cui, ovviamente, anche quegli script per inviare email di spam e anche un sito farlocco di paypal, che probabilmente volevano usare per rubare i dati a qualcuno o roba così. Fortuna che me ne sono accorto in tempo e non ha potuto fare il cazzo che gli pareva.
Io ti consiglierei di procedere così:

Prova ad aprire sul browser quel file ajax (il top sarebbe farlo da un sistema operativo su virtual box, per evitare sorprese) e vedere cosa c'è, se c'è uno script per inviare mail di spam oppure una shell. Se c'è una shell, potrebbe essere quello il componente incriminato. Se non c'è una shell ma solo uno script per le email, è molto probabile che in giro per il tuo sito ci sia una shell. Trova la shell (attento, potrebbero anche essercene più di una) e controlla i componenti in cui risiedono quelle shell per verificare delle possibili vulnerabilità. Poi ricarica una copia backup di joomla non infettata (in pratica, una copia del sito che avevi fatto quando ancora non ti avevano infettato il sito.) Poi aggiornala all'ultima versione e risolvi la vulnerabilità che hai trovato. Io ai miei tempi avevo risolto così, ci ho messo una quindicina di giorni di smattamento per risolvere...
« Ultima modifica: 07 Ago 2015, 11:26:45 da ramses_2th »

Offline thewebsurfer

  • Abituale
  • ****
  • Post: 904
    • Mostra profilo
Re:vulnerabilità com_mailto?
« Risposta #6 il: 07 Ago 2015, 01:21:14 »
esattamente come ha detto giggioman00,


components\com_mailto\views\mailto\ajax.php credo sia il file che faceva spam (individuato da avira PHP/Agent.510.2)
plugins\editors\none\lib.php invece è stato individuato come PHP/simpleshell.ddd
« Ultima modifica: 07 Ago 2015, 01:22:56 da thewebsurfer »

Offline steganoga

  • Abituale
  • ****
  • Post: 1313
    • Mostra profilo
Re:vulnerabilità com_mailto?
« Risposta #7 il: 07 Ago 2015, 11:30:06 »
....non capisco cosa centra com_mailto. Qualcosa è vulnerabile controlla di avere tutto aggiornato o di non portarti dietro problemi dai vari aggiornamenti

... Avevo installato un componente vulnerabile

... e tu che componente vulnerabile hai?
...sono dove non ti aspetti di trovarmi, mi alimento della tua supponenza e disseto la mia curiosità nel silenzio.
Non sono un nemico, considerami un ospite.

Offline thewebsurfer

  • Abituale
  • ****
  • Post: 904
    • Mostra profilo
Re:vulnerabilità com_mailto?
« Risposta #8 il: 07 Ago 2015, 14:01:53 »
di componenti particolari ho form2content e fabrik..

 



Web Design Bolzano Kreatif