Riparare Joomla 3, 2.5 , 1.5 dopo la Code Injection CVE-2015-8562

[rezor]

Ciao a tutti,

PRESTO correte ad aggiornare tutti i siti, anche quelli J1.5 e Joomla 2.5: per le versioni legacy, le hotfix sono scaricabili da  https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions

Dopo un paio di giorni febbrili, in cui tante webagency ci hanno fatto ripulire i siti, abbiamo iniziato a scrivere un documento di linee guida per riparare ai danni dagli attacchi che più o meno tutti abbiamo ricevuto e relativi alla vulnerabilità CVE-2015-8562.

Infatti, anche se avete già aggiornato il sito, gli attacchi sono partiti subito, noi li abbiamo registrati dal 14 dicembre, quindi può darsi siano stati già usati.

Potete trovare il documento qui https://www.fasterjoomla.com/it/info/tips/117-joomla-2-5-1-5-e-vulnerabilita-code-injection-cve-2015-8562 : è ancora in lavorazione, visto che via via che ci assoldano per sistemare siti lo perfezioniamo.

Per piacere, se avete infezioni diverse da quelle descritte, ce le mandate? Il documento sta diventando la traccia per inserire le funzionalità automaticamente in un programma, visto che con centinaia di siti non è che possiamo fare tutto tutto a mano!

Grazie

[rezor]

Ho rilasciato una prima versione che aiuta a cercare i danni inferti dagli attacchi. Se volete provarlo http://extensions.joomla.org/extensions/extension/administration/admin-performance/little-helper fatemi avere altri attacchi e vostre considerazioni che li includo

[MariaElenaBoschi]

patchano ma non capiscono una cippa ugualmente... dopo aver visto come usano l'user agent per una rfi io non starei tranquillo ad infilare negli oggetti una var non filtrata... e questo è lo stesso errore ed è nel pacchetto 6.
Non so dove poi vada a finire ma è indice di poca intelligenza.

/libraries/vendor/joomla/application/src/Web/WebClient.php

Codice: [Seleziona]

public function __construct($userAgent = null, $acceptEncoding = null, $acceptLanguage = null)
{
// If no explicit user agent string was given attempt to use the implicit one from server environment.
if (empty($userAgent) && isset($_SERVER['HTTP_USER_AGENT']))
{
$this->userAgent = $_SERVER['HTTP_USER_AGENT'];
}
else
{
$this->userAgent = $userAgent;
}


sysinfo.php

Codice: [Seleziona]

$this->info['useragent'] = isset($_SERVER['HTTP_USER_AGENT']) ? $_SERVER['HTTP_USER_AGENT'] : "";


[giamas]

Ho rilasciato una prima versione che aiuta a cercare i danni inferti dagli attacchi. Se volete provarlo http://extensions.joomla.org/extensions/extension/administration/admin-performance/little-helper fatemi avere altri attacchi e vostre considerazioni che li includo

occhio che AVAST mi dice che nel file c'è una PHP:BackDoor

[rezor]

Grazie!

In effetti, visto che la funzione cerca backdoor, ho incluso il codice che viene usato nelle backdoor: quindi è un falso positivo, se vuoi dare un'occhiata ai files incriminati troverai che il principale indiziato è jamss.php, che ho scritto un paio di anni fa per il componente jed_checker, e adesso ho riciclato in littlehleper con minime modifiche. Inoltre, il file trash_n_cache.php, che pulisce la cache, fa una chiamata di sistema (rm -rf) in una maniera molto compatibile (ovvero tentanto exec, passthrough, e system), una prassi che purtroppo è tipica anche di alcuni attacchi; però questa dovrebbe non esser più segnalata da avast e avg perché l'hanno messa in whitelist, spero sia ancora valida; per quanto riguarda jamss.php, devo aspettare di finire la versione attuale (un paio di settimane al minimo) prima di poterlo inviare per essere inserito in whitelist. Non mi va di seccarli con aggiornamenti frequenti, non vorrei che smettessero di accettare le mie richieste.

[robertobf360]

Ciao Rezor! sono stato vittima anche io trovando solo uno dei due file (libraries/simplepie/simplepie.lib.php). Stavo seguendo la tua guida e volevo aggiornare a 3.4.6 ma non ho accesso al backend di admin, hai riscontrato questa casistica?
Posso aggiornare sovrascrivendo i file usando il pacchetto "Joomla_3.4.x_to_3.4.8-Stable-Patch_Package" ?
Saluti
Rob

[rezor]

Ciao,

la versione corrente è la 3.4.8, vai su https://www.joomla.org/download.html poi bottone verde di destra "Upgrade packages" e ti scarichi "Update from Joomla! 2.5, 3.0, 3.1, 3.2 or 3.3", nel formato che preferisci; poi estrai il pacchetto sovrascrivendo i file attuali, quindi cancelli il contenuto della cartella /cache (ad eccezione del file index.html) e se hai fortuna dovrebbe andare; per aggiornare da alcune versioni più vecchie (diciamo fino alla 3.3) è necessario togliere anche qualche file, devi eseguire a riga di comando:

Codice: [Seleziona]

php ./cli/deletefiles.php
infine, fai login da administrator (se non funziona, pulisci i cookies o usa un altro browser), e vai su  estensioni / aggiorna / database / correggi.

[robertobf360]

ciao! ho provato a seguire  le tue indicazioni (su una replica esatta della mia macchina di produzione) ma continuo ad avere il messaggio di errore allegato quando punto su ipaddress/administrator
il codice che si vede prima del warning e del fatal error, ho scoperto essere il contenuto del file define.php

[robertobf360]

sorry...avevo usato Joomla_3.4.x_to_3.4.8-Stable-Patch_Package invece che Update from Joomla! 2.5, 3.0, 3.1, 3.2 or 3.3.
Fatto come consigliato da te sembra risolto (ambiente di test adesso proverò in produzione ma essendo speculari...)
grazie mille davvero!