Problemi riccorenti con WebShell

[claudio65]

 buongiorno a tutti,
ultimamente ho problemi ricorrenti con iniezioni di codici malware , espongo il più chiaramente possibile la situazione.
I siti interessati da tale problematica  attualmente sono 2, il primo non fa più di tanto testo in quanto in Joomla 1.5.26, quindi più vulnerabile ed ho comunque risolto spianando non solo il sito ma tutto il dominio e ricaricando un backup pulito. Comunque mi sono accorto del problema in quanto dopo svariati Warning del server in cui mi veniva segnalato l'uso intensivo della CPU, mi sono accorto tramite WHM panel che quel domino era la causa dell'affaticamento della CPU, quindi ho scansionato il backup del sito e ho trovato un brutto file pst.php nella cartella componet.
Il secondo, di cui fortunatamente possiedo backup pulito, è realizzato in Joomla 2.5.9 , quindi nuovo, novo, aggiornato anche nei componenti e con il form dell'amministrazione protetta dallo script PHP riportato in questo meraviglioso Joomla.it  che varia il percorso classico nomedominio/administrator.
Entrambe risiedono su di una VM Apache con versione PHP 5.3.16  e le connessioni FTP con Filezilla sono FTP esplicito su TLS.
Nel secondo caso ho individuato il codice in quanto ho notato che il sito pur non essendo modificato in alcun modo, ha incominciato a lievitare e in pochi giorni è cresciuto di circa 200 Mb sino ad inviarmi warning  per disckspace.
Quindi ho effettuato il backup e l'ho scansionato con Avira e ooopss  risulta infetto da ben due file, rispettivamente public_html/component/.zanzts.php   e public_html/includes/geopic.php
Su questo dominio ho anche notato delle stranezze nella casella mail, da cPanel  la casella mail risulti vuota, visitandola via web con Horde e Squrremail e Roundcube risultano presenti nella posta in arrivo ben 151303 mail ma non si riescono a visionarle in quanto la Inbox  mi restituisce un messaggio di errore server.
La casella in questione non riceve molte mail e configurata su client non scarica nulla, sul dominio è attivo SpamAssasin.
Ora mi direte, ok se hai un backup pulito cosa aspetti a ricaricare il sito?
Certo la soluzione più ortodossa è quella, ma il ripetersi  con sempre maggiore frequenza di questi fatti non solo su domini con Joomla 1.5.25 - 26 ma anche su Joomla 2.5.9 incomincia ad inquietami e non poco
Sicuramente fra voi , che leggete, vi saranno molti con maggiore esperienza e conoscenze in merito, rispetto alle mie, niente di più facile, sono un vecchio neofita , quindi vi chiedo opinioni e/o suggerimenti in merito.
Ringrazio fin d'ora per il prezioso contributo.
 

[mau_develop]

non è possibile dare valutazioni su un problema così complesso.
Viene coinvolto l'hosting, i suoi servizi, la conf del server, la possibilità di usare o evadere alcune direttive, vengono coinvolte tutte le macchine che accedono con privilegi sia come admin che in ftp.
Non ci sono sicurezze sull'eventuale backup comprendente una shell non vista.... e tutto questo prima di joomla.

Poi c'è joomla... 1.5.26 ... se hai letto l'articolo di alex non dice che è meno sicura ..se... ovvio non è mantenuta devi essere sveglio a patchare tu.

Non è tanto normale trovare una shell php uppata e non è una vulnerabilità banale... tutti gli attacchi con malware js non sono la stessa cosa

[claudio65]

 Ciao MWC,
ti ringrazio per la replica e per quel  tuo magnifico post sulla sicurezza che Alex ha messo in evidenza . Qualcuno come al solito ha subito voluto dire la sua, ma si sa, viviamo nel paese dove tutti sono allenatori, presidenti del consiglio, e sanno solo dire cosa bisognerebbe fare non come farlo o meglio ancora farlo e basta.
Tornando al discorso, in merito a 1.5.26 sono conscio dell'importanza delle patch, poi però gestendo una cinquantina di domini inevitabilmente sfugge sempre qualche cosa.
Mi rendo conto che le variabili da me esposte sono molte e quindi difficilmente inquadrabili sotto un unica valutazione, come risaputo e anche esposto da te nel post sopracitato, non esiste il farmaco miracoloso che cura tutto.
La macchina che accede al server come admin e ftp è una sola e a quanto dice Avira "pulita", ma tu stesso hai già detto che è consigliabile usare almeno due antivirus per aver attendibilità, quindi provvederò.
Non capisco cosa tu intenda quando dici "Non è tanto normale trovare una shell php uppata e non è una vulnerabilità banale... tutti gli attacchi con malware js non sono la stessa cosa"  Intendi che tale vulnerabilità appare più come una vulnerabilità lato server piuttosto che dei siti?
Personalmente in questo periodo ho avuto svariati problemi (ho migrato da 5 - 6 mesi tutti i domini da server condivisi su di una VM) come già esposto, in tutta sincerità partendo dal famoso principio "a pensar male spesso si ci azzecca " il primo problema avuto con la conseguenza di un impegno CPU intensivo mi puzza di mossa commerciale scorretta, in quanto segnalando il problema ai sistemisti del' host  in prima battuta mi hanno prontamente consigliato di fare un upgrade della CPU e/o RAM in quanto a loro dire la quantità di domini presenti sulla VM potevano giustificare un affaticamento della CPU, ma essendo io un testone ho continuato  a controbattere che non mi pareva logico, oltre che per fattori tecnici di cui io non sono certo all'altezza di valutare,  anche per accordi commerciali pregressi.  Solo dopo una lunga corrispondenza mi hanno segnalato ciò che io avevo visto poco prima da WHM e cioè che era un dominio in particolare che provocava questo sovraccarico,  infatti sistemato quello tutto è tornato regolare.
Poi  ho avuto problemi di spam  e in questo caso la mia imperizia forse è stata fattore determinante in quanto fra le mille cose nella migrazione ho scordato di attivare nell'immediato SpamAssasin, comunque rimane il fatto che non riesco a trovare nei vari domini le cartelle contenenti lo spam  (ad-hoc, spam)  e i sistemisti non mi hanno ancora dato indicazioni precise in merito.
La ciliegina poi è stato questo dominio sviluppato in Joomla 2.5.9 che lievita e contiene gli script php citati.
Concludendo quello che vorrei capire con ragionevole certezza   è se lato server necessiti una politica di sicurezza più accurata. In passato su di un condiviso Texano ( che non apparteneva allattuale società del VM) si era verificata un injection su tutti i file index dei domini, ma dopo un mio ripristino di tutti i file coinvolti  e alcune azioni di security dei sistemisti tutto si era normalizzato in modo durevole.
Buona Pasquetta
 

[mau_develop]

è un po' complicato spiegare.

Comunque l'unico modo di trovare una shell è fare la differenza tra le directory, ti devi ricostruire un joomla sano con installate estensioni sane e fare le differenze per trovare i files in più... poi devi vedere cosa sono.

Le shell per il 90% dei casi vengono uppate sfruttando o domini sullo stesso server vulnerabili o upload di immagini non propriamente filtrato

[claudio65]

 Ok se intendo, debbo fare una comparazione tra una installazione sana  caricandovi tutte le estensioni presenti in quel dominio e quella sospetta di contenere codice malevolo, magari con qualche software tipo WinMarge o altri in base all'S.O. utilizzato.
Grazie
 

[mau_develop]

potresti anche fare un'altro tentativo, ..intanto vedi cose nuove:
http://www.html.it/articoli/individuare-web-shell-nocive-con-php-shell-detector-2/

[claudio65]

Grazie per l'indicazione, lo sto provando, giustamente mal che vada provo cose nuove.
Al momento dopo una prima parziale scansione il risultato è: Status: 2102 suspicious files found and 0 shells found ma tutti i file sospetti sono files di componenti ecc. e mi sembrano regolari.

Comunque al momento ho solo un dominio, quello appunto scansionato, che fa le bizze, probabilmente non dipende dal sito, in quanto dopo aver terminato il dominio l'ho creato nuovamente e ancor prima che iniziassi il trasferimento FTP del sito la casella Default Email Account ha iniziato a ricevere mail a raffica  (una ogni qualche secondo) tutte con Mail delivery  System come oggetto con rapporti di mancata consegna ad indirizzi ovviamente a cui non ho mai scritto. Nonostante abbia:
inserito nella black list di spamAssasin, nella  BoxTrapper, nella blacklist di Horde, l'indirizzo mittente
abilitato SPF  su Cpanel del dominio
abilitato SMTP rescrictions su WHM panel

Niente le mail continuano ad arrivare 

[mau_develop]

..oltre un certo punto purtroppo non si può andare, bisogna essere lì e vedere.

[claudio65]

 Si certo, tali problemi li ribalto ai sistemisti del VM che per contratto debbono gestire il server, anche se tendenzialmente provano a rimbalzare le cose 
Mi piacciono e condivido le tue firme, quindi aggiungo : anche il peggiore degli uomini della storia qualche volta ha detto cose sagge infatti un brutto personaggio della storia italiana disse più o meno questo "non è difficile governare gli Italiani, è del tutto inutile" 
 

[mau_develop]

inutile... non so, più che altro credo sia indispensabile quindi in un modo o nell'altro andrà fatto, spero in quello migliore.
Ma come per tutte le cose che non vogliono cambiare alla fine cambi tu, il mondo è grande!

[claudio65]

 Purtroppo non abbiamo memoria storica e come disse il  Manzoni un popolo senza memoria storica non è un popolo. In più ci affidiamo sempre a chi le spara grosse nell'ingenua illusione che le cose possano essere risolte semplicemente  non accorgendoci che il mondo e i suoi equilibri socio politici sono radicalmente cambiati e che chi non coglie i cambiamenti è destinato all'estinzione.
 

[irina.ruslan]

vorrei accodarmi a questo post antico, ma che fa al caso mio...


esiste un tool che mi scansiona tutti i files del sito scaricati in locale alla ricerca di web shell o altro malware? dalle mie ricerche non trovo nulla che possa usare sotto windows.


grazie
irina

[claudio65]

Ciao Irina,
in qualche caso scaricando in locale e scansionando con Avira Free ho individuato files infetti, ma non è certo una soluzione risolutiva. Potrei sbagliarmi ma la cosa migliore è cercare manualmente, anche se non è certo un divertimento e non sempre porta ad una soluzione.

[irina.ruslan]

ti ringrazio Claudio,


ho trovato questi siti
http://www.shelldetector.com/
http://www.binarytides.com/web-shells-tutorial/
oppure il solito
https://www.virustotal.com/
[size=78%]che mi scansionano i files UNO PER UNO ed è una vera agonia farlo uno per uno, per quello che pensavo a qualcosa di locale, o a un sito tipo virustotal che mi scansioni i files zippati.[/size]
il primo mi ha trovato quasi tutti i files delle shell, il secon do un po' di meno, anche  virus total ha fatto il suo dovere al 90% con files zippati che il limite è di solo 128 mb, per questo cercavo qualcosa di locale, senza limiti di dimensioni...