Autore Topic: Segnalazione Hacking in the wild diffondete e segnalate (Letto 37224 volte)

danielecr · « **Risposta #20 il:** 21 Apr 2017, 16:15:52 »

Io penso che parta da un malware sul pc che ruba i dati di accesso all'ftp; in un forum di un altro cms si fa riferimento a identificazione di un ip anomalo nel file di log ftp, ma nulla in riferimento a stringhe più elaborate nei log di apache.

tonicopi · « **Risposta #21 il:** 21 Apr 2017, 16:19:12 »

Aggiornamento:
Nel frattempo che si chiacchierava in entrambi i siti sono di nuovo stati modifcati / aggiunti i due files.
Ripuliti e cambiata per entrambi la password ftp con una molto più strong.

alexred · « **Risposta #22 il:** 21 Apr 2017, 17:16:32 »

prova a non salvare nel client FTP questi nuovi dati di accesso.
Magari usa l'accesso veloce copiando incollando ogni volta i dati di accesso.

tonicopi · « **Risposta #23 il:** 21 Apr 2017, 17:41:17 »

Citazione da: alexred - 21 Apr 2017, 17:16:32

prova a non salvare nel client FTP questi nuovi dati di accesso.
Magari usa l'accesso veloce copiando incollando ogni volta i dati di accesso.

Ok sarà la prossima prova perchè li avevo già salvati in filezilla.
Per il momento non sono stati modificati-aggiunti ancora.

Ahmed Salvini · « **Risposta #24 il:** 21 Apr 2017, 17:53:17 »

Guarda via ftp dei files che abbiano una data di modifica strana o uguale a quella dei files malevoli che hai trovato, secondo me hai uno script offuscato che ricrea i files.

Massimiliano Citterio · « **Risposta #25 il:** 21 Apr 2017, 22:58:32 »

Dubito che si tratti di uno sniffing dei dai di accesso ftp, sulle installazioni infettate, mai utilizzato l'accesso ftp, sempre il filemanager del provider in https. Il Pc è una Debian 8, il tablet un samsung note. Ma sicuramente l'accesso è avvenuto via ftp.
Attenzione joomla salva i dati ftp nel file configuration.php, ma andrebbero usati solo come alternativa nel caso gli aggiornamenti non si installassero.

Se in qualche maniera la piattaforma ha una vulnerabilità che permette di far leggere il contenuto del configuration.php allora potrebbe ottenere i dati di accesso ftp.

Io ho rimosso i dati e disattivato l'uso dell'ftp per gli aggornamenti, funziona tutto bene lo stesso. Ho anche impostato delle ACL sull Ftp perchè sia accessibile solo dai miei indirizzi ip statici. Per chi ha l'ip dinamico è un problema.

Ho usato per la prima volta l'ftp proprio per scaricare il sito e trovare le differenze, è cosi che ho trovato i file.

Stasera preparo uno scriptino php da aggiungere agli index.php per creare un log di accesso , uno per il frontend e uno per il backend.

Dobbiamo capire se c'è una vulnerabità nel core.

Abbiamo capito Chi e perchè
Abbiamo scoperto Cosa.
Adesso dobbiamo capire Come.

alexred · « **Risposta #26 il:** 21 Apr 2017, 23:04:39 »

versione di PHP ?
Spero almeno una 5.6.25 o superiore,
o una 7.0.18.

Le vulnerabilità sono presenti anche nelle versioni obsolete dei servizi in uso sul server, PHP, mysql, apache ecc...

Massimiliano Citterio · « **Risposta #27 il:** 21 Apr 2017, 23:19:20 »

ora ho la 5.6 su entrambi. prima erano su ******.

Scusate ma ****** da la 5.6 solo con il pacchetto plus. altrimenti mette una 5.4 . è patchata ma è sempre una 5.4. Se qualcuno di ****** mi legge , vi prego date la 5.6 a tutti. E l' https anche.

Massimiliano Citterio · « **Risposta #28 il:** 21 Apr 2017, 23:20:41 »

perfetto vedo che i provider non si possono nominare. Meglio così

tonicopi · « **Risposta #29 il:** 21 Apr 2017, 23:31:53 »

Infatti da me ci sta php 5.4.45

e niente https...

Cmq da quando ho cambiato la pasword ftp oggi pomeriggio i file non sono più cambiati.

Massimiliano Citterio · « **Risposta #30 il:** 22 Apr 2017, 00:15:05 »

il ciclo di crawnling del robot di questo malware è una volta a settimana.

quindi se oggi si era reinstallato devi aspettare fino a venerdì prossimo.

tonicopi · « **Risposta #31 il:** 23 Apr 2017, 15:14:28 »

Citazione da: Massimiliano Citterio - 22 Apr 2017, 00:15:05

il ciclo di crawnling del robot di questo malware è una volta a settimana.

quindi se oggi si era reinstallato devi aspettare fino a venerdì prossimo.

No da me nei due siti sono ricomparsi ieri 22 aprile in uno alle ore 17,05 e nell'altro alle ore 17,14, stesso provider. Vediamo adesso quando tornano...

tonicopi · « **Risposta #32 il:** 23 Apr 2017, 23:12:54 »

Stessa cosa oggi 23 alle ore 18 in entrambi i siti.

Ahmed Salvini · « **Risposta #33 il:** 24 Apr 2017, 16:20:27 »

questa http://0day.today/exploits/26794 è stata patchata? ...è di gennaio...

tonicopi · « **Risposta #34 il:** 24 Apr 2017, 22:16:54 »

Citazione da: Ahmed Salvini - 24 Apr 2017, 16:20:27

questa http://0day.today/exploits/26794 è stata patchata? ...è di gennaio...

Non ho mica capito cosa vuoi dire con quel link Ahmed Salvini ...

danielecr · « **Risposta #35 il:** 25 Apr 2017, 09:03:03 »

Che a quanto pare, e la fonte è attendibile, gira un exploit remoto critico per l'ultima versione di joomla 3.6.5.
E visto che l'exploit è ancora privato, dubito che ci sia una patch disponibile..

tonicopi · « **Risposta #36 il:** 25 Apr 2017, 09:52:04 »

Ho visto, dopo ci ero arrivato pure io. Subito quel sito non si apriva....
Ma in quella fonte autorevole scovano le vulnerabilità e poi le vendono? Questa non la sapevo.

Speriamo qualcuno ci metta presto una pezza....

Io nel frattempo ho scovato un file dentro la cartella media/media/images/sun.php che allego per gli studiosi. Da quel che capisco è il file deputato a reinserire i file per i redirect ed è multisuo utilizzabile sia per joomla che per wordpress e forse persino per pagine html. Ma magari ho detto una castroneria....

Ahmed Salvini · « **Risposta #37 il:** 25 Apr 2017, 15:14:44 »

si, diciamo che è una specie di shell o almeno ne include delle peculiarità, sicuramente non centra con Joomla.
Sembra però non essere il risultato di un automatismo ma di qualche pischelletto che ti ha preso di mira.

tonicopi · « **Risposta #38 il:** 25 Apr 2017, 15:30:05 »

Non credo si tratti di un pischelletto. Perchè:
- a quel che ho letto ne sono affetti centinaia se non migliaia di siti;
- vengono creati questi redirect a questo sito: euro-pharm247.com visibili solo ai motori di ricerca.
Quel sito ne trae indubbio vantaggio è non è di un pischelletto.
Si tartta dunque di un lavoro professionale ed applicato su larga scala.
Non so ancora come mi entrano, se sfruttando una falla nel server e magari quella vulnerabilità di joomla che mi hai segnalato tu.
Adesso credo di aver tolto tutti quei file ed ho cambiato di nuovo le password ftp.
Vedremo che succede.

Intanto vorrei chiedere: se questo accesso informatico è un reato, possibile che non riusciamo a far pagare il conto a qualcuno? Questo sito euro-pharm247.com è il beneficiario. Ha un nome e cognome. Perchè non mobilitiamo il Vamba che su queste indagini si divertiva?

Ahmed Salvini · « **Risposta #39 il:** 25 Apr 2017, 15:34:10 »

perchè è stata divulgata senza proporre patch in quanto il problema era di terze parti

https://developer.joomla.org/security-centre.html
All versions of the third-party PHPMailer library distributed with Joomla! versions up to 3.6.5 are vulnerable to a remote code execution vulnerability. This is patched in PHPMailer 5.2.20 which will be included with Joomla! 3.7.

possibile che non riusciamo a far pagare il conto a qualcuno? Questo sito euro-pharm247.com è il beneficiario. Ha un nome e cognome. --------------------------------------------------------
perchè spesso è necessaria una rogatoria. Immagina se il server o il malintenzionato operano in Turchia... ci abbiamo messo 2 settimane con la mobilitazione di ministri e ambasciatori per portare a casa un giornalista figurati per l'estradizione di uno che ti frega un po' di ranking