Error Log

[wdo]

Ciao a tutti
scusatemi per il titolo troppo generico ma non riesco a trovare un titolo adatto. Ho un problema abbastanza grave che non riesco a risolvere. Magari voi potete darmi una mano a comprendere meglio gli error_log e risolvere il problema che si ripete ogni volta che tento un ripristino privo di errori.


Parziale error_log cartella administrator:

https://snag.gy/V6XdBL.jpg

Parziale error_log root
[/size]https://snag.gy/xrBIqj.jpg


Tengo a precisare che il backup ripristinato, viene in un secondo momento aggiornato alla versione 3.8.8 è protetto da firewall inoltre il sito non ha estensioni di terze parti installate eccetto il firewall installato come componente esterno.

Sottolineo anche che dopo aver fatto l'aggiornamento, confronto il sito con una versione 3.8.8 di joomla! per vedere se qualche file è diverso etc... l'unico cambiamento che si riscontra riguarda il componente che uso come firewall. Anche i file SQL del db risultano identici. a parte i contenuti/categorie/menu etc.. che ovviamente non sono presenti nella versione demo 3.8.8 che uso come confronto.

Non capisco che cosa permetta di entrare e sfondare il sito magari i parziali dei file error_log che vi ho generato possono aiutarvi a capire e finalmente risolvere il problema.



Grazie!

[tomtomeight]

I log degli errori hanno la funzione di chiarire il tipo di errore, vanno semplicemente letti, capiti e poi provvedi. Ad esempio ove dice file non trovato verifica il perché, sembra errato il percorso, altri sembra un conflitto di versione php.

[wdo]

ok tutto chiaro.


Forse ho scovato l'intruso ma la cosa strana è che si trova fuori dalla cartella: public_html e si chiama Validation.zip come sono riusciti a superare la cartella public_html ?

[danielecr]

validation.zip? E che c'è dentro lo zip?Uno zip tal quale sul server non fa nulla.
La cartella public si supera con un directory traversal o con una shell caricata in precedenza. o avendo accesso al server in altro modo con os e/o permessi non adeguati.

[wdo]

nella cartella Validation il contenuto è questo:

images
action.php
email.php
index.php


qui di seguito una screenshot della index.php


https://snag.gy/XvoYV0.jpg

[danielecr]

Quei files sono la conclusione dell'attacco, non l'inizio...
Dovresti analizzare il sito (o farlo analizzare) per bene.

[wdo]

Grazie per la tua risposta
ma per tracciare l'inizio di un attacco quali sono i file da controllare in linea di massima?

[danielecr]

Non ci sono file da controllare, perchè uno può chiamarli come vuole.Vanno controllati i files di log di quando è iniziato l'attacco, quindi si capisce da dove è entrato e quali files ha caricato.

[wdo]

Intanto grazie per la tua risposta.


Quindi se ho capito bene in un primo momento vanno controllati tutti i file error_log presenti nella publig_html e nella cartella administrator del nostro joomla! e come mi facevi notare tu a seguito di  un attacco di tipo "[/size]directory traversal" potrebbero caricare oltre la public_html file malevoli poi immagino che dal cpanel a livello Matrice/errori si devono analizzare gli errori. A quel punto si eliminano i file sospetti ? Spero di aver capito bene ;-)

[danielecr]

I log da analizzare non sono queli di joomla ma quelli del server, lì puoi vedere tutte le richieste fatte al server; di solito hai accesso a questi log dal cpanel.

[wdo]

Grazie mille ;-)


ho scaricato il file log dal server e vedo che ci sono attività in GET e alcune di queste richiamano percorsi relativi alle cartelle infette che ho eliminato immagino che si tratti della coda da smaltire. Credo di aver eliminato tutti i file infetti ma se qualche file fosse sfuggito nei log da quello che vedo si risale tranquillamente.


Domanda nel file log si registrano anche i tentativi di inject code sql oppure esiste qualche altro file che registra questi tentativi?