Segnalazione Hacking in the wild diffondete e segnalate

[EXP]

Sembra che il problema sia proprio quello....

http://www.securityfocus.com/bid/95108/info


Quindi in teoria anche se non attaccato dovrei essere tra le potenziali vittime  finchè non verrà posto rimedio al problema (sembra dalla j3.7)...

[Ahmed Salvini]

Beh, dal g+ di alex sembra che devi attendere fino a domani, comunque si può sempre aggiornare la libreria a manina anche se non è alla portata di tutti anche se su qualche forum sicuramente avranno proposto una soluzione.

Un sw opensource non può essere trascurato nemmeno 1gg, soprattutto se usato professionalmente, ne bucano uno e li bucano tutti   oppure hai un sito blog personale con un backup aggiornato allora puoi permetterti ciò che vuoi e che decidi

[EXP]

L'unica cosa che non capisco è il perchè alcuni siti si altri no... Il mio è tra i candidati avendo una versione di phpmailer inferiore al 5.2.18...

Se fosse un attacco con robot dovebbero averlo scovato... A meno che il problema non sia causato dal contemporaneo utilizzo di una versione php inferiore a 5.6

O come hai ipotizzato tu un attacco manuale....

[danielecr]

Sempre che l'exploit sia riferito al phpmailer...Mi sembrava di aver letto che anche se il phpmailer datato aveva il bug, comunque la versione 3.6.5 di joomla non avrebbe permesso all'exploit di funzionare. Per questo non era stata rilasciata alcuna patch per joomla 3.6.5.

After analysis, the JSST has determined that through correct use of the JMail class, there are additional validations in place which make executing this vulnerability impractical within the Joomla environment. As well, the vulnerability requires being able to pass user input to a message's "from" address; all places in the core Joomla API which send mail use the sender address set in the global configuration and does not allow for user input to be set elsewhere. However, extensions which bundle a separate version of PHPMailer or do not use the Joomla API to send email may be vulnerable to this issue.

Vero che l'exploit funzionerebbe con estensioni esterne, ma la descrizione parla di bug al core...

Edit 2:
...anche se forse non è proprio così, perchè leggo anche, a proposito dell'exploit:

The researcher also developed an Unauthenticated RCE exploit for a popular open-source application (deployed on the Internet on more than a million servers) as a PoC for real-world exploitation. It might be published after the vendor has
fixed the vulnerabilities.

[tonicopi]

L'unica cosa che non capisco è il perchè alcuni siti si altri no... Il mio è tra i candidati avendo una versione di phpmailer inferiore al 5.2.18...

Questo è assolutamente normale. Avere una vulnerabilità mica vuol dire che si viene automaticamnte hackerati....
Tornando alla mia situazione, in entrambi i siti ho tolto i files malevoli e sostituito quello con l'aggiunta di codice e per il momento stanno resistendo.

[Ahmed Salvini]

Stai tranquillo che qualcuno avrà già trovato qualcosa anche per la 3.7

[MBclick]

Ho anche io questo problema, ho già aggiornato prima alla 3.7 poi alla 3.7.1 ma continuano a modificare il file loader.php mentre non caricano più il file adapterobserver.php
Ho però ancora la versione 5.4 di php

Qualcuno ha trovato qualche soluzione?

[tonicopi]

Qualcuno ha trovato qualche soluzione?

Se vai indietro nel topic trovi un file che avevo allegato. Devi cercare nel tuo sito file che hanno quel tipo di codice. Trovati ed elimintai quelli dovrebbe terminare l'incursione.

[MBclick]

Ho scaricato tutti i file del sito sul mio pc, ho cercato (dal box ricerca in alto a destra di windows) "adapterobserver" ma non trovo nessun file che contiene questa parolina.. Tuttavia anche stamattina hanno modificato il file loader.php

Sbaglio qualcosa? 

[tonicopi]

Cerca appunto la stringa loader.php
Ciao

[MBclick]

niente, non trovo nulla 

[MBclick]

dall'aggiornamento a joomla 3.7.2 non mi hanno più modificato il file loader.php

si saranno arresi o con joomla 3.7.2 è stato risolto questo bug? 

[MBclick]

Buon pomeriggio,
continuo ad avere questo problema.
Il sito è aggiornato alla versione 3.8.6
php aggiornato alla 7.0
attivato https
cambiato password FTP

il giorno dopo è stato ricreato il file adapterobserver.php 

[joomlaitforum]

Potrei aver trovato il problema, ho il mio joomla su un server condiviso in cui ho più siti Web, incluso wordpress. Bene, ho trovato nel database di uno di loro, di un wordpress, un trigger, che potrebbe avviare alcune stored procedure o uno script, per farlo. Controlla se in qualsiasi database hai un trigger attivo.


Un saluto.

[MBclick]

Potrei aver trovato il problema, ho il mio joomla su un server condiviso in cui ho più siti Web, incluso wordpress. Bene, ho trovato nel database di uno di loro, di un wordpress, un trigger, che potrebbe avviare alcune stored procedure o uno script, per farlo. Controlla se in qualsiasi database hai un trigger attivo.


Un saluto.

Cosa devo cercare di preciso nel database?
Attualmente ho tamponato creando un file vuoto adapterobserver.php con permessi 000 e il loader.php impostando i permessi a 444.Se non faccio così nel giro di poche ore vedo il loader.php modificato e sito pagina bianca.

[MBclick]

Riprendo questo topic perchè a distanza di diversi mesi sono riuscito a trovare l'altro file che puntualmente andava a modificare il loader.php e creava il file adapterobserver.php
Magari può essere utile a qualcuno.

Il file incriminato ha il seguente percorso: /layouts/joomla/tinymce/mags.php
Adesso l'ho eliminato, vediamo se ricompare.