r57shell su 1.5.3

[IMV]

Salve,
un sito di un cliente è stato "defacciato" ed è stato eseguito questa shell r57.

Ce ne siamo accorti dal cambio di home ed abbiamo fatto un backup veloce e cancellato tutto.

Dai log non siamo riusciti a capire in che modo hanno forzato joomla ma abbiamo capito che sono entrati semplicemente con admin / pass precedentemente cambiata in qualche modo.

Abbiamo visto che prima di entrare sono stati lanciati comandi come "reset" al modulo com_user, però riprovandoci non siamo riusciti a ricreare l'intrusione.

Altro problema l'utente (o bot) ha cambiato più volte ip, con traceroute abbiamo visto che la provenienza era sempre la turchia ma è difficile ricostrure tutti i passaggi del lamer.

Detto questo vorrei capire se è stato un problema della 1.5.3 o di un modulo, e quindi se installando la 1.5.7 il cliente è più al "sicuro" oppure reinstallando gli altri moduli rimane vulnerabile.

Il fatto che siano riusciti a cambiare la password di admin mi fa pensare che sia stato un problema di sicurezza del modulo com_user... sapete niente al riguardo?

[Locu]

Ciao,
il problema sta proprio nelle versioni precendti di joomla, infatti nella versione 1.5.7 è stata coperta la falla che permetteva la sostituzione della password dell'amministratore trammite il controller.php.

per maggiori info guarda il link che segue:

http://www.milw0rm.com/exploits/6234

ti toccherà rifare il lavoro "post-hack" di nuovo in quanto sei ancora vulnerabile finchè non aggiorni.

[IMV]

Per il momento il sito è stato rimpiazzato da una paginetta statica, adesso vedrò cosa fare, non mi aspettavo una voragine di questo tipo nel core.

[..-. ..-]

Comunque prendi sempre buona abitudine di aggiornare le versioni ... la 1.5.3 è sinceramente una versione parecchio datata

[IMV]

Non gestisco io il sito.