Nuovo bug joomla - Exploit zero-day per Joomla

[Antelao]

Salve ho appena letto questo:
http://www.mrwebmaster.it/news/exploit-zero-day-joomla-drupal-wordpress_3521.html

Volevo chiederVi se c'è già un sistema per diffendersi

Grazie

[mau_develop]

  stacca la spina!
Emanuele dice "Un malintenzionato impiegherebbe meno di due minuti per mettere down il sito Internet di una qualsiasi azienda, partito politico, organismo governativo o militare o società quotate in borsa senza disporre di grande quantità di banda e senza necessità di dover articolare il proprio attacco in modo distribuito."

perchè qualcuno ti dovrebbe dossare? Sei così importante?
non è un tipo di attacco usato se non per target specifici e il massimo danno credo sia appunto il denial dei servizi, null'altro.


...anzi guarda, risponde lui poco sotto:
"Relativamente a Joomla ci stiamo già lavorando e a breve sicuramente riusciremo a produrre un buon upgrade da mettere a disposizione del pubblico."

"ma in generale consiglio di aspettare gli aggiornamenti upstream senza appesantire o sporcare il codice main con pseudo soluzioni che si trovano online, evitando così di importare bug magari molto più pericolosi di quello in oggetto."
M.

PS: Il concetto è + o - lo stesso espresso da R.Hansen (aka RSnake) per la realizzazione di slowloris, ovvero il dos attraverso l'html, ancora efficacissimo su molti server, indipendentemente dal fatto che sopra ci stia Joomla, Wp e compagnia bella.
... interessante se vuoi approfondire, uno dei pochi casi in cui un server microsoft risulta immune

[Antelao]

Scusa dove hai letto l'altra parte?

Comunque pensavo ci fosse già un fix e io me lo fossi perso per strada.
Sono reduce da un attacco e visto che il mio sito in questi mesi è nel picco di visite non posso permettermi un altro down. L'ultimo comunque non è stato causato attaccando joomla ma direttamente il server.

[mau_develop]

Scusa dove hai letto l'altra parte?
---------------------------------
http://www.oneitsecurity.it/05/01/2010/exploit-0day-dos-per-joomla-wordpress-e-drupal-ne-parliamo-con-emanuele-gentili/

Sono reduce da un attacco e visto che il mio sito in questi mesi è nel picco di visite non posso permettermi un altro down. L'ultimo comunque non è stato causato attaccando joomla ma direttamente il server.
-----------------------
Probabilmente in qs periodo non hai frequentato qs forum:
http://forum.joomla.it/index.php/topic,90996.0.html

ciao

M.

[mmleoni]

nota che se non hai la cache attiva, l'exploit non funziona.

ecco la soluzione fino alla patch

ciao,
marco

[mmleoni]

una risposta a maurizio ed una riflessione...

perchè qualcuno ti dovrebbe dossare? Sei così importante?

purtroppo l'essere dei 'signor nessuno' non mette al sicuro; nella mia esperienza ho visto che il 99% degli attacchi arriva da persone assolutamente incompetenti, quasi sempre ragazzini, che non sanno come passare la serata e provano a cimentarsi con il primo sito che trovano.
ma non possono uscire con la ragazza o andare a giocare a calcio con gli amici?
pensano davvero di essere degli hacker perchè copiano del codice scritto da qualcun'altro e lo mandano in esecuzione?

basta dare un'occhiata ai log di apache o di sshd per capire che questi non sono in grado neanche di capire che tipo di server hanno davanti...
si spara nel mucchio sperando di predere qualcosa.

la riflessione:

ora chiunque sia un sysadmin, od un programmatore con un poco di esperienza, sa che diversi sistemi che creano file di cache soffrono di problemi di questo tipo; orbene, sarebbe bastato dire che anche Joomla! ne soffre essendo sufficiente reiterare la request aggiungendo un parametro fittizio variabile all'url. Chiunque avrebbe capito dove era il problema e come verificarlo, chiunque tranne gli script kiddies!!

delle 75 righe del codice di questo 'nuovissimo' '0day concept exploit sa il cav' sono solo le penultime 3 l'hack, il resto servono a dire chi lo ha scritto (e quanto è bravo?). ma perchè anche questo non va a spasso con la ragazza invece ....

scusate lo sfogo

ciao,
marco

[mau_develop]

Caro Marco .... la penso esattamente come te

La mia risposta "sei così importante" era solo per dire "... salvo sfighe, non c'è nessun motivo...".

I kiddies... e sì, una vera rottura di scatole. persone di scarsissima cultura che con dei tool si sentono i Mitnick del paese, ... gianni morandi ha già dato la sua opinione "uno su mille ce la fa".
E' la passione per l'hacking presa alla rovescia, che da' appunto i risultati contrari. Se avessero un minimo di vita sociale ti garantisco che non starebbero a casa a fare qs cose, è che sono molto soli ed emarginati e visto che l'hacker sembra essere quel personaggio misterioso senza vita sociale pensano che basti avere un pc per assumerne le sembianze.
"ma figliolo, esci un po'.... mi sembri pallido, hai dei problemi con le ragazze? hai litigato con gli amici? ... mica userai la dr...?!"
"No mamma! Sono un Hacker! Il mio non è disagio è studio!"

Per quanto riguarda lo 0day in questione... beh come tu stesso hai detto basta non usare la cache che il problema è già risolto.
Però bisognerebbe risolvere anche altri bug allora....
.. e se io ti mando tanti messaggi finchè ti riempio il db cos'è uno 0day?
...anche le mail all'admin riempiono il db e molte cose messe insieme.

Poi dossare sui virtual server su cui abitualmente, per 20 euri, si hosta il sito mi sembra veramente assurdo: basta che in 3 visitino il sito che sei già impiccato con la banda e il quarto aspetta tempi interminabili....
bah.. strano il mondo dei coderz

M.