Sito (o server) BUCATO !!!

[Bobbix]

Salve... in qualche maniera, qualcuno è riuscito a sostituire/modificare i files index.php, index2.php e quelli sotto la cartella administrator (dove c'è pure index3.php).

La versione di joomla è l'ultima disponibile, so anche che dovrei controllare se esistano ultime versioni di tutti i componenti, moduli e plugin aggiuntivi, ma il sito l'ho pubblicato un paio di settimane fa... dubito che vi siano aggiornamento (controllerò comunque).

Il virus che il sito bucato (o hackerato come preferisce dire qualcuno) propone al navigatore è Trojan-Downloader.JS.Twetti.a

Prima di sovrascrivere i files infetti con quelli originali mi son preso la briga di farmene una copia.
Disponibili se qualcuno volesse approfondire...

Su un forum leggevo che questo tipo di attacco verrebbe fatto sfruttando le API di Twitter...
Riporto il link se vi va di leggere...
http://www.studentitaranto.com/forum/il-forum-degli-studenti-di-taranto-29/11919-trojan-downloader-javascript-twetti.html

Ora ho scritto al mantainer che mi ha rimandato ai suoi articoli sulla sicurezza... in pratica i soliti consigli...  MA
da parte nostra, sul lato applicativo, come ci si può proteggere da simili attacchi? Non c'è scampo per quel che ne so.
Voi che ne dite?
Magari è una falla dei server del mantainer... (non so se sperarlo).
E' importante capire come siano riusciti a bucare il sito.. se è una falla di Joomla bisogna capire come risolverla altrimenti SIAMO TUTTI ESPOSTI.

Grazie.

[56francesco]

Su un forum leggevo che questo tipo di attacco verrebbe fatto sfruttando le API di Twitter...

se si aprono delle porte in qualsiasi modo, anche approssimativo poi non c'è da meravigliarsi che qualcuno le attraversi..

non siamo tutti  a rischio ma come al solito lo è chi usa spalancare porte a servizi esterni..
ora oltre i contatori classici (sono dieci anni che se parla e continuano ad usarli)  bisogna considerare anche twitter e tra poco facebook e via dicendo..

di che tipo è l'attacco? spammers immagino...

sposto nella sezione sicurezza..

[mau_develop]

Trojan-Downloader.JS.Twetti.a, in 17th place, is a very interesting example of cybercrime creativity. Lots of legitimate sites have been infected with this malware and it's worth taking a closer look at how it works. Once decrypted, there is no trace of a link to the main executable file and no exploits or links to them! Analysis shows that the script uses an API (application programming interface) popular with both cybercriminals and Twitter.

The Trojan works in the following way: it creates a request to the API which results in data on so-called "trends" – i.e. the topics most discussed on Twitter. The data returned is then used to create an apparently random domain name, which the cybercriminals have registered in advance having used a similar method, and a redirect to this domain is created. The main part of the malware (whether it's a PDF exploit or an executable file) will be placed on the domain. In other words, the malicious link and the redirect are created on the fly via an intermediary, which in this case happens to be Twitter.

It should be noted that both Packed.JS.Agent.bn and Trojan-Downloader.JS.Twetti.a use a specially crafted PDF file to infect users' computers. This file is detected as Exploit.JS.Pdfka.asd and it also made it into the second Top Twenty, entering in twelfth place. We can therefore assume that at least three of December’s malicious programs were the handiwork of a single cybercriminal gang. Also a cause for concern is that fact that programs from the TDSS, Sinowal and Zbot families - some of the most dangerous threats currently in existence - were detected among the executable files downloaded to victim machines during drive-by attacks.

Overall, the trends remain the same. Attacks are becoming more sophisticated and more difficult to analyze. Their aim, in the vast majority of cases, is to make money in some way. Virtual threats are no longer purely virtual; they can cause real damage, and this is why is it vital to ensure that your computer and data are protected.


Magari è una falla dei server del mantainer...
----------------------------------------------
No

se è una falla di Joomla bisogna capire come risolverla
-------------------------------------------------------
nessuna falla Joomla

SIAMO TUTTI ESPOSTI.
---------------------
io no

[Bobbix]

mau_develop... non capisco perchè hai inserito la versione in inglese del contenuto in italiano proposto dal link che ho postato io.
Ad ogni modo se escludi che possa trattarsi di una falla del server... e di una falla di joomla e dici che tu non sei esposto....  fai anche capire il perchè delle tue affermazioni?

Grazie.

[Bobbix]

Su un forum leggevo che questo tipo di attacco verrebbe fatto sfruttando le API di Twitter...

se si aprono delle porte in qualsiasi modo, anche approssimativo poi non c'è da meravigliarsi che qualcuno le attraversi..


non siamo tutti  a rischio ma come al solito lo è chi usa spalancare porte a servizi esterni..
ora oltre i contatori classici (sono dieci anni che se parla e continuano ad usarli)  bisogna considerare anche twitter e tra poco facebook e via dicendo..

di che tipo è l'attacco? spammers immagino...

sposto nella sezione sicurezza..

Ciao Francesco.. non so di quale porte tu stia parlando.
L'hosting non lascia configurare un bel nulla quindi immagino tu ti riferisca alla configurazione del firewall del mantainer (è così)?
Sul PC da dove è stata fatta l'amministrazione c'è un solido antivirus (l'unico che sia riuscito ad individuare il problema) e che include anche un firewall molto avanzato, dubito che il problema si sia originato da li.
Non ho alcun contatore sul sito, certamente ho degli addon che completano le funzionalità minimali del sito:

 COMPONENTI
- Jcomments
- Joom!Fish
- Joomap
- Jumi
- Ninja RSS Sindicator
- OzioGallery2
- QContacts

 MODULI
- GTranslate
- RokSlideshow
 
 PLUGIN
- QTube
- LazyBackup2
- GoogleAnalytics

Ovviamente alcuni componenti presentano anche il relativo modulo che ho evitato di riportare nell'elenco.


Cosa significa NON siamo tutti esposti.. per dire così significa che è possibile distinguere tra quelli che lo sono e quelli che non lo sono.
C'è quindi un metodo scientifico che assicura la totale invulnerabilità ad attacchi di questo ed altro genere?
Ho bisogno di capire bene quali elementi ti diano tale certezza (che tanto per precisare NON sto mettendo in dubbio, solo che non capisco).

Ho bisogno di capire...
Ciao e grazie.

[mau_develop]

hai bisogno di calmarti

non capisco perchè hai inserito la versione in inglese del contenuto in italiano proposto dal link che ho postato io.
------------------------------------------------------
semplicemente perchè non vado a leggermi un  thread per un problema che non c'è... ho guardato direttamente chi l'aveva analizzato.


Ad ogni modo se escludi che possa trattarsi di una falla del server...
------------------------------------------------------------
ma l'hai letto tu il thread che hai linkato?

Ho bisogno di capire bene quali elementi ti diano tale certezza
----------------------------------------------------------------
uso la testa quando navigo, sto attento a ciò che succede, non autorizzo il browser ad eseguire nulla se non dopo mia conferma, e soprattutto ... uso linux

C'è quindi un metodo scientifico che assicura la totale invulnerabilità ad attacchi di questo ed altro genere?
----------------------------------------------------------
si, essere quello che li fa

M.

[Bobbix]

mau_develop... io sono calmissimo (giuro) nonostante la tua risposta.

Ad ogni modo non ho capito un'acca di quello che hai detto (tenti di aiutarmi o di dimostrare qualcosa?  )

Ah.. .per la cronaca uso anch'io linux, e nel mio browser ho di default tutti gli script disabilitati (devo autorizzarli io uno per uno), il mio cliente è meno corazzato ma devo dire che sta abbastanza bene rispetto alla media.

Ma se proprio vuoi aiutarmi a me serve sapere:
1) Il sito (secondo te) è stato bucato utilizzando:
   a) una falla del PC usato per l'amministrazione
   b) una falla di qualche componente aggiuntivo di joomla
   c) una falla del server del mantainer
   d) un metodo indipendente dalle prime tre ipotesi
Ovviamente parlo di causa probabile... secondo il tuo illuminante parere.

2) Oltre ad essere un cracker (inorridisco difronte a chi abusa della parola hacker) cos'altro bisogna fare per proteggersi? Oltre alle solite banali raccomandazioni, c'è un vademecum? C'è anche un elenco di addon ritenute non sicure?

3) Se dici che joomla è sicuro e che non può essere bucato... non mi spiego come mai ogni tanto si rilascia una nuova versione che tra altre cose risolve proprio problematiche di sicurezza 

Comunque davvero sono sereno... ieri ho modificato tutte le password di accesso al dominio e al sito, inoltre in questo momento sto rifacendo un download del sito in locale e sto per confrontare file per file con il backup che avevo prima... così vedo se ci sono altri files compromessi rimettendoli subito a posto.

Se però c'è qualche "porta aperta" (in senso lato) ai malintenzionati, devo necessariamente scoprirla, altrimenti il fenomeno prima o poi si ripeterà.

Ciao.

[Bobbix]

Un aggiornamento...

Allora, ho riscaricato il sito in locale... confrontato col backup che avevo (ho usato KDiff3 sotto linux), quindi individuati e sostituiti tutti i files differenti.
In pratica erano infetti quasi tutti i files index.php e index.html

Poi ho riscaricato il sito in locale ed effettuata una scansione completa con antivirus che mi ha permesso di individuare un altro paio di casi che mi erano evidentemente sfuggiti, quindi ho sistemato pure quelli.

Ora il sito è nuovamente a posto nel senso che tutti i files infetti sono tornati allo stato originario.

Qualche consiglio su ulteriori operazioni? Devo fare qualche verifica anche sul DB MySQL? Se si in che modo?
Voi al mio posto cosa fareste?

Grazie.

[56francesco]

(ho usato KDiff3 sotto linux),

grazie per la segnalazione cercavo da tempo il nome di una cosa così..

Devo fare qualche verifica anche sul DB MySQL? Se si in che modo?

penso sia meglio di si, magari con lo stesso KDiff3 comparandolo con una copia precedente, dopotutto con gdedit un file .sql non è altro che un file come tanti il cui contenuto è intuitivo..

[mau_develop]

tenti di aiutarmi o di dimostrare qualcosa
------------------------------------------
questo è quello giusto, volevo farti vedere che io sapevo di più, purtroppo ho miseramente fallito

vabbè felice che hai risolto

------------------------------
....so anche che dovrei controllare se esistano ultime versioni di tutti i componenti, moduli e plugin aggiuntivi, ma il sito l'ho pubblicato un paio di settimane fa... dubito che vi siano aggiornamento (controllerò comunque).
------------------------------------
se ritieni sia una vuln di joomla segnalala, magari segnalala anche a wp, vbulletin e gli altri visto che sono segnalate cose simili.

...altrimenti è il server, segnalalo a loro

ciao

M.

ps: quelli del sito che hai linkato facilmente hanno qs problema
Powered by vBulletin® Version 3.8.4

http://forum.intern0t.net/exploits-vulnerabilities-pocs/1502-vbulletin-3-8-4-cross-site-script-redirection.html

attenzione alle cose che si danno per scontate