Joomla.it Forum
Non solo Joomla... => Sicurezza => : marcothemix 16 Sep 2010, 12:18:45
-
Ciao,
scusatemi sono parecchio in difficoltà, se cerco il mio sito con google e clicco sul link, mi si apre un altro sito: gberbhjerfds.osa.pl, e si apre un quadrato rosso con scritto segnalato sito malevolo.
come versione di joomla ho 1.5.20, e gli altri componenti che ho sembrano essere tutti aggiornati all'ultima versione.
-----------------------------------------------------breve descrizione degli effetti: ------------------------------------------
funziona così il mio sito si chiama pixtime se cerco su google pixtime il link in basso è quello correto appunto www.pixtime.org ma appena ci clicco il sito che si apre è http://gberbhjerfds.osa.pl/?q=pixtimeSe cerco enzo vulcano il sito che si apre è invece http://gberbhjerfds.osa.pl/?q=enzo%20vulcano
oltre a tutto ciò ricevo ogni giorno almeno 2 registrazioni da parte di account strani i quali confermano anche il link per email ma non si loggano mai. email del genere: avtokalendar@hotel-zk.lviv.ua---------------------------------------------------------------------------------------------------------------------------------------
Vi prego aiutatemi, ho già cercato nel forum ma ho trovato solo un altro topic e non sono riuscito a risolvere.
-
non è che tu abbia cercato bene, dato che di post sull'argomento ce ne sono parecchi.
comincia a rimettere a posto la index.php, poi devi trovare da dove sono entrati.
leggi i vari post.
ciao,
marco
-
Con la funzione cerca non trovavo niente, manualmente ho avuto più fortuna.
In alcuni post viene consigliato di controlare manualmente quasi l'intero sito.
in altri quoto testualmente:
ricopia tutti i file sovrascrivendoli tranne la cartella installation, templates e configuration.php
quest'ultima mi sembra la soluzione più semplice, è efficace? e in seguito a ciò verranno modificate delle impostazioni sul sito o altro?
per quanto riguarda l'index.php ci ho trovato uno strano codice: eval ( una ventina di righe maiuscole in parentesi )
l'ho eliminato ma è cambiato solo che adesso l'indirizzo a cui arriva ils ito è http://fgnfdfthrv.bee.pl
mentre prima era http://gberbhjerfds.osa.pl
ho anche disinstalalto il componente Acajoom in quanto non lo aggionrnavo da un pò.
cosa mi consigli di fare? ho un programma che cerca una parola in più file di stesto contemporaneamene può essere utile, ma cosa dovrei cercare?
Grazie mille
-
l'ideale è sempre ripartire da una nuova installazione.
sovrascrivendo se hai dentro quel .pl non verrebbe certo sovrascritto, mentre lo sarbbero i files di joomla iniettati.
se vuoi risolvere ... solo reinstallare e pian piano sostituire il db e il templates e i contenuti delle addons installate dopo averli attentamente controllati.
gli altri sistemi... uno vale l'altro... tanto giochi con la fortuna
M.
-
ho trovato in 3 file un codice del genere:
eval ( una ventina di righe tutta in maiuscolo)
i file erano index.php define.php e configuration.php
cancellando ciò ora è tornato tutto alla normalità, ma mi chiedo basterà?
o può restare qualche codice malevolo dormiente? che però magari dà un hacker un facile accesso al sito per usare nuovi exploit?
in più ho installato sia Marco's SQL Injection, che jHackGuard. Installati e ativati assieme vanno in conflitto? meglio lasciarne solo uno?
grazie
-
l'ideale è sempre ripartire da una nuova installazione.
......
se vuoi risolvere ... solo reinstallare e pian piano sostituire il db e il templates e i contenuti delle addons installate dopo averli attentamente controllati.
gli altri sistemi... uno vale l'altro... tanto giochi con la fortuna
M.
in più ho installato sia Marco's SQL Injection, che jHackGuard.
-------------------------------------------------------------------------------------
chi monta di guardia al primo turno? ;D
...dai su ...basta che tieni aggiornati i componenti e il core....
-
il problema di reinstalalre tutto, è che ho una galleria di immaggini molto vasta, 4000 foto ricaricarle tutte sarebbe davvero un lavoraccio.
mi sapete mica indicare dei frammenti di codice che potrebbero essere sti inseriti e che metterebbero in pericolo la sicurezza del sito?
del tipo "eval ( serie di caratteri lunga )" ho capito che è l'inizio di un codice malevolo, cercandolo all'interno di tutti i file di joomla mediante un programmino ho potuto risalire ai file dove c'èra ed eliminarlo.
Grazie molte
-
e se una di quelle immagini fosse in realtà una shell?
non c'è una ricerca di codice maligno che funzioni ...il codice è codice... maligno è l'uso.
eval ne ha anche joomla...
M.
-
E non c'è un modo, un test, o qualsiasi cosa per sapere se nel mio sito c'è ancora qualche frammento di codice usato in modo malevolo?
se ho ancora dei buchi di protezione?
e se capiterà in futuro un atacco dle genere, è possibile sapere chi è stato? avere lameno un indirizzo ip? o almeno sapere da che zona dle mondo è partito?
grazie
-
E non c'è un modo, un test, o
-----------------------------------------------------
il modo c'è, ti apri file per file e guardi se c'è qualcosa in +, oppure
prendi una vers originale di tutto e fai un diff dei files
se ho ancora dei buchi di protezione?
--------------------------------------------------
se hai aggiornato joomla e i componenti che hai aggiunto all'ultima versione non ci sono vulnerabilità note
e se capiterà in futuro un atacco dle genere, è possibile sapere chi è stato? avere lameno un indirizzo ip? o almeno sapere da che zona dle mondo è partito?
------------------------------------------------------------------------------------------------------------------------------
chettifrega? non ci fai nulla.
Ogni attacco presume una falla, tieni aggiornato e cerca di non averne
M.
-
ricordo che nessuno dei plugins citati garantisce la sicurezza assoluta, vedi quanto scritto sul JED e nel mio sito a proposito del plugin. e non perché io mi ritenga un fessacchiotto che prova a programmare, ma perché non devo vendere niente e posso dire le cose come stanno!
parlo per il mio, ma il discorso si applica pari pari all'altro: vengono riconosciuti i più comuni tipi di attacco, ma qualcosa può sempre scappare: in particolare nessun plugin, nessuno al mondo, può salvarti da errori di configurazione o mancati aggiornamenti del server (se faccio saltare apache o bind sai a che serve il plugin).
la soluzione migliore, anzi l'unica sicura, è installare tutto ex-novo su una nuova macchina, con le versioni di joomla e componenti ora on line, trasferire il db da quella di produzione e copiare immagini ed altri file non eseguibili; a questo punto si installano tutti gli aggiornamenti. dopo di che si spiana il server di produzione e si mette in linea il sito rinnovato.
sarebbe opportuno testare anche i files trasferiti dal vecchio sito per verificare che l'estensione corrisponda al contenuto, sì come suggerito da maurizio. per le immagini una un visualizzatore qualunque, quello per cui non ti crea la thumbnail non è un file di immagine!
quello che può esserci nel db è giusto un xss, una rottura ma non pericoloso per il tuo sito.
ciao,
marco
-
Grazie molte davvero per tutti gli utilisismi consigli e dritte.
ho eliminato jHackGuardlasciando solo: Marco's SQL Injection.
ho controllato un pò di file ma ovviamente tutti è impossibile.
Disinstalalto ed eliminato tutti i componenti che non uso, o quelli non necessari che non vengono però più aggiornati da tempo.
Non ho a disposizione un'altra macchina,ma valuterò di fare il tutto in tarda serata quando ho poco traffico: eliminare tutto il contenuto della cartella publich_html, senza eliminare il databse, reinstalalre joomla e tutti i componenti plugin che uso.
tutte le configurazioni dei vari componenti dovrebbero rimanere in quanto credo salvate sul databse.
il problema resterebbero solo le immaggini che essendo 4000 ci vorrebbe davvero molto tempo, chiederò magari allo sviluppatore del componente della galelria imamgini se c'è un modo diverso e più rapido.
e per quanto riguarda la registrazione di utenti strani, con email del genere: avtokalendar@hotel-zk.lviv.ua dipendevano da questo redirect non voluto ed ora eliminato?
-
se registrandosi poteva uppare qualcosa probabilmente il gioco è stato quello
ah! dimenticavo... ovviamente prima di fare tutto online cambia le pw dei vari servizi (...magari l'aveva già detto Marco..)
M.
-
AL TEMPO!
... così ho fatto venire i brividi a chi ha fatto a tempo a godersi un anno ospite del patrio esercito...
non ho mai detto di eliminare l'altro plugin, né che non funzioni; non lo conosco punto e basta, ma so che può fare e non fare un plugin.
non puoi re-installare joomla su un db esistente, corri il rischio di far danni e basta. installati un sistema locale, una vm od al peggio uno dei tanti giocattolini wamp mono utente, e lavora su questa.
back up di tutto prima di ogni operazione! o tra poco avrai ben più gravi problemi.
ciao,
marco
-
no, registrandosi si può uppare solo l'imagine del profilo di community builder.
Ora cambio tutte le password.
ho disinstalalto l'latro plugin per paura di appesantire troppo il sito, come farebbero due antivirus su un unico pc. E fra i due mi fido più del tuo.
grazie molte a tutti e due per le risposte rapide e precise
-
Ciao,
scusatemi sono parecchio in difficoltà, se cerco il mio sito con google e clicco sul link, mi si apre un altro sito: gberbhjerfds.osa.pl, e si apre un quadrato rosso con scritto segnalato sito malevolo.
come versione di joomla ho 1.5.20, e gli altri componenti che ho sembrano essere tutti aggiornati all'ultima versione.
-----------------------------------------------------breve descrizione degli effetti: ------------------------------------------
funziona così il mio sito si chiama pixtime se cerco su google pixtime il link in basso è quello correto appunto www.pixtime.org ma appena ci clicco il sito che si apre è http://gberbhjerfds.osa.pl/?q=pixtimeSe cerco enzo vulcano il sito che si apre è invece http://gberbhjerfds.osa.pl/?q=enzo%20vulcano
oltre a tutto ciò ricevo ogni giorno almeno 2 registrazioni da parte di account strani i quali confermano anche il link per email ma non si loggano mai. email del genere: avtokalendar@hotel-zk.lviv.ua---------------------------------------------------------------------------------------------------------------------------------------
Vi prego aiutatemi, ho già cercato nel forum ma ho trovato solo un altro topic e non sono riuscito a risolvere.
Anche a me è capitato uguale. Sono andato nella cartella images ed ho scoperto un file img.php. L'ho cancellato e tutto si è risolto. Però controlla bene anche dentro images/stories e cancella tutti i file che sono dubbi.
-
. L'ho cancellato e tutto si è risolto.
--------------------------------------------------
se non hai aggiornato l'estensione non si è risolto nulla.
come fai a dire che c'era solo quel file e non hai backdoor in giro?
M.
-
grazie artenelweb, controllerò anche dove mi hai detto, il problema si è risolto ma sono sicuro che ci sarà nascosto da qualche altra parte altro codice sospetto
mau_develop:
Ho le estensioni tutte aggiornate, e disinstalalto quelle inutili.
non c'è nessun modo anche manuale per andare alla ricerca di una backdoor?
nel senso per rimettere a posto il sito, capito che il codice iniziava per eval seguito da una lista lunga di caratteri in parentesi, ho cercato in tutti i file il codice eval e se era seguito da una lista lung di caratteri in partenesi l'ho eliminato.
Posso fare una cosa simile per la backdoor? solitamente il codice di una backdoor come è scritto?
Grazie
-
non c'è nessun modo anche manuale per andare alla ricerca di una backdoor?
--------------------------------------------------------------
no,...però c'è ugualmente la soluzione, sovrascrivere tutto il remoto.
Non potrai farlo per tutto perchè ad esempio usi japurity e l'hai modificato e perderesti tutto, ma puoi sicuramente farlo con la quasi totalità dei files.
un'altro trucco è segnarsi la data di modifica o installazione di un file, se ne trovi qualcuno che ha date molto recenti e tu non hai fatto nulla... qualcuno lo ha modificato.
una backdoor è semplicemente un "ingresso di servizio"
tutto ciò che mi rende capace di eseguire comadi arbitrari sul tuo server.
lo script che eseguirò avrà i massimi privilegi per fare qualsiasi cosa venendo eseguito direttamente dal server.
basta che nel tuo index metta una script che sia possibile richiamare da ulr
$pippo=$_GET['mio_comando'];
if($pippo == 'info'){ phpinfo(); }
index.php?pippo=info la riga di esploit
M.
-
Grazie, quindi la soluzione miglioere è quella di scaricar el'ultima versione di joomla e upparla sovrascrivendo tutti i file.
anche se a dir il vero dovei comunque reinstlalre nuovamente joomla per cancellare i possibili file malevoli creati che non verrebbero cancellati semplicemente uppando un istallazione di joomla.
Crdo di aver ricevuto solo attacchi a dizionari inuatomatica che scandagliano e attacano ttti i siti joomla in cerca di vulnerabilità è possibile comunque che abbiano creato file nuovi? o ne hanno solo modificati?
l'unico attacco visibile è stato appunto che cliccando su un link del mio sito da google, si apriva un altro sito malevolo.
Grazie.
Marco
-
possibili file malevoli creati che non verrebbero cancellati semplicemente uppando un istallazione di joomla.
---------------------------------------------------------------------------------
... si ma sono pochi e sono solo quelli che hai messo tu, quindi facilmente riconoscibili... immagini musica css + quelli relativi alle extensions installate per le quali basta l'aggiornamento visto che la maggior parte non salva contenuti nelle cartelle, tranne ovviamnete gallery e document up/down.
ci sarebbe pure da vedere il db.... ma è veramente difficile che venga messo qualcosa li... anche se possibile... in qs caso sarebbero quasi sicuramente script js che causano permanent xss capaci di grab di sessione.
l'unico attacco visibile è stato appunto che cliccando su un link del mio sito da google, si apriva un altro sito malevolo.
--------------------------------------------------------------------
appunto perchè hanno modificato un files...
bastava un if(strstr($_SERVER['HTTP_REFERER'], 'google')){ fai qualcosa }
M.
-
Ok grazie mi hai rassicurato pure in questo topic, reinstalalre da capo joomla sarebeb stato un lavoraccio, e sopratutto poi caricare da capo tutte le immagini della galelria nelle ripsettiva categorie ecc.
devo uppare tutto il contenuto dello zip di joomla ad eccezzione di qualcosa?
di sicuro non devo uppare la cartella install, anche qualcos'altro?
come template non uso ja_purity quindi nessun problema.
E comunque sostituendo tutti questi file, che cambiamenti mi dovrò aspettare?
grazie.
marco
-
no, non tutti i files e le cartelle:
non:
installation, install.php, configuration.php-DIST e se me ne dimentico, tutto ciò che hai modificato successivamente (es. il configuration se lo sovrascrivi non potrà contenere i dati corretti)
administrator tutto senza problemi.
i files che non upperai saranno da controllare se non lo hai già fatto (installation esclusi che riguardano solo l'installazione)
fai sempre un backup prima di fare qs operazioni.
M.
-
Ok grazie molte.
Dunque così facendo non dovrebbe cambiare nulla, nessuna configurazione o altro.
nel caso se no posso sempre ripristinare il backup.
-
esatto...la filosofia è questa.
M.
-
Ciao,
fino a ieri tutto ok, oggi facendo una prova da google, stesso problema di una settimana fà, vengo reindirizzato su un'altro sito.
Ho cancellato il solito eval() da index.php, configuration.php e defines.php
e tutto è ritornato alla normalità, almeno in apparenza.
2 giorni fà avevo scaricato una nuova installazione di joomla e l'ho uppata via ftp, tutto tranne installtion, configuration.php e la lingua italiana.
Quindi vuol dire che hanno creato un file in più? o che abbiano aggiunto del codice in qualch componente?
Il plugin marco's sql injection non mi ha mandato nessuna mail, questo può voler dire che ho una backdoor e che quindi il plugin abbia pensato che quelle modifiche le stessi facendo io?
In più come consigliato dall'articolo in home su joomla.it, ho messo una password alla cartella administrator ed in più grazie a un plugin per accedere al backen bisogna inserire un token scelo da me.
www.miosito.it/administrator/index.pdp?token=miotoken
Cosa mi consigliate?
Grazie.
Marco
-
allora, prima di tutto una considerazione:
- nonostante token, doppia auth etc il sito è vulnerabile.
Questo dimostra l'inutilità di un'infinità di accorgimenti se la "base" non è a posto... e se la base è a posto quelle cose sono abbastanza inutili.
Poi, in effetti il non aver ricevuto mail dal plugin di marco fa supporre un po cose
- c'è una backdoor
- non hai cambiato le user e password di ftp e/o mysql e/o administrator
- passano dal server o comunque da un sito "accanto" al tuo
- Sei tu che ti autoinietti con un malware sul pc
... escludimi con sicurezza e perchè, qualcosa di questo elenco che poi vediamo come procedere...
un link?
M.
-
www.pixtime.org
Ti faccio sapere quanto prima quali di quelle ipotesi mi sento di poter escludere con certezza.
Mando anche una mail al mio servizio di hosting, magari anche lui può darmi qualche ripsosta utile.
Grazie, a presto
-
...una bella scansione locale con antivirus è consigliabile..
M.
-
intendi una scansione del mio pc?
-
e si, se amministri il sito con quello.
M.
-
Ok grazie ti farò sapere.
-
Poi, in effetti il non aver ricevuto mail dal plugin di marco fa supporre un po cose
- c'è una backdoor
- non hai cambiato le user e password di ftp e/o mysql e/o administrator
- passano dal server o comunque da un sito "accanto" al tuo
- Sei tu che ti autoinietti con un malware sul pc
Allora:
- c'è una backdoor? a qusto non ti so rispondere, non so come cercarla
-prima del secondo attaco avevo cambiato le password
-il gestore dell'hosting dice che l'attcco era mirato proprio al mio sito e che secondo lui non accedono da siti "accanto" al mio o dal server
-la scansiona antivirus sul mio pc con nod32, non ha rilevato minacce di nessun tipo.
Grazie..
Marco
-
il gestore dell'hosting dice che l'attcco era mirato proprio al mio sito
-----------------------------------------------------------------------------------------
perfetto, infatti è lui che può vedere i log del server... a qs punto saprà sicuramente anche qual'è il componente o la vulnerabilità in questione perchè lo vede chiaramente dalle request effettuate.
M.
ps ... io mi gioco 10 euri sul login facebook :)
Comunque ho fatto una scansione con il tool di Anubis e:
Changes security settings of Internet Explorer:
This system alteration could seriously affect safety surfing the World Wide Web. medium
Performs File Modification and Destruction:
The executable modifies and destructs files which are not temporary. high
Performs Registry Activities:
The executable reads and modifies registry values. It may also create and monitor registry keys. low
Come fa anubis a fare la scansione? simula di essere un visitatore e guarda cosa accadeai registri del pc visitando il sito.
Hai fatto una scansione con antivirus diversi?
Se usi gli strumenti di google webmaster per i malware cosa ti dice?
Hai controllato le mille addons che hai installato se sono state nel frattempo aggiornate o peggio abbandonate?
Sicuro di averle prese da siti affidabili?
M.
-
--anche io posso vedere i log, ma mi fa vedere solo i log del giorno, cioè solo di oggi.
Posso chiedere al fornitore dell'hosting di controllare i log riferiti al mio sito, in data 25 settembre che è il giorno in cui ho subito per la seconda volta il medesimo attcco, e lui deve essere in grado di dirmi il componente/plugin che è stato bucato?
Il login di facebook spero di no perchè quello che uso è l'unico a essere gratuito, l'ultimoa ggiornamento risale a fine agosto.
--La scansione con Anubis sembra parecchio allarmante... anche se non ho capito a pieno cosa dice come acco ad eliminare tutti questi problemi?
--Dato che non ero soddisfatto della scansione antivirus ne ho lanciata un'altra sta mattina, impostando il massimo grado si sensibilità e protezione da minace socnosciute analizzando tutto il pc in toto,non ha ancora finito ma per ora ha torvato:
numero di infiltrazioni : 226 !!
si torvano tutte in c:\user\marco\AppData\roaming\m
mi dice che sono tutti: win32/bagle. Un worm - era un worm parte di un ogetto eliminato
--google per webmster dice che non ha torvato nessun malware
--per le addos ecco quelle che non vengono aggiornate dallo svilupaptore da parecchio:
html purifier -> ultimo aggiornamento 2009
content optimizer -> ultimo aggiornamento 2009
google ajax library-> ultimo aggiornamento 2009
apool -> ultimo aggiornamento 2009 -> Disinstallato non lo uso per ora
Non avevo aggiornato jcomments..... aggiornato ora.
jce non è aggiornato perchè aggiornandolo scompare l'editor e mi da un errore, ho aperto un post in merito appena risolvo lo aggiorno.
--tutte le addons le ho prese partendo da extensions.joomla.org, in passato anche da siti googlando ma già da diversi mesi dovrei averle eliminate tutte quelle poco conosciute.
Grazie mille sei un angelo nel darmi tutto il tuo aiuto disponibilità e pazienza. ;) :D
-
beh.. le extensions le devi aggiornare....
Il login di facebook spero di no
-------------------------------------------
avevo letto l'altro giorno, se lo trovo te lo posto, come fare un browser in the middle proprio con le integrazioni del login di facebook... per qs te l'ho detto, secondo me quel virus si propaga proprio in qs modo.
M.
-
ciao,
il log di apache sarebbe parecchio utile per capire come l'hack è avvenuto. sia che si tratti di un trojan (o back door), sia si tratti di una lfi, sicuramente ve ne sarà traccia nel log citato.
difficilmente sarà un hack a livello apache o di stack ip, salvo mancati aggiornamenti a livello di sistema, ma in questo caso non puoi fare nulla, se non arrabbiarti con il provider... ripeto, la cosa è molto rara.
dato che il gestore sostiene che l'attacco è stato mirato al tuo sito, sarebbe buona cosa che fornisse gli elementi da cui ha dedotto una tale asserzione, in modo che si possa porre rimedio alla falla. in mancanza di tali elementi posso solo dedurre che abbia voluto lavarsene le mani rapidamente.
aggiornare è quasi sempre buona cosa, ma chi ha lavorato in ambiente bancario sa che vecchio molto spesso si traduce con stable ;D se non sappiamo come è avvenuto l'hack come ci si muove? è cercare un gatto nero in una stanza buia... vi ricorda qualcosa?
ciao,
marco
-
Il gestore di servizi ha detto che loro non forniscono assistenza sul softwae instalalto e che i log sono liberamente accessibili anche a me, effettivamente non ci avevo mai fatto caso via ftp c'è una cartella log dove sono presenti i log di alcuni giorni precedenti, ho torvato i log del 25 settembre, purtroppo non del 16 settembre data del primo attacco.
Ho isolato in un tutti log del 25 settmbre, ma come posso procedere? come faccio a trovare traccia dell'hacker?
avevo letto l'altro giorno, se lo trovo te lo posto, come fare un browser in the middle proprio con le integrazioni del login di facebook... per qs te l'ho detto, secondo me quel virus si propaga proprio in qs modo.
caspita... proverò a cercarla anche io che se la trovo provo ad applicarlo per vedere se anche la mia estensione di facebook è vulnerabile :-\
Grazie.
marco
-
ammesso che ci sia traccia...
comunque nei log è indicata la request fatta cosa ci abbiano scritto proprio non lo so ma qualcosa di diverso da ciò che gli sta accanto sicuramente.
ecco la tecnica che ti dicevo man in the browser ..browser in the middle... abbastanza nuova, uno dei più efficaci attacchi al dom ... hacker 2.0! :)
http://www.owasp.org/index.php/Man-in-the-browser_attack
M.
-
Ma fortunatamente sembra che il computer di chi amministri il sito debba essere prima infettato da un trojan.
La scansione antivirus è terminata, gli ho fatto scansionare perfino i file zip ecc. Ora credo che posso affermare che sul pc non ho nessuna minaccia. Ma ho letto che il torjan intacca il broswer, basta fare un "ccleaner" e mi ripulisce il broswer? o conviene reinstalalrlo?
ammesso che ci sia traccia...
comunque nei log è indicata la request fatta cosa ci abbiano scritto proprio non lo so ma qualcosa di diverso da ciò che gli sta accanto sicuramente.
Emh non sono molto pratico...
il log è una lista molto lunga fatta in questo modo:
indirizzo ip - - [25/Sep/2010:00:01:40 +0200] "GET /foto/ultime-aggiunte.html?func=detail&id=1499 HTTP/1.1" 301 483 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"in questo caso la request è GET seguito appunto dalla vera e propria request, ma nel caso ci fosse qualcosa che non và come me ne accorgerei?
Posso guardare mica solo i log di errore che sono più sintetici? o un hack non genera errori?
Grazie.
-
calma, conoscete il principio "Occam's razor"? (lasciate da parte le interpretazioni da telefilm...)
mandami un link, via PM, al file di log del giorno in cui SICURAMENTE è avvenuto l'hack, e vediamo in che è successo.
immagino che anche maurizio sia curioso :D
ps: l'hack, quando riesce, non genera errori :(
ciao,
marco
-
GET /foto/ultime-aggiunte.html?func=detail&id=1499
questa è appunto una normale richiesta get, ma può anche essere post (nel qual caso nn ricordo come e se logga)
siccome deve essere iniettata una var troverai cose strane dove c'è = a qualcosa
func=possibile_riga_iniezione&id=possibile_riga_iniezione
Veramente strano che tu nn abbia nulla sul pc, come ti dicevo, da quella scansione su anubis risultavano molte cose manipolate su un browser..
Disinstallare non so se serva qualcosa... non sono molto pratico di windows
M.
si scusa... ho cliccato perchè ormai avevo scritto ma segui Marco :) che sei in buone mani anche se dubito ci sia qualcosa nei log se è il tipo di attacco che ti ho segnalato, quando è successo a me ...nessun log :)
cmq si sono sempre curioso ...
-
manu_develop,
mi sono espresso male, l'antivirus ha torvato:
numero di infiltrazioni : 226
si torvano tutte in c:\user\marco\AppData\roaming\m
mi dice che sono tutti: win32/bagle. Un worm - era un worm parte di un ogetto eliminato
nel post di prima mi rallegravo dato che per fortuna per fare l'attacco broswer in the middle sfruttando il facebook connect, c'è bisogno che si instalalto un trojan sul pc di chi ha accesso provilegiato al sito, quindi difenendo al massimo il mio pc, l'estensione facebook connect non dovrebbe essere pericolosa, o ho capito male?
marco ti ho inviato via pm il link allo zip del file di log davvero tante grazie per la disponibilità ad aiutarmi a spulciarlo.
E grazie mille a tutti e due per l'enorme aiuto che mi state donando, sono anche io molto curioso di sapere come sono entrati.
-
ovviamente senza avere accesso alla macchina è difficile capire che sia successo, ma nel log vi è qualcosa che non quadra:
67.91.190.165 - - [25/Sep/2010:07:34:45 +0200] "POST /includes/post.php HTTP/1.1" 200 2015 "none" ""
questo file non è di joomla... possibile, ma improbabile, felice di sbagliarmi, che sia stato installato da qualche estensione... me lo mandi?
ciao,
marco
ps: la caccia all'hacker è un lavoro lungo... :(
ps2: è lungo... questo è solo un colpo d'occhio...
-
:) quello dovrebbe essere uno...
67.91.190.165
OrgName: XO Communications
OrgId: XOXO
Address: 13865 Sunrise Valley Drive
City: Herdon
StateProv: VA
PostalCode: 20171
Country: US
RegDate:
Updated: 2008-01-14
Ref: http://whois.arin.net/rest/org/XOXO
ReferralServer: rwhois://rwhois.eng.xo.com:4321/
M.
-
Wow davvero complimenti :D sei riuscito a trovare l'ago nel pagliaio!
la caccia all'hacker è un lavoro lungo...
bè però direi soddisfacente, se fossi riuscito a torvare io quella linea di codice sarei stato felice per na settimana XD
67.91.190.165
OrgName: XO Communications
l'hacker dunque si trova negli stati uniti ed utilizza la XO come providers
Comment: Please report spam and viruses to abuse@xo.net
fonte http://whois.domaintools.com/67.91.190.165
Posso mica chiedere alla xò di mandarmi i log di attività di quell'utente verso il mio sito, così viene a galla come ha fatto?
Grazie mille ancora!
-
one shot, one kill! ;D
<?php
eval (base64_decode([color=red]XXXcensured![/color]));
?>
e questo è il nostro cavallo di troia: ecco da dove sono entrati.
è quasi scontato che ce ne siano altri, segui la procedura che ti avevo inviato per PM.
ciao,
marco
-
controllando da dei backup quel file è presente già da luglio!
Chissà perchè ce lo avevano messo senza mai usarlo.
Thank you ;D
-
Salve, credo di avere il medesimo problema che avete trattato in questo topic.
il mio sito www.dolphinstuningclub.it l'ho sempre tenuto aggiornato man mano che sono state pubblicate le varie versioni di joomla, ma mi ritrovo ugualmente con questo problema.
Ho provato diversi dei vostri consigli, ma ancora non riesco a trovare una soluzione ed accedendo al sito da google vengo reindirizzato altrove, ovviamente, scrivendo direttamente l'indirizzo nella barra tutto sembra ok.
Ho fatto la scansione con Anubi, ma non sono in grado di interpretare come si deve i dati di log.
C'è qualcuno che riesce a darmi una mano? Nel caso ditemi di quali dati avete bisogno.
Grazie in anticipo per la disponibilità.
Valentino
-
Ho provato ad accedervi tranite google ma visualizza correttamente il sito.
Comunque non basta tenere aggiornato joomla ma anche tutte le sue estenzioni.
-
ed accedendo al sito da google vengo reindirizzato altrove
Valentino
ad esempio dove? ci mandi il link della pagina dove arriveresti?
-
Salve sono il prof. Gianni anch'io ho avuto lo stesso problema e ho ripulito tutto il codice. Ma la mia domanda è come posso prevenire gli attacchi? Dal file di log pare che l'attacco sql injection sia stato fatto su joomlapack 2.1 b1. Qualcuno sà aiutarmi?
-
Ma la mia domanda è come posso prevenire gli attacchi?
io eviterei in partenza una gara a chi tiene il kungfu più tosto..
fai le copie del sito e conservarle in luogo sicuro e se sei su un server condiviso avvisa sempre l'assistenza hosting dell'accaduto, ti risponderanno sempre che non c'entrano niente loro ma avvisali lo stesso.
-
http://forum.joomla.it/index.php/topic,117151.0.html
M.