Joomla.it Forum
Non solo Joomla... => Sicurezza => : giusebos 24 Jul 2012, 16:27:10
-
Spesso trovo nella lista dei link da redirezionare link tipo questi:
http://miosito.it//dbadmin/scripts/setup.php
http://miosito.it//admin/phpmyadmin/scripts/setup.php
http://miosito.it//admin/pma/scripts/setup.php
http://miosito.it//databaseadmin/scripts/setup.php
http://miosito.it//phpmy-admin/scripts/setup.php
La mia domanda è: Qualcuno sta cercando di entrare in casa mia?
Questo succede con provider diversi e tipi di servizio diversi
Cosa stanno cercando inserendo quei link con il doppo slash "//" ?
-
.. ma chi li inserisce?
..dove? ..nel db?
..è una funzionalità che nn ho mai usato,...è quella delle mille tabelle?
che ti serve? .. così imparo anch'io, poi controllo e ti dico se è un comportamento corretto e se c'è qualcosa in quel componente :)
M.
-
Quel componente registra tutte le url che non esistono, permettendoti succesivamente di reindirizzare quegli indirizzi alla url più appropriata.
Il tipo esempio è quando cambi un alias, chi accederà al vecchio link perchè magari indicizzato avrà come risposta la tipica pagina 404. Il componente ti permette di correggere questa cosa facendo in modo di reindirizzare il contenuto non più esistente alla pagina più appropriata.
Purtroppo succede pure che registri anche indirizzi inseriti nel browser che non sono mai esistiti.
Quindi se qualcuno inserisce nella barra degli indirizzi:
http://www.miosito.ext/pippo-fa-la-pizza
il componente registra questo errore (nelle impostazioni possiamo anche fare a meno di registrare gli errori è nessuno si accorge di niente)
la mia era solo curiosità, è evidente che qualcuno sta cercando una porta di accesso attraverso qualcosa che non conosco.
-
Quel componente registra tutte le url che non esistono
------------------------------------------------------------------
...mi sa che me lo vado a guardare perchè detta così sembra il max delle idiozie :) .. e non credo che lo sia, o almeno ci sarà qualcosa per gestirlo...
così ti siedo il db in mezz'ora...
comunque sono semplicemente stringhe di fuzz, probabilmente se le inserisci in google con la dork inurl trovi anche a che applicazione appartengono.
M.
-
Quel componente registra tutte le url che non esistono
si gli errori 404...
Ho guardato con google e su molte pagine in modo abbastanza generico si dice solo che qualcuno cerca qualche falla.
Ora non ho incollato tutti gli url erano oltre 200, in più varianti, e spesso con dentro percorsi di cartelle anche di altri cms.
Secondo me sono prove da haker de noiartri che non riconosce nemmeno cosa si vuole violare...
-
si, però il problema è un altro... se io lancio un fuzz e le stringhe sono qualche milione capisci che qualche danno te lo faccio...
M.
-
La cosa devo dire è interessante, ma abbiamo (avete) allo stesso tempo scoperto una grande utilità del componente redirect: costituisce una sorta di "antifurto preventivo" nel senso che ci informa se qualcuno ha provato ad accedere a quale area del sito.
La faccenda diventa interessante e potrebbe rappresentare un punto di partenza per rivelare le eventuali future vulnerabilità del cms. Insomma, ora si hanno anche le stringhe e la procedura utilizzate dal presunto hacker registrate nel componente!
-
Ciao a tutti,
mi son posto la stessa domanda, credo siano tentativi di attacco, probabilmente robotizzati.
Un hacker mediamente intelligente farebbe un attacco finalizzato per un sito Joomla, e saprebbe che determinati path non sono presenti come standard nel CMS.
Forse e' finalizzato in base al tipo di host, ma anche li, mi sembra sia piu' intelligente vedere su che host e' il sito e fare una ricerca sulla configurazione base che ha l'host da attaccare, invece di andare a babbo.
Io ho pensato di reindirizzare gli indirizzi trovati su un mio sito (circa 150) alla pagina 404, anche perche' sto' sperimentanto (essendo ignorante in materia) su SEO.
Comunque credo che una buona gestione di questi errori, fatta a monte con il file .htaccess sia la cosa migliore.
E' solo un parere da profano, spero di imparare qualche cosa in piu'!!
Alex.
-
Io ho pensato di reindirizzare gli indirizzi trovati su un mio sito (circa 150) alla pagina 404, anche perche' sto' sperimentanto (essendo ignorante in materia) su SEO.
Alex, premett oche sicuramente in SEO sono ancora meno esperto di te, ma che senso ha reindirizzare - tramite il componente - gli errori 404... verso la pagina di errore 404?? Non ci vanno già da se?
-
il doppio slash è perché, essendo un attacco fatto in maniera automatica, è più semplice aggiungere uno slash in più piuttosto che torvarsi con uno in meno.
cioè, se nella mia lista di obiettivi ho siti presi a caso così:
http://sito.boh
http://secondosito.boh/
http://terzosito.bla
e voglio provare ad accedere a una determinata path ( /con/questa/ti/hacko ), preferisco avere indirizzi:
http://sito.boh/con/questa/ti/hacko
http://secondosito.boh//con/questa/ti/hacko
http://terzosito.bla/con/questa/ti/hacko
in modo da averli tutti corretti (il doppio slash è valido quanto lo slash singolo)
il tipo di attacco tenta di eseguire l'installazione di phpMyAdmin in caso voi non abbiate cancellato il setup.php dopo averlo installato in una subdrectory.
tutto cià è indipendente dal tipo di CMS od HOST che il vostro sito usa, dato che chiunque può installare phpMyAdmin in una subpath del proprio sito.
in questo modo, se trova un setup.php, ha accesso a tutto il vostro database se gli va bene.
-
io ho reindirizzato quei link alla home, ed il luogo di partenza di questi "attacchi" è la Romania.
In effetti ho avuto dei rallentamenti proprio nelle ore in cui rompevano le balle.
-
@Giovi:
si, in effetti suona male, ma ho una pagina personalizzata 404, il template ne ha una di default ma ma sembra che per l'indicizzazione la pagina "custom" sia piu' gradita. comunque sono esperimenti un po' cosi', vedro' con il tempo se effettivamente c'e' differenza.
@ladyr:
il tuo post e' veramente utile! grazie per l'informazione.
mi viene solo un dubbio sull'efficenza dell'attacco, non mi capita di avere installato mai nella directory del sito il phpMyAdmin.
e' un bene o male? (mai incrociare i flussi)
@giusebos:
per vedere l'origine dell'attacco? qualche log file?
-
per vedere l'origine dell'attacco? qualche log file?
Visto da pannello hosting
-
La cosa devo dire è interessante, ma abbiamo (avete) allo stesso tempo scoperto una grande utilità del componente redirect: costituisce una sorta di "antifurto preventivo" nel senso che ci informa se qualcuno ha provato ad accedere a quale area del sito.
La faccenda diventa interessante e potrebbe rappresentare un punto di partenza per rivelare le eventuali future vulnerabilità del cms. Insomma, ora si hanno anche le stringhe e la procedura utilizzate dal presunto hacker registrate nel componente!
In verità esiste il plugin di mmleoni già dalla versione 1.5 ed in un paio di miei siti quegli attacchi ormai sono giornalieri con cadenza tre o quattro fino a volte decine e decine.
-
ho guardato il plugin che fa questa "roba".
Non voglio mettere in dubbio il lavoro di nessuno perchè non ho tempo di mettermi a testare ma continua a non piacermi e non sono riuscito a dargli un senso soprattutto per il lavoro che fa fare ad un database quando non ce n'è assolutamente bisogno, ci pensa il server a redirigere le cose utili e quelle inutili è meglio siano "non trovate".
...poi...
// Attempt to ignore idiots.
if ((strpos($current, 'mosConfig_') !== false) || (strpos($current, '=http://') !== false)) {
// Render the error page.
JError::customErrorPage($error);
}
..no ...dai ...così sono gli idiots che ignorano te :)
... poi ... un dubbio...
$referer = empty($_SERVER['HTTP_REFERER']) ? '' : $_SERVER['HTTP_REFERER'];
... cioè se empty è vuoto... altrimenti spara dentro il referer.... omg! ma il referer in qualche modo si può manipolare... boh farà qualche chek prima...
$db->Quote($referer);
... è sufficiente? cosa si riesce a scrivere dentro il referer?
M.
-
non capisco che problema hai con questa funzione, lol
serve per reindirizzare vecchi URL non più funzionanti a nuovi URL. Niente di più niente di meno.
A me pare comoda.
-
nn ti preoccupare i problemi spesso me li creo... altrimenti che vita è, tutto va bene...sempre maledettamente bene...
perchè se puoi far fare un lavoro al server lo devi far fare sia alla tua applicazione che al tuo database?
che senso ha, se serve a ciò che tu dici, scrivere un url che non trova e che non ti appartiene?
M.
-
io avrei usato l'htaccess, infatti di solito uso quello
però anche così non è male, tieni traccia di URL vecchi e li vai a ridirezionare.
non è pensata per tenere traccia di URL mai esistiti, però inevitabilmente fa anche quello
-
A me questo componente ha risolto un sacco di situazioni in quei siti costruiti con altre tecnologie e rimpiazzati con joomla. Poi visto che c'è ed il reindirizzamento è attivato di default lo uso tenedo sottocontrollo gli indirizzi che produce.
-
però inevitabilmente fa anche quello
---------------------------------------------------
quell'inevitabilmente espone ad un potenziale abuso, quindi vulnerabilità, deve essere un po' più "pensato".
M.
-
in un paio di miei siti quegli attacchi ormai sono giornalieri con cadenza tre o quattro fino a volte decine e decine.
Allora si può affermare che i miei "sitarelli" (non) sono stati graditi dai rumeni :D
@giusebos: è vero che risolve problemi del genere, ma quando i siti sono fatti con tecnologie.. "dell'altra sponda" come fai? Sembra che i link .aspx non riesca a gestirli...
-
è vero che risolve problemi del genere, ma quando i siti sono fatti con tecnologie.. "dell'altra sponda" come fai? Sembra che i link .aspx non riesca a gestirli...
a manina come una volta.
-
@giusebos: speravo in una soluzione più innovativa.. ;D
-
come soluzione più innovativa, vale la forza del pensiero? :)
-
dipende.. che sintassi ha? ::)
-
vai vai vai - cambia cambia cambia.importante il punto alla fine e la ripetizione tipo mantra per tre volte dell'istruzione.