Joomla.it Forum

Non solo Joomla... => Sicurezza => : devil_cp 15 Feb 2013, 12:21:07

: [RISOLTO]Attacco su 2.5.9
: devil_cp 15 Feb 2013, 12:21:07

Ciao,

credo di aver subito un attacco sulla versione 2.5.9 con tutte le componenti aggiornate.

Mi sono ritrovato tutti gli untenti modificati con stessa userneme e stessa password sul db.

Ho ripristinato e tutto sembra essere tornato a posto.

Suggerimenti?

Grazie

: Re:Attacco su 2.5.9
: BelinBelan 15 Feb 2013, 12:25:49

Ciao,
se quel che dici corrisponde al vero, supporrei un attacco sql-injection.. c'è una lista di componenti sul sito joomla che mostra tutte le vulnerabilità conosciute e i componenti sconsigliati... guarda un po' se in quella lista "rossa" trovi qualcuna delle tue.. :)

: Re:Attacco su 2.5.9
: devil_cp 15 Feb 2013, 12:42:07

Sto verificando.

Grazie

: Re:Attacco su 2.5.9
: devil_cp 18 Feb 2013, 17:39:58

Non avevo utilizzato alcuna delle componenti segnalate.

In primis tutto è nato da una mia dimenticanza: capcha mancante su form di contatti Fox Contact.

Ora ho rimendiato ed in più ho trovato lo script utilizzato, dal quale ho preso qualche spunto per aumentare i controlli su quanto inserito dagli utenti.

: Re:[RISOLTO]Attacco su 2.5.9
: BelinBelan 18 Feb 2013, 18:40:44

Ciao,
confermi che l'attacco si sql-injection è passato per Fox-Contact?  :o

Sarebbe interessante sapere se è davvero così vulnerabile...

Grazie per la preziosa segnalazione.

: Re:[RISOLTO]Attacco su 2.5.9
: BelinBelan 18 Feb 2013, 18:45:24

Per ora nel forum di Fox, si parla di "vulnerabilità gravi scoperte testando il componente su un sito..."

Segnalazione "vaga" di un Utente del Forum stesso... ???

: Re:[RISOLTO]Attacco su 2.5.9
: mau_develop 18 Feb 2013, 19:17:41

Per ora nel forum di Fox, si parla di "vulnerabilità gravi scoperte testando il componente su un sito..."
-------------------------------------------------------------------------------------------------------------------------------------------
dove? ... metti un link pf?

: Re:[RISOLTO]Attacco su 2.5.9
: BelinBelan 18 Feb 2013, 19:35:31

Ecco il link:

http://www.fox.ra.it/forum/5-support/7665-security-concern.html

E' una segnalazione "vaga" ma se la sommiamo a quanto afferma devil_cp, due indizi fanno un sospetto  :D

: Re:[RISOLTO]Attacco su 2.5.9
: mau_develop 18 Feb 2013, 21:19:03

beh il tipo dice che ha lanciato un tool.... ora, se sapesse pure usarlo ci sarebbe voluto 1,5 sec per testarla quindi direi che l'attendibilità è + o - 0 ... però...
volevo dare un occhiata a quell'estensione,... l'ho scaricata... l'ho aperta e nn ci ho capito nulla di come l'ha scritta :)

: Re:[RISOLTO]Attacco su 2.5.9
: BelinBelan 18 Feb 2013, 21:22:54

Si ho letto la "vaghezza".. e non ho alcun strumento per pensare positivamente o negativamente.. ;)

Però... ho notato un bel po' di siti joomla che ultimante la stanno usando... aspettiamo di sentire se sono stati "bucati" o meno...

Qui nel Forum ho letto di sql-injection in cui si sono trovati tutti gli account rinominati... :o vai a sapere se avevano fox-contact... ;D

: Re:[RISOLTO]Attacco su 2.5.9
: devil_cp 19 Feb 2013, 09:07:40

Io so per certo hanno postato nel contenuto del messaggio uno script che poi è rimasto nei log.

: Re:[RISOLTO]Attacco su 2.5.9
: BelinBelan 19 Feb 2013, 09:10:27

Buongiorno,
non dubito della tua esperienza, anzi... nel forum del sito del produttore ancora non se ne parla e ripeto, ultimamente alcuni qui hanno postato d'aver avuto il tuo stesso problema e se fosse confermato che anche loro avessero avuto installato fox-contact sarebbe quasi certamente la "prova del 9" sulla vulnerabilità di questo componente che in parecchi iniziano ad usare... :-[

: Re:[RISOLTO]Attacco su 2.5.9
: mau_develop 19 Feb 2013, 11:51:06

se il log registra errori sicuramente o quello non è l'esploit o è solo parte di esso.
Per funzionare un esploit deve non far fallire il processo... altrimenti cosa esploiti?
Inoltre se hanno cambiato tutti gli users non lo hanno certo fatto con una injection sql la quale non riuscirà mai a scrivere nulla su un db, solo a leggere.
Come dicevo prima non si può imputare una presunta vulnerabilità... se è presunta sai qual'è e se sai qual'è basta che la provi altrimenti è aria fritta.
Questo non assolve l'estensione dalla possibilità di contenere qualcosa che non va ma non puoi segnalare che con un tool hai trovato qualcosa... se fai girare un tool su joomla te ne segnala almeno 10 di "cose" ... che poi nn portano a nulla, nessun tool sostituisce l'intelligenza e il know-how.
Mi sarebbe piaciuto controllarla ma è un casino e diventerebbe un lavoro... per cui nn mi interessa, che lo faccia lo sviluppatore :)

: Re:[RISOLTO]Attacco su 2.5.9
: BelinBelan 19 Feb 2013, 11:53:51

Condivido.
Alla prossima che leggo di "utenti" modificati, proverò a chiedere se hanno fox-contact  ;D
ciao.

: Re:[RISOLTO]Attacco su 2.5.9
: mau_develop 19 Feb 2013, 12:06:15

...prova anche a chiedere anche quali scemenze sconosciute hanno installato e quante smanacciate hanno fatto per risolvere problemi o esigenze... tanto quelle o non se le ricordano o non gli danno importanza o non te le dicono... basta anche una scemenza nel template... sai quanti copiano e incollano stringhe di codice senza nemmeno accorgersi dei problemi che causano? ... l'importante non è mai solo il risultato.

: Re:[RISOLTO]Attacco su 2.5.9
: BelinBelan 19 Feb 2013, 12:08:30

E già... e magari Template hackerati o componenti scaricate da siti russi, cinesi o di chissà dove giusto per non avere quella "linea con il nome del componente" (leggi copyrigth) e vabbè...sarebbe un discorso troppo lungo e off-topic  ;D

: Re:[RISOLTO]Attacco su 2.5.9
: devil_cp 25 Feb 2013, 15:10:39

Purtroppo abbiamo provato ad indagare e a cercare tra le componenti codice malevolo. Abbiamo trovato anche lo script che è stato utilizzato, ma analizzarlo e capire con esattezza porta via tempo e come già accennato da qualcuno non può diventare un lavoro.

Se sento altre segnalazioni o lamentele al riguardo della componente vedrò di far fattor comune.