Joomla.it Forum
Non solo Joomla... => Sicurezza => : Riverbit 22 Dec 2015, 12:34:54
-
Buongiorno a tutti! Sono nuovo nel forum.
Ho un sito bloccato dal mio provider di hosting, dove abbiamo scoperto una vulnerabilità su un componente non aggiornato SimplePie.
Il sito è su piattaforma Joomla 3.4.0 e la versione dell'estensione SimplePie è del 2004. Essendo un componente protetto, dal pannello di gestione delle estensioni, non riesco ne a disabilitarlo, disinstallarlo o aggiornarlo.
Avete qualche consiglio?
Grazie mille in anticipo!
-
Ciao Riverbit,
avete segnalato la vulnerabilità al team di Joomla.org ?
-
Ciao, forse mi sbaglio, anzi quasi sicuramente ;D ma potrebbe essere una delle vulnerabilità corrette con l'aggiornamento 3.4.6 (?)
Edit: infatti ho sbagliato nel pacchetto di update 3.4.5 -> 3.4.6 non c'è traccia di simplepie
-
Non sbagliavi, SimplePie viene sfruttato nell'attacco, ecco una stringa di esempio presa dal mio server:
/var/log/virtualmin/example.net_access_log:78.36.185.41 - - [14/Dec/2015:19:12:50 +0000] "GET /somepath HTTP/1.1" 301 237 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"
sembra che si usi SimplePie. Ma in realtà l'attacco cerca di acchiappare libraries/simplepie/simplepie.lib.php, che non fa affatto parte di Joomla! ma è stato messo là da qualche attacco precedente.
Il file simplepie.lib.php puoi cancellarlo senza tema; tuttavia considera che il tuo sistema è stato compromesso, probabilmente ci saranno altre backdoor, dagli una pulita.
-
Grazie rezor, in effetti l'ho scritto perche ho googlato un pò ed ho trovato un articolo che citava proprio simplepie, quindi con l'aggiornamento 3.4.6/7 stiamo tranquilli (?) almeno per questo
-
Stiamo tranquilli che non possono più usare questo exploit; ma se già hanno caricato una backdoor (cerca
- libraries/joomla/exporter.php
- libraries/simplepie/simplepie.lib.php
ma ce ne saranno altri) , io sto mettendo un po' di funzionalità nel componente Little Helper per aiutare la diagnosi, certo è codice che lascia molto a desiderare ma è un inizio, include alcune regole del JAMSS e altre che ho scritto per il JedChecker, altrimenti maldet, rkhunter, clamav, il caro buon vecchio grep... senza contare che poi ti devi anche andare a guardare il db.
-
guarda che simplepie è usato in joomla e sta nelle librerie legacy.
Per portare a termine l'esploit servivano dei vettori e simplepie faceva parte di questi
quì è spiegato benissimo come condurre l'attacco e anche perchè è stato fatto così
https://blog.patrolserver.com/2015/12/17/in-depth-analyses-of-the-joomla-0-day-user-agent-exploit/
-
Quindi qual'è la maniera più rapida per risolvere la questione?
Se ho un backup datato posso ripristinare quello e aggiorno la ver di joomla all'utlima? Può funzionare?
-
Si, ottima la strategia del backup; fai comunque una copia del sito attuale se hai dati di produzione che sono cambiati. Cancella completamente i files Joomla, e ripristina il backup; poi cancelli la cache e sei pronto ad andare; occhio che potresti ancora avere dei danni nel database; ma per quanto riguarda il filesystem, se cancelli e ripristini sei a posto
-
Gentilissimi! ora provo col ripristino