Joomla.it Forum
Non solo Joomla... => Sicurezza => Topic aperto da: 56francesco - 04 Mag 2014, 12:55:02
-
Ho tralasciato per qualche tempo la cura dei siti e quando l'ho ripresa mi sono accorto di essere stato riempito di monnezza dalla azione di qualche spammer, anzi i vari joomla si sono autoriempiti di monnezza fino quasi a saturare il server fisico dove sono ospitati.
Mi spiego meglio:
- arriva al sito una richiesta sbagliata e joomla 2.5 alloca nel file error.php una riga con un messaggio di questo tipo:
2014-05-04 04:31:12 INFO 146.0.74.208 Joomla FAILURE: Nome utente e password non corretti o non hai ancora ututto bene? certo ma ripetete l'operazione ogni 1.75 minuti per diversi giorni su diversi siti e poi fate i conteggi, sono giga e giga di monnezza che i diversi siti nel loro complesso hanno allocato nel server fisico, per quanto possa essere ampio il disco a lungo andare andrà in overflow.
e ho notato che joomla 3 allora molto più messaggi e molto più lunghi (nelle intezioni loro esplicativi)
-------
ovviamente ho ripulito tutto, e grazie ai diversi messaggi sui diversi siti 2.5 ho messo in sicurezza anche i siti ancora in 1.5 e di altro tipo, non era questo il fine di questo messaggio.
piuttosto ho constatato che:
a- hanno preso di mira quei siti che per la loro caratteristica hanno necessità di apparire anche in quei paesi da dove proviene lo spamm (ma dubito che l'ip abbia ancora un significato geografico) o comunque quei siti di interesse sovranazionale.
b- le risorse utilizzate sono state maggiori nei siti che contengono interessi economici o che potrebbero essere economici.
c- gli ip utilizzati sono segnalati come ex spammer che utilizzavano tecniche oramai in disuso e che da mesi non ricevono più segnalazioni per quelle tecniche, ciò significa che sono manovrati da professionisti in continua evoluzione.
--------------
questo per me significa che sorgono necessità al momento senza risposta e accorgimenti da apportare a joomla:
a- serve una macchina capace di stoppare questo genere di azione invasiva almeno a livello di sistema operativo o perlomeno di pannello di gestione dei siti (e mi pare che qualcosa in giro ci sia)
c- diventa necessario utilizzare la tecnica dell'override della lingua (o modificare il file language) per accorciare il messaggio di errore di default, perchè se ad esempio il messaggio " Nome utente e password non corretti o non hai ancora un account." contenesse la metà di caratteri oppure fosse un codice di tre caratteri l'azione di quei soggetti diventerebbe meno efficacie e perlomeno se avessero il fine di buttar giù l'intera macchina dovrebbero faticare molto ma molto di più.
----
Inoltre resta la curiosità di capire come mai questi signori non vengano presi mai per una orecchia e gettati in una fetida cella... lascio a voi le risposte personali, io mi tengo la mia.
-
ed insiste..
2014-05-04 12:48:56 INFO 188.169.28.116 Joomla FAILURE: Nome utente e password non corretti o non hai ancora un account.solo
dalle 2014-05-04 12:45:20
alle 2014-05-04 12:47:40
joomla 2.5 ha inserito ben 22 volte quella stessa riga, ovviamente perchè lo spammer a sua volta ha provato a forzare il sito, ma le intenzioni dello spammer quali sono?
vuole bloccare il sito mandando in overflow lo spazio disco?
oppure che altro?
-
Quei messaggi sono uguali ai log del server, io imposto la rotazione in modo che non superino mai certe dimensioni, infatti per alcuni siti mi sono ritrovato in passato un log del server superiore a qualche giga. Non sò però se si può toglier quel file da joomla o impostare una rotazione anche per esso.
-
quindi non capita solo a me.
con gedit e con un pc con 3 giga di ram aprire un file error.php di quelli pesanti è difficoltoso, molto difficoltoso... il doppio processore comincia a ballare la rumba e immagino che un povero cristo di utente si impaurisce e pensa che gli stanno fondendo l'hd con qualche intrusione, le prime volte l'ho pensato anche io.
sempre con gedit si riesce a gestire il file con ctrl h e sostituendo le stringhe di testo con unblank, a quel punto si possono leggere gli ultimi indirizzi IP che lo spammer ha usato e quindi provvedere ...
in breve htaccess diventa kilometrico e di conseguenza sale la tentazione di bloccare l'intera regione
e anche questo potrebbe essere un fine per lo spammer,
tenere isolate determinate aree geografiche dal resto del pianeta o perlomeno costringere siti di un certo genere a compiere un gesto di karakiri nei confronti di ampie fasce di popolazione.
ipotesi alquanto complottiste, ma come giustificare l'investimento dello spammer in risorse di rete e pure energia elettrica ecc...? lo spammer gratis non lavora, neanche se lo impicchi.
e comunque a queste condizioni agli hosting non conviene mica star li a combattere lo spammer, finisce lo spazio disco? bene, pigliane uno più grande che hai un sito importante...
cli chiedi cosa fare con quel problema? ahhhrrrrggg colpa tua che hai dimenticato la sicurezza..
insomma è un fenomeno prima di tutto economico, ma potrebbe essere anche molto altro.
fatto sta che con i messaggi kmetrici che ho visto di joomla 3 questi spammer coglieranno l'occasione e ci andranno a nozze mentre gli hosting invece, pure.
-
- arriva al sito una richiesta sbagliata e joomla 2.5 alloca nel file error.php una riga con un messaggio di questo
scusate ma in quale posizione si trova questo file error.php di Joomla che aumenta mano a mano di dimensione?
-
scusate ma in quale posizione si trova questo file error.php di Joomla che aumenta mano a mano di dimensione?
???
root
cartella logs
PS
precisazione, si trova nella 2.5
nella 1.5 ci sta la cartella ma non il file,
nella 3.x non saprei perchè ancora non ne installo uno.
-
..solo se abiliti i log.... roba inutile.
Cosa cercano? ... nulla,vengono da proxi e games servers fuzzando quà e la dove trovano impronte che il tool riconosce.
Solitamente non usano 0day ma solo vulnerabilità note per cui se tutto è aggiornato non c'è problema.
Fare attacchi di bruteforce al login di joomla è da deficienti o sperano nell'incontro di un loro simile che usa ancora "forzamilan" come pw.
Cosa possono causare? ... nulla se non occupare thread del server.
Cosa possono causare in Joomla? ... secondo me J oltre i log ha anche il redirect che ti fa arrivare facilmente a dossare il db
... ma a che serve abilitare i log o il redirect?
-
Io ho installato la 3.2.3 al 10/3
error.php pesa 157 kb ed ha 1452 records
non mi preoccuperei per lo spazio
quando arriverà a 10 mb lo cancello cioè tra anni
-
e continuano...
dal 2014-05-05 01:58:30
al 2014-05-05 02:13:45
2014-05-05 02:13:45 INFO 190.187.12.77 Joomla FAILURE: Nome utente e password non corretti o non hai ancora un account.per 9,2 kB (9154 byte)
ragazzi non sono d'accordo con voi a sottovalutarli.
-
..solo se abiliti i log.... roba inutile.
. secondo me J oltre i log ha anche il redirect che ti fa arrivare facilmente a dossare il db
... ma a che serve abilitare i log o il redirect?
in effetti il redirect è pieno di immondizia ma questi sono gli spider degli "statistici" del tipo
index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form
cioè di quei simpaticoni che fanno statistiche su come sono fatti i siti webbe e su che estensioni usano...
e chissà che non sono gli stessi soggetti a fare le due cose contemporaneamente?
dopotutto come dicono ora quelli del marketing, se il cliente paga, perchè no?
PS
dove il "perchè no?" per essi è unicamente un nerboruto gendarme che li accompagni a c. in c. in una fetida cella, quindi abusano dei diritti garantiti dalla costituzione.
-
ok, ora capisco meglio, ho trovato il file nella cartella log come indicato. Ma non ho trovato il parametro per abilitarli e disabilitarli. Di default sono attivi?
-
Si, mi pare che di default in Joomla 2.5 e Joomla 3 siano attivi, ed anche impostando il parametro della configurazione globale "Rapporto errori" su Nessuno continuano ugualmente ad essere compilati.
Qui ci vuole una FAQ nel wiki, vedo di prepararla :)
-
Ok, FAQ creata:
http://www.joomla.it/mediawiki/index.php?title=Joomla!_2.5:Domande_e_Risposte_FAQ#Perch.C3.A8_lo_spazio_occupato_sul_server_dal_sito_aumenta_anche_senza_caricare_nuovi_file.3F
controllate per cortesia se ho scritto correttamente.
Volevo aggiungere anche il componente "Motore di ricerca" che di default è disabilitato, ma poi ho visto che nelle opzioni ha impostato un limite di record che può inserire nel database, quindi questo non può causare grandi problemi sul lungo periodo.
-
volevo scrivere due righe anch'io sulle problematiche che si possono creare usando questi strumenti di J o messi a disposizione dal server, il problema è che spesso tutto può dipendere dall'ambiente dove gira Joomla.
Server dedicati etc è difficili riempirli di monnezza e metterli a sedere perchè ti ci vuole talmente tanto tempo che l'admin pone rimedio.
Spesso i limiti imposti da un servizio possono diventare dannosi... vedi il limite di query... spazio db...spazio files... basta raggiungerli che in pratica provochi una negazione dei servizi per i nuovi visitatori.
I limiti vanno sempre valutati con attenzione....
I campi text dei form senza un max char mi permettono di inserire enormi quantità di dati finchè non interviene il limite di mysql; stesso discorso per immagini e altri contenuti che si consente di caricare agli utenti.
Se ci sono poi "handling" di cui si può occupare il server perchè farli fare ad un componente?
Perchè costruire un plugin di redirect se lo fa già htaccess in modo egregio?
un server ha già dei log "tarabili" perchè loggare gli errori di joomla?
Perchè questa dannata tendenza di riuscire a far fare di tutto a chiunque?
Ammesso che tu riesca ti manca poi la consapevolezza di ciò che hai fatto che mai nessun tool ti può risolvere
-
Se ci sono poi "handling" di cui si può occupare il server perchè farli fare ad un componente?
Perchè costruire un plugin di redirect se lo fa già htaccess in modo egregio?
un server ha già dei log "tarabili" perchè loggare gli errori di joomla?
saranno le stesse domande che si sta ponendo lo spammer che ho infastidito in questi giorni.
la vita dello spammer non deve essere mai troppo poco difficile, quindi tutto ciò che lo danneggia deve essere considerato benvenuto.
-
aggiornamento:
proprio ora ho aperto il logs del sito più preso di mira dallo spammer
file error.php pulito, e redirect intonso
è stata dura, una intera giornata e mezza di osservazione su tutti i siti della macchina ma almeno per oggi si è stufato a cambiare ip, e il fatto che cambiava ip significava che si accorgeva del ban.
per il resto vedremo.. domani è un altro giorno.