Post

1

Sicurezza / Re: Exploit Web Attacker

« il: 27 Mar 2009, 20:04:50 »

E aggiungerei una cosa non da poco: se il server su cui hai il sito ha una versione di php precedente alla 5... cambia host o chiedi che aggiornino ad una versione 5 o superiore.

Le versioni di php precedenti alla 5 hanno un bug di sicurezza sfruttabile da chi non ha di meglio da fare nella vita che rendere la nostra ancora più complicata

Non è assolutamente vero, php4 lato secuirty viene mantenuto comunque.

E.

2

Sicurezza / Re: Consiglio Tecnico

« il: 20 Feb 2009, 14:47:28 »

Da poco mi è stato hackerato il sito mi hanno modificato la index con un trojan da un cracker. Il sito era off line ovvero era in costruzione e quindi vi era solo il logo e il consuento modulo nome utente e pass. la mia domanda è la seguente:

Se cambio i permessi sulla index principale e li setto a 444 potrei aumentare la impenetrabilità della stessa? Ho già settato dopo l'attacco la index.php del template da 644 a 444 per essere più sicuro ma ho notato che il cracker mi ha modificato la index principale della rooto di joomla.Ho già preso altre contromisure in termini di sicurezza ma non sò se bastino per evitare altri attacchi tenendo conto che joomla è già alla 1.5.9

Vi ringrazio in aticipo sono un piccolo principiante in termini di sicurezza

Buongiorno,

Come credo sappia le pagine sono interpretate essendo scritte in linguaggio PHP, quindi a livello generico non e` che cambi molto con la modifiche di permessi che lei ha apportato.

Se l`attaccate ha sfruttato una falla riguardante inclusion/Remote execution/ecc ha comunque privilegi di utente (o webserver) dipende dalla configurazione dello stesso.

Per quanto riguarda la messa in sicurezza, come ho gia` avuto modo di dire e ri-dire le conviene affidarsi a professionisti (se il sito tratta dati critico/confidenziali), al contrario se invece non e` cosi` puo` leggere i thread in archivio che fanno comunque una panoramica sulla questione dando suggerimenti di piu` basso profilo ma pur sempre utili per una piattaforma che non contiene materiale particolarmente riservato e critico.

3

Sicurezza / Re: phpmyadmin: sicurezza?????????

« il: 20 Feb 2009, 02:47:09 »

Magari mi sbaglio ma... provate anche voi per favore e ditemi cosa vi succede, mi raccomando, non toccate nulla! 

stavo cercando in google se la tabella "jos_downloads_repository" è tipica di joomla o è un residuo dell'installazione di remository: cercate con google "jos_downloads_repository" cosa vi salta fuori come primo risultato?
a me "phpMyAdmin" del sito spagnolo https://www.icd.go.cr con link a "https://www.icd.go.cr/phpmyadmin/tbl_structure.php?db=www_icd_go_cr&table=jos_downloads_repository&lang=en-utf-8&convcharset=iso-8859-1&collation_connection=utf8_unicode_ci&token=b625538b07d68c3774cd8415c60f8344"

una volta aggiunta un'eccezione per il certificato scaduto, con firefox, entro nel pannello di amministrazione di phpmyadmin!!!  e posso fare qualsiasi modifica!
e per fortuna che è su https...

Se il sysadmin ha dubbia intelligenza di chi e` la colpa?
PhpMyAdmin di suo offre un login per gli utenti, ma qui sembra esserci una modifica alla base voluta da chi gestisce la piattaforma.

Quindi non capisco la domanda e il titolo del thread.

4

Sicurezza / Re: Protezione da sql injection

« il: 15 Feb 2009, 19:40:08 »

Ciao a tutti ho messo una form nel sito da cui un utente può inserire dei dati e eseguire delle query attraverso uno script php ad un database mysql. Joomla prevede qualche protezione di default agli attacchi sql injection o devo gestirmi io linput dell' utente? Grazie.

Saluti.

Ovviamente devi gestire il controllo dell`input del tuo script.

Joomla lo fa di suo per i script core che trovi, ma se ne aggiungi di esterni e` ovvio che il controllo deve essere scritto ed implementato ammeno che l` author stesso non l`abbia gia` implementato nel prodotto che vai ad utilizzare.

5

Sicurezza / Re: Come capire se l'Host è sicuro?

« il: 12 Feb 2009, 16:26:27 »

Salve, di recente ho avuto 3 dei miei siti attacato da Hacker.
Nonostante gli aggiornamenti effettuati, essi sono riusciti nel loro intento. Come faccio a capire se il problema deriva da aggiornamenti di Joomla e componenti, o se dipende dall' Host?
I server utilizzati sono: Corescure, sgaragnao e Tol.
Aiutatemi a capire come riconoscere un Host sicuro?

Generalmente va fatta una perizia a basso livello, non ci sono "dritte" che si possono dare cosi` .. se la cosa puo` interessarti comunque non esitare a contattarmi in privato.

skype: emanuele.gentili

6

Sicurezza / Re: Files modificati di continuo da Crackers.

« il: 07 Feb 2009, 04:51:20 »

Salve,
di recente ho subito continui attacchi con exploit sul sito con joomla 1.5.9 dopo aver quindi aggiornato tutto il possibile alle ultime versioni, ho continuato a subire modifiche nella index del template, cosicchè sto pensando anche di cambiare template.

Nel frattempo però ho fatto girare ogni ora, uno script sul server che mi avverte di eventuali modifiche eseguite su alcuni files nell'ultima ora, in questo modo sono sempre al corrente dei files modificati da malintenzionati.

Nelle ultime notifiche di questo script ho trovato il file "core" di circa 16 Mb, presente nella root di joomla 1.5

Volevo chiedervi se potete informarmi di cosa si occupa questo file, se appunto le modifiche subite sono affidabili cioè generate dal motore di joomla o sono state effettuate da altri.

Grazie.

Mi son permesso di modificare il titolo del thread visto che la parola "Hacker" non e` consona al contenuto.

Comunque, non basta controllare la documentroot, fossi in te farei un check piu` a basso livello. Non so se il server e` dedicato/virtuale o se sei semplicemente in hosting, ma non mi fermerei alla directory web, ci sono molti luoghi dove e` possibile depositare materiale malevolo per poi richiamarlo a piacimento.

Comunque, se vuoi maggiori informazioni non esitare a contattarmi via skype (emanuele.gentili).

7

Sicurezza / Re: sito hackerato :( butto via tutto?

« il: 03 Feb 2009, 15:22:20 »

oggi ho scoperto che un certo coco_nk4l si è divertito a defacciarmi il sito.
utilizzo joomla 1.5 ma non ricordo la sub version.
ho notato dalle statistiche che qualcuno ha raggiunto il mio sito cercando su google 'inurl:option=com_user site:it' riuscite a capire quale bug hanno sfruttato?
ho trovato nella root del sito anche un file shell.php è possibile che sia riuscito a scovare la password ftp? e quella di mysql?
thanks

Salve,

Hanno usato il Component Token Input Validation Vulnerability, nota vulnerabilità di Joomla che abbiamo fixato il 12 agosto dello scorso anno. La vulnerabilita` permette all`attaccante il cambio arbitrario della password dell`utente admin.
Accedendo da li, ovviamente, e` possibile fare upload di file ed avere accesso ai contenuti sensibili, quindi credenziali mysql ed ftp.

Fossi in te non mi fermerei all`apparenza e continuerei con dei check md5 sulle pagine e componenti.


Eccoti il relativo bollettino di sicurezza: http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html

Per domande ulteriori non esitare a contattarmi via skype.

8

Sicurezza / Re: Non so da dove entrano

« il: 25 Gen 2009, 15:02:12 »

Il motivo per cui non si è passati alle release successive è stato perchè uno dei nostri collaboratori ha effettuato una modifica al core di joomla.
Fare un aggiornamento a l'ultima release significa perdere queste modifiche e rifare tutto daccapo (stiamo considerando di passare a joom 1.5. appena possibile ma anche qui ci vorrà tanto lavoro e tempo dedicato)

Ho controllato i log, l'unica cosa che sono riuscito a capire (visto che un log a dimensioni di 3-5 Mb per un solo giorno) è che questi Bastar.. hanno utilizzato un 100tinaio di exploit per altrettanti moduli e componenti, in sostanza hanno provato di tutto anche su componenti e moduli che io non ho installato sul mio sito.

Le password (database, backend ed ftp) sono state cambiate

Adesso ho settato index.php(template) su 444 vediamo se adesso la modificano....

Salve,

prima di tutto, evita cortesemente di scrivere "bastard.." o robe simili, ponendoti con linguagio rispettoso. So che e` seccante subire certi attacchi, ma l`utilizzo di un linguaggio consono quando ti rapporti in questo forum e` necessario.

Se mi contatti in PM vedro` di darti una mano.

9

Sicurezza / Re: Attacco Hacker

« il: 24 Gen 2009, 10:27:38 »

Raga ho installato JoomlaWath sul mio sito web, e ho visto che tramite il sito netip.de si può sapere a quale zona (del pianeta) gli ip dovrebbero corrispondere. La cosa che mi ha fatto allarmare è che un nigeriano (almeno così sembra) si è andato a vedere la pagina della galleria (expose) la cosa è che ci è arrivato mettendo la frase:

Contatti "index.php?option=com_expose"

Cioè è andato a cercare proprio il componente expose...

Voi che ne pensate?

Ciao

l` attacker non e` necessariamente l` ip che tu vedi nei log, solitamente vengono usati proxy o macchine (precedentemente violate) come punti di appoggio per fare run di piccoli applicativi che fanno scanning (tramite i motori di ricerca) con determinate stringhe dei componenti, per poi attaccare direttamente ed includere un codice malevolo.

Anche qui se ci fossero maggiori informazioni potremmo vedere e analizzare il problema.

P.S. io ricevo una media di 30 attacchi al giorno, dai piu` disparati IP (macchine ponte anche innalzate in server istituzionali italiani ed esteri), l`importante e` sapere come proteggersi. :-)

10

Sicurezza / Re: Attacco Hacker

« il: 24 Gen 2009, 10:23:50 »

Non mi fermerei solo a pensare che forse gli hanno sottratto le credenziali FTP, le cause reali secondo me sono ben altre.

Sarebbe carino se elencasse anche le versioni delle varie estenzioni, ancora meglio se accompagnate dai log.

Il cambio di codice puo` avvenire in tanti modi, ve lo garantisco, quindi se ci sono altre informazioni relative ben vengano, altrimenti direi che e` il caso di chiudere il thread evitando di fare cattiva informazione

11

Sicurezza / Re: Sito continuamente hackerato

« il: 17 Gen 2009, 19:44:31 »

salve ho letto i vostri post sulla sicurezza del sito web ho rimosso tutti i moduli che non mi servivano in quanto il mio sito è stato continuamente hackerato cosa posso fare per proteggerlo?

E` necessario al fine di individuare il problema conoscere:

1) versione di joomla che utilizzi
2) versione e configurazione di PHP nonche` del webserver e relativi moduli attivi.
3) componenti esterni a quelli core e relative versioni di release
4) conoscere se all`interno dello spazio hai altri cms o applicazioni PHP
5) conoscere se dai possibilita` di registrazione agli utenti con relativa possibilita` di upload file.

Fossi in te, telefonerei al tuo hosting e mi incazzerei sulla questione LOG, visto che loro per legge devono averli e metterli a  disposizione non solo delle forze dell`ordine ma anche del cliente stesso.


per maggiori informazioni non esitare a chiedere qui.

12

Sicurezza / Re: la pubblicità sui nostri siti

« il: 16 Gen 2009, 19:10:02 »

ragazzi,

ma c'è una sezione in joomla.it  di scambio linking?

dobbiamo proporla!


o no?

sinceramente non la vedo molto utile..

13

Sicurezza / Re: Come avere la massima sicurezza possibile...?

« il: 15 Gen 2009, 15:05:46 »

si ma anche se non fai transazioni online e il sito ha grossa visibilita' xke offre un servizio pubblico diciamo che il commitente se ti cambiano la home si incazza come una iena!

ti assicuro che non servono 100.000 visitatori...gli spammer russi provano con qualsiasi sito basato su cms per avere un smtp gateway via php.

cmq i problemi sn altri...non il conf.php
problemi tipo sqlinjection etc...

Condivido pienamente questa analisi, non e` necessario avere 100.000 visitatori, i target vengono spesso presi ad hoc in base a ben altri parametri.

14

Sicurezza / Re: Troppi sistemi di sicurezza??

« il: 15 Gen 2009, 01:45:43 »

grazie della risposta sul configuration.php ma per il link che hai messo non ne vedo l'utilità sinceramente.

Mi riferifo alla citazione su Jsecure, componente si utile (ma non poi troppo sicuro).

15

Sicurezza / Re: Come avere la massima sicurezza possibile...?

« il: 15 Gen 2009, 01:25:53 »

diciamo che non ho apprezzato molto la tua risposta intrinseca di pubblicità a te stesso.

sarebbe stata molto + utile una esauriente spiegazione di tutti i sistemi che si possono usare su un hosting invece di farsi subito pubblicità.

Non e` affatto una questione legata prettamente alla pubblicita`, come ho detto e ri-detto, e ri-dico ora l`argomento e` molto vasto. Se si parla di sicurezza del CMS stesso, la discussione non esisterebbe, come gia` detto esiste un team di sviluppo ed un security team che quotidianamente fa auditing dei componenti nativi ed in caso di falle riscontrate rilascia le patch. Se parliamo di vulnerabilita` del demone che permette la visualizzazione del CMS, del linguaggio PHP in se,  di MySQL e della sicurezza delle password degli utenti e se vogliamo anche di social engeneering il discorso si allarga enormemente ed anche volendo non e` praticamente possibile dettare delle linee guida a 360° in un post del forum.

Se ti riferisci quindi alla security del CMS la risposta e` netta e logica, il team di sviluppo lavora costantemente alla sua crescita, quindi in modo teorico basterebbe seguire gli aggiornamenti rilasciati.


Se la domanda e` un`altra sono qui a disposizione.

So benissimo come si protegge un server etc ma la mia domanda riguardava SOLO la sicurezza relativa al cms...bastava rispondere dei permessi,htaccess,cambiare username di admin,usare pass non reversibili se joomla usa md5 etc...

Non ho risposto con questi argomenti perche` tutti presenti  all` interno dei file di documentazione di Joomla e del primo step di installazione, e cio` sta a presupporre che siano li per essere letti ed applicati


P.S. il riferimento ad aziende specializzate e` legato prettamente alla configurazione/debugging e auditing di componenti esterni a quelli core.

La professionalita` e la sicurezza di un prodotto dipende da un`infinita` di dettagli, inutile quindi dire che per un lavoro su piattaforme di alto Target il minimo che si possa fare, secondo la mia visione, e` rivolgersi a dei professionisti che analizzino nel dettaglio la situazione.

Non vederla come "pubblicita` o simile" e` un semplice dato di fatto, che ad oggi riceve sempre piu` riscontro, calcolando che le esigenze delle grandi societa` a volte virano su componenti poco raccomandabili e di dubbia fattura non contenuti all`interno dei pacchetti core (e quindi non certificati).

JSecure docet.

16

Sicurezza / Re: Troppi sistemi di sicurezza??

« il: 14 Gen 2009, 23:55:31 »

esatto al configuration.php va applicato qualche trattamento o spostato?

vi rimando a questo link per la discussione sulla "sicurezza" di Joomla, facendovi presente che comunque dietro al CMS c`e` un Security Team (di cui anche io sono membro) che si occupa di garantire e certificare la "sicurezza" del prodotto, facendo auditing del codice nativo e rilasciando patch quando vengono trovate falle di sicurezza.

http://forum.joomla.it/index.php/topic,59871.0.html


Per quanto riguarda il file di configurazione essendo interpretato su richiesta non va applicato alcun trattamento ne tantomeno spostato, poiche` richiamandolo da browser (come tutti gli script e le applicazioni interpretate) non sarebbe possibile la visualizzazione del suo contenuto.

17

Sicurezza / Re: Come avere la massima sicurezza possibile...?

« il: 14 Gen 2009, 23:49:20 »

Prima di chiedere ho cercato sul wiki ma non ho trovato risposta..
vorrei una semplice lista di cose da fare per avere il massimo della sicurezza con joomla visto che gestisco un sito ad alta visibilita'.

ringrazio tutti coloro che risponderanno

La sicurezza a 360° non esiste, ma ci si puo` avvicinare anche se il processo e` complesso e molto dispendioso. Questo richiede per la maggior parte l`ausilio di un societa` esterna che si occupa nello specifico di sicurezza. mi spiego meglio:

Le precauzioni che si possono prendere non sono solo strettamente legate al posizionamento di login preventivi per il lato backend e allo spostamento dell` URL canonico di amministrazione stesso.. la questione va vista un po` da piu` lontano, includendo demoni, plugin/componenti/moduli utilizzati, e script attivi.

In altre parole, come ho gia` spiegato in altri thread, se il sito e` personale e non tocca interessi monetari ne d` immagine, ci si puo` fermare all`uso dei login preventivi (magari gestiti dal webserver), altrimenti il mio consiglio e` quello di rivolgersi ad una societa` specializzata che possa curare tutti i livelli sopra citati.

18

Sicurezza / Re: Ma gli hacker cosa fanno?

« il: 11 Gen 2009, 18:25:51 »

beati ragazzetti...
non scrivo mai correttamente certi termini tra cui quello, per non darli in pasto ai motori di ricerca, anzi di solito li storpio ancora di più ..
per il resto non comprendo cosa non va nelle mie domande..

Passando sopra al termine con cui mi hai definito ed informandoti che l`indicizzazione del termine viene gia` fatta di suo come da nome del thread (per cui non c`e` bisogno di storpiare nulla), direi che e` forse il caso di chiudere la discussione pubblica e parlarne in modo diretto visto che il rapporto ora si pone di tipo 1:1.

Anche perche` se ri-leggi il tuo post le domande non sembrano reali ma retoriche, al punto che ti dai anche delle risposte (errando nel concetto e nel contenuto) alle questioni stesse.

19

Sicurezza / Re: 10-01-2009 Due importanti fix di sicurezza per joomla 1.5.x

« il: 10 Gen 2009, 20:00:33 »

Ottimo, notizia pubblicata con anche la parte di testo presa dal tuo sito.

Grazie per l'aiuto

p.s.
ho letto l'intervista su linux pro, complimenti!

bon perfetto. Grazie

20

Sicurezza / Re: Ma gli hacker cosa fanno?

« il: 10 Gen 2009, 19:59:54 »

imho
la sicurezza di un sito non dipende dal free o dal professional, non dipende dal piccolo o minimo volume di affari che gira sul sito..
qualsiasi sito è bucabile, riuscirci per uno o più acher dipende solo dal tempo che intendono dedicare alla sua "cura"...

chi sono gli acher?
e chi lo sa?
ragazzetti che giocano con il pc e il software del padre che lavora alla nasa?
addetti alla sicurezza che testano su siti altrui le proprie accortezze?
gruppi che per diversi motivi cercano una visibilità?
giovani? vecchi? donne? uomini? un po di tutto e di ogni nazionalità..

l'acker è comunque un giocherellone, ti fa rosicare un po, lascia la sua firma, il suo logo ma il sito dopo un po lo ripari e sei furbo cambi le password (tutte)..

Caro Francesco credo tu abbia un po di confusione per la testa.

Prima di tutto il termine e` "Hacker" e non acker, i significati dati alla parola sono molti, ma quello piu` strettamente idoneo letteral-filosofico sfocia in "Artigiano".

L`hacker non e` un giocherellone, l`hacker e` un tecnico/programmatore che non si ferma all`apparenza, un`uomo di cultura ed etica che utilizza il proprio know-how per la crescita (a 360°) della tecnologia.

Ci potremmo dilungare quanto vuoi su questo discorso, ma non credo sia questa la sezione adatta.

Io sono un Ethical Hacker e sinceramente mi sento anche un po offeso dalle tue parole, ma non ci do troppo peso, sentendo quello che di giorno in giorno (purtroppo) i media associano eroneamente (come te) alla parola Hacker, ci ho fatto quasi "il callo".

i cattivi veri ci sono ed hanno altri metodi, e quelli non usano usano lasciare segni ne loghi nelle pagine dei siti visitati,
ci entrano nei siti quando e come vogliono  senza bisogno di password e se decidono ti oscurano o ti fondono direttamente il server (e non metaforicamente)...
come fanno? chi sono?
bhe sicuramente alla loro "direzione" ci sono i padroni del codice proprietario, possono farlo e lasciarlo fare a chi decidono con programmi segreti o quasi, 
per via della conoscenza che solo loro hanno e se non lo fanno comunque potrebbero ed è la stessa cosa...
 

A questo vaneggio evito proprio di rispondere, forse e` meglio che ti fai una bella tisana e ci dormi sopra, sperando che tu capisca le boiate che hai scritto.

Suggerendoti, in oltre, di andare a vedere sulla ottima Wikipedia i significati di: Defacer, Cracker, Black Hat, Ethical Hacker ed Hacker ti saluto, sperando non ci sia ancora spazio per questa falsa informazione che purtroppo da tempo viene fatta.


Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO