Autore Topic: [Risolto]Attenzione attacco Hacker!!!!!!!!!!!!  (Letto 5282 volte)

Offline Flaterik

  • Appassionato
  • ***
  • Post: 220
  • Sesso: Maschio
    • Mostra profilo
[Risolto]Attenzione attacco Hacker!!!!!!!!!!!!
« il: 09 Apr 2010, 10:11:09 »
Magari creo solo falsi allarmi o magari e' una cosa nota che non sapevo ma non c'e' mai abbastanza prudenza in questi casi.

Il mio sito ha subito ieri un'attacco da parte di un hacker (CmTr).

Ho notato che pochi minuti prima dell'attacco, e' arrivata una richeista di recupero password all'indirizzo email di amministrazione del mio dominio.


In seguito a questo, il sito non era piu' accessibile lato admine ha poi subito un defacing.

Era una cosa nota?


Suppongo abbia usato il metodo di recupero password di joomla bucare l'utente.

A tal proposito c'e' un metodo diverso per il recupero password che qeusto con l'inserimento di un codice per il reset non mi convince affatto
« Ultima modifica: 24 Apr 2010, 12:24:21 da Flaterik »
Il mondo strano ma la gente matta

mau_develop

  • Visitatore
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #1 il: 10 Apr 2010, 02:28:43 »
Il recupero password ha un problema che avevo gi segnalato tempo fa e avevo anche proposto una soluzione

http://www.spazioalchimia.it/laboratorio-di-sperimentazione/1-tutto-nasce-da-un-pensiero/51-joomla-lmd5-e-solo-un-opinione

ma non sfruttabile per violare un sito, viene sfruttato per entrare come amministratore visto che violando il db trovi solo l'hash con cui non possibile autenticarsi.

M.

Offline genoveffa

  • Nuovo arrivato
  • *
  • Post: 4
    • Mostra profilo
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #2 il: 12 Apr 2010, 08:04:47 »
Anche io ho avuto un attacco hacker da cmtr, controlla che nella cartella templates di beez non ci siano dei file nuovi tipo demon.php ed altri come la index.php

Offline consistenza buffa

  • Esploratore
  • **
  • Post: 59
  • Sesso: Femmina
    • Mostra profilo
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #3 il: 19 Apr 2010, 19:21:08 »
successo anche a me, stesso hacker. ma ora come poter rimediare???
ho recuperato il backend ma il front- end inaccessibile!
dove posso andare a guardare per rimettere le cose a posto?
"La comunicazione perfetta esiste. Ed un litigio." Stefano Benni

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #4 il: 20 Apr 2010, 22:41:02 »
ciao,
 prova a leggere qui:
http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

sarebbe comunque necessario sapere che accade esattamente quando accedi al front end (pagina bianca, errore, ...)

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline consistenza buffa

  • Esploratore
  • **
  • Post: 59
  • Sesso: Femmina
    • Mostra profilo
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #5 il: 22 Apr 2010, 12:57:33 »
http://www.graficanexus6.it/

avevo ricaricato tutto da capo ripristinando tutto ma poi...rieccoli qua... >:(
"La comunicazione perfetta esiste. Ed un litigio." Stefano Benni

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #6 il: 22 Apr 2010, 14:56:41 »
ciao,

Citazione
avevo ricaricato tutto da capo ripristinando tutto ...

questa frase non mi piace. se erano riusciti ad entrare nel tuo sito, il ricaricare tutto come era di sicuro per l'hacker era una seccatura, non un problema.

avevi:
. cancellato i files che non esistevano nel back up
. aggiornato all'ultima release di joomla
. aggiornato le estensioni indispensabili
. rimosso tutte le altre estensioni
. cambiato tutte le pw

fatto tutto ci?


ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline consistenza buffa

  • Esploratore
  • **
  • Post: 59
  • Sesso: Femmina
    • Mostra profilo
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #7 il: 22 Apr 2010, 15:51:21 »
Ok ho capito come agisce sto hacker:
Riscrive l'html del template in uso, ora non so come faccia ma i danni sono comunque minimi, non tocca altro.
quindi basta copia incollare (se ce l'avete) solo il codice HTML del template direttamente da backend.

Il problema sta nel fatto che il tipo modifica user e password del superadmin quindi per entrare da backend bisogna resettarli da phpMyadmin.

Io inoltre avevo la versione 1.5.1, ora ho aggiornato alla 1.5.15, sperando che sia abbastanza sicura da essere a prova di hacker turco...
"La comunicazione perfetta esiste. Ed un litigio." Stefano Benni

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #8 il: 22 Apr 2010, 16:11:44 »
... le estensioni, se no domani siamo punto a capo....

ciao
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline Flaterik

  • Appassionato
  • ***
  • Post: 220
  • Sesso: Maschio
    • Mostra profilo
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #9 il: 23 Apr 2010, 09:08:59 »
Il recupero password ha un problema che avevo gi segnalato tempo fa e avevo anche proposto una soluzione

http://www.spazioalchimia.it/laboratorio-di-sperimentazione/1-tutto-nasce-da-un-pensiero/51-joomla-lmd5-e-solo-un-opinione

ma non sfruttabile per violare un sito, viene sfruttato per entrare come amministratore visto che violando il db trovi solo l'hash con cui non possibile autenticarsi.

M.

Grazie mille, ho applicato la tua modifica.
Il mondo strano ma la gente matta

Offline ilvanni

  • Global Moderator
  • Instancabile
  • ********
  • Post: 7036
  • Sesso: Maschio
  • Giovanni Vacca
    • Mostra profilo
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #10 il: 23 Apr 2010, 09:20:22 »
Quindi hai risolto? Se s allora scrivilo nel titolo del primo post.

Offline Flaterik

  • Appassionato
  • ***
  • Post: 220
  • Sesso: Maschio
    • Mostra profilo
Re:Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #11 il: 24 Apr 2010, 12:24:01 »
Dire che ho risolto una parola grossa.
Diciamo che grazie alle dritte ho evitato questo tipo di attacco che si e' ripresentato e non e' andato a buon fine.

In realt chiedevo anche se c'era un metodo alternativo di recupero password per joomla e non ho avuto risposte a riguardo.
COmunque lo metto come risolto (cosa che tra le altre cose faccio sempre quando risolvo...)
Il mondo strano ma la gente matta

mau_develop

  • Visitatore
Re:[Risolto]Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #12 il: 24 Apr 2010, 19:54:54 »
grazie alle dritte ho evitato questo tipo di attacco
------------------------------------------------------

se questo vero, come spiegavo nell'articolo, vuol dire che hai un buco da qualche altra parte.
Quel "tricks" serve solamente ad evitare di dover craccare l'md5 della pw (che non poco se la pw complicata).
Quando esploitano la pw, con l'inj, hanno un print a video dove compare la variabile iniettata dell'hash md5, quello che vedi se apri la tabella sql.
Purtroppo ( :) ) l'inj pu essere solo di "estrazione", mai ...per ora tu puoi andare a scrivere nel db, se non in casi particolari.
Quindi, dicevamo, tu hai l'hash della mia pw, ma quello se vuoi te lo do io :) non ti serve andare nel db... ma cosa ci fai?

M.

Offline Flaterik

  • Appassionato
  • ***
  • Post: 220
  • Sesso: Maschio
    • Mostra profilo
Re:[Risolto]Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #13 il: 26 Apr 2010, 09:56:33 »
Quindi mi stai dicendo che, con la tua modifica risolvo solo in parte il problema. Ovvero gli impedisco di recuperare la password, ma il buco al sito rimane comunque altrove, magari in qualche componente. E' corretto ?
Il mondo strano ma la gente matta

mau_develop

  • Visitatore
Re:[Risolto]Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #14 il: 26 Apr 2010, 10:46:21 »
esatto.
... comunque risolto dalla nuova .16

M.


Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:[Risolto]Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #15 il: 26 Apr 2010, 15:57:20 »
io comunque consiglierei di andare a caccia del buco.

si sa mai che possa servire da qualche altra parte...

ciao
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

mau_develop

  • Visitatore
Re:[Risolto]Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #16 il: 26 Apr 2010, 17:15:41 »
..non dovrebbe essere difficile, se ha bisogno di quel giochetto un'injsql e dovresti vederla anche dal log delle request.

M.

Offline Flaterik

  • Appassionato
  • ***
  • Post: 220
  • Sesso: Maschio
    • Mostra profilo
Re:[Risolto]Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #17 il: 27 Apr 2010, 12:18:41 »
..non dovrebbe essere difficile, se ha bisogno di quel giochetto un'injsql e dovresti vederla anche dal log delle request.

M.

mi spiegheresti un po' meglio questo concetto?
 8)
Il mondo strano ma la gente matta

mau_develop

  • Visitatore
Re:[Risolto]Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #18 il: 27 Apr 2010, 15:10:08 »
... da qualche parte joomla dovrebbe poter tenere traccia delle visite e dei parametri di accesso.

io l'ho fatto con un plugin, e forse pure contenuto in quello che avevo pubblicato in questa sezione tempo fa, non ricordo.

comunque partendo da quel plugin semplice fare due righe per farlo, in pratica devi loggare (prima filtrare!) le request get/post

M.

ps altrimenti banale anche usare la classe jbrowser

Offline Flaterik

  • Appassionato
  • ***
  • Post: 220
  • Sesso: Maschio
    • Mostra profilo
Re:[Risolto]Attenzione attacco Hacker!!!!!!!!!!!!
« Risposta #19 il: 27 Apr 2010, 16:19:13 »
Scusate ma mi sono perso nella questione.
Cosa dovrei cercare nello specifico?
Come e'stata fatta la Injection?

Purtroppo non sono cosi' esperto e non ho capito cosa mi dici ;)
Il mondo strano ma la gente matta

 

Host

Torna su