Autore Topic: E' accaduto di nuovo...  (Letto 2637 volte)

Offline Bigne Erosivo

  • Esploratore
  • **
  • Post: 84
    • Mostra profilo
E' accaduto di nuovo...
« il: 15 Giu 2010, 00:19:17 »
Un mesetto fa, come avevo scritto su questo forum, il sito scolastico di cui mi occupo è stato 'sfregiato'.
Dopo quell'evento, ho ripristinato tutto da un backup preesistente, aggiornato Joomla all'ultima versione, cambiato tutte le password (ftp e database) delle quali sicuramente chi ha violato il sito era entrato in possesso.
Dieci giorni fa è accaduto di nuovo. Altro hacker, altra grafica. Avevo un backup recentissimo e così in due e due quattro il sito era di nuovo su. Non ho però cambiato niente password perché avevo in mente di fare qualcosa di più nel frattempo: come installare Guard xt, mettere sotto password la directory "administrator", ecc...

Ieri pomeriggio ho lavorato al sito, guardato vari pacchetti di sicurezza, aggiornato a 1.5.18, protetto la directory di amministrazione, installato Guard xt (che però mid ava un errore di memoria in fase di scansione iniziale dei file)

Stasera è accaduto di nuovo, l'ultimo intruso si è ripetuto... però stavolta mi ha svuotato la directory di Joomla, lasciandomi solo i suoi file (poche decine di KB). Ok, è come se gli avessi lasciato le chiavi di casa, ma essendo già venuto a 'rubare', pensavo fosse soddisfatto.

Ora sono già in fase di ripristino di un backup recente; stavolta cambio di nuovo tutte le password... e poi? Che faccio, devo aspettare la prossima violazione?

Possibile non riesca a capire da dove entra? A occhio dire che è riuscito ad ottenere l'accesso ftp, sì, ma come?

Non c'è un hacker "amico" al quale far vedere il mio sito per capire da dove entrerebbe?

Ieri pomeriggio ho trovato su extensions.joomla.org alcuni pacchetti di protezione, tipo questo (** rimosso perchè a pagamento **): potrebbero essermi di aiuto... o è meglio lasciar perdere?

Insomma, comincio ad averne le tasche piene e nella vita vorrei fare altro al posto di ripristinare siti da backup...  :-[ : cosa posso fare per vivere più tranquillo?

Grazie!

Bignè Erosivo
« Ultima modifica: 15 Giu 2010, 06:31:30 da mmleoni »
Bignè Erosivo

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #1 il: 15 Giu 2010, 06:38:03 »
ciao Bigne Erosivo, qual è il sito in questione?
hai verificato le estensioni nell'elenco delle vulnerabilità?

nota che è più facile che sfruttino bug del sito/estensioni piuttosto che recuperino la pw ftp con attacchi brute force... non è che  la hai inserita in Joomla! vero?

per caso hai i log apache/ftp di dieci giorni fa e di ieri? mi piacerebbe dare loro un'occhiata.

ps: io uso questa, anche perché la ho scritta io  ;)

http://extensions.joomla.org/extensions/access-a-security/site-security/12731

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

mau_develop

  • Visitatore
Re:E' accaduto di nuovo...
« Risposta #2 il: 15 Giu 2010, 09:05:39 »
Possibile non riesca a capire da dove entra?
----------------------------------------------------------------
eccome no... se non hai cambiato le password e verificato di essere su un server sicuro è passato con la password esattamente come te, e se non avevi controllato i files che avevi caricato probabilmente aveva anche una shell da usare.

M.

Offline Bigne Erosivo

  • Esploratore
  • **
  • Post: 84
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #3 il: 15 Giu 2010, 09:32:33 »
Possibile non riesca a capire da dove entra?
----------------------------------------------------------------
eccome no... se non hai cambiato le password e verificato di essere su un server sicuro è passato con la password esattamente come te, e se non avevi controllato i files che avevi caricato probabilmente aveva anche una shell da usare.

M.

Beh, diciamo che stavolta me la sono 'cercata' e sono consapevole del fatto che avrei dovuto cambiare tutto il cambiabile. solo che, come detto, aspettavo di fare un "lavoro completo", ma non ho fatto in tempo.

E fino a qui ci siamo.

Quello che mi chiedevo, e non era davvero una domanda retorica, è questo: per sfigurare un sito si deve trovare il modo di accedere alla cartella de file, suppongo lo si faccia via ftp. Dove vanno a trovare la mia password ftp, dato che non è memorizzata in alcun database di joomla?

La password che ho messo non era proprio banale... se lo fanno suppongo si possa, solo volevo provare a capire come....

Infine, avendo accesso alla cartella ftp del sito potrebbero aver inserito file qua e là... qualcosa ho rimosso, ma posso essere sicuro che non c'è altro chissà dove nella miriade di directory e file di Joomla?

E se sono entrati nell'ftp, hanno letto il configuration.php e con esso di dati di accesso al database.

A questo punto li cambio, ok, ma potrebbero aver 'contaminato' anche il database?

Comunque sia, non c'è dubbio: è una gran rottura di scatole!

Salutoni e grazie per la gentile risposta!

Bignè Erosivo


Bignè Erosivo

mau_develop

  • Visitatore
Re:E' accaduto di nuovo...
« Risposta #4 il: 15 Giu 2010, 11:25:25 »
Quello che mi chiedevo, e non era davvero una domanda retorica, è questo: per sfigurare un sito si deve trovare il modo di accedere alla cartella de file, suppongo lo si faccia via ftp. Dove vanno a trovare la mia password ftp, dato che non è memorizzata in alcun database di joomla?
----------------------------------------------------------------------------------------------------------
no no ..il gioco è diverso, ti faccio l'esempio più banale del mondo:

in un sito dinamico la pagina viene appunto costruita dinamicamente, ovvero secondo precise richieste da parte dell'utente (tu leggi articoli, altri scaricano files evia così)
tu chiedi (request) lui risponde (view)

gli script eseguono la request ovvero index.php?option=com_content
stai dicendo che la variabile option vale com_content, dietro ci sarà uno script che valuterà quella option per soddisfarla.
Se l'azione è "includo il file com_content" ovvero prendo il valore di option e lo metto direttamente in una funzione che mi include la pagina com_content nulla mi vieta di dirgli che la pagina è google o magari uno script malevolo.

Se una gallery uploada immagini senza verificare o è possibile bypassare i controlli, io posso caricare file, non mi serve la tua password ftp. L'FTP è solamente un'altra porta per arrivare allo stesso punto ma si può caricare anche tramite http.
Godendo di una shell (file con cui amministro i files) sul tuo spazio direi che le azioni sono abbastanza illimitate

I cms poi hanno un'altra debolezza.... il codice sorgente lo vedono tutti non è così difficile trovare vulnerabilità... se ce l'ho io ce l'hai anche tu.

Solitamente la sicurezza in questi casi è data da una buona "personalizzazione" del codice e degli eventi in modo da non rendere nulla usuale e comune.

M.
« Ultima modifica: 15 Giu 2010, 11:28:57 da mau_develop »

Offline Bigne Erosivo

  • Esploratore
  • **
  • Post: 84
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #5 il: 15 Giu 2010, 11:33:21 »
Se una gallery uploada immagini senza verificare o è possibile bypassare i controlli, io posso caricare file, non mi serve la tua password ftp. L'FTP è solamente un'altra porta per arrivare allo stesso punto ma si può caricare anche tramite http.

M.

Credo di aver capito qualcosina n più rispetto alla zero a cui mi trovavo.

E , sempre in questo modo possono anche vuotarmi la directory in cui si trova joomla? Lo chiedo perché stavolta nella directory base in cui si trova il sito non c'era più niente: tutto rimosso ed erano presenti solo i file sistemati dai "vandali".

E sempre con questi sistemi possono anche visionare il contenuto di determinati files, come, ad esempio, il configuration.php?

Grazie 1000!

Bignè Erosivo
Bignè Erosivo

mau_develop

  • Visitatore
Re:E' accaduto di nuovo...
« Risposta #6 il: 15 Giu 2010, 12:16:22 »
esatto, ti faccio un'altro esempio abbastanza banale:

immagina che l'amministrazione di joomla sia realizzabile con un solo file, molto semplice, senza grafica, con tuute le funzionalità.

Normalmente non lo raggiungi perchè prima c'è un controllo che dice:

se la richiesta è di bignè e la password è giusta passi, altrimenti no.

Ora se io prendo quell'ipotetica pagina (file) e lo uploado come fosse una foto della galleria e l'operazione mi riesce, se posso accedere come utente all'immagine, potrò accedere anche al mio file ed avere a disposizione l'intera amministrazione del sito.
Questa in pratica è una shell, qualla che gli akkeroni chiamano coi nomi più disparati e cattivi... ma sono solo banalissimi strumenti normalmente in uso da sviluppatori che poco amano i login e la grafica, preferiscono accessi più diretti.

Una volta per fare questo giochino veniva usato l'avatar ora le gallerie, ma anche gli upload di file e comunque tutte le inclusioni non controllate di files.

M.

Offline Bigne Erosivo

  • Esploratore
  • **
  • Post: 84
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #7 il: 15 Giu 2010, 12:32:41 »
Ok, allora se le cose stanno così, se vado a rivedere esattamente tutte le mosse dell'hacker sui log del sistema, dovrei anche poter 'capire' che strumenti o file ha usato. giusto?
Non io direttamente,dato che poco ci capisco; intendo dire che dai log di sistema una persona competente può ricavare informazioni su cosa/come è stato fatto.
Giusto?

Grazie!
Bignè Erosivo
Bignè Erosivo

mau_develop

  • Visitatore
Re:E' accaduto di nuovo...
« Risposta #8 il: 15 Giu 2010, 13:03:36 »
:)

i log servono a quello quindi è stupido dire no ... ma.. se il videoregistratore sta nella stanza che penetri secondo me scompare anche la cassetta :)

Una volta che sono sul tuo "spazio" sul server ottengo i dati del db che sono nel configuration, se i log sono li... ciao..
Una volta che sono in una cartella, mi viene anche la voglia di dare una sbirciatina "sopra" e... "sopra" ancora, joomla è vulnerabile ma lo sono anche i server (specialmente quelli universitari) e lo è anche il php e ci sono errori di configurazione....

non è così difficile andarseli a cancellare...pensa che se in joomla trovi una vulnerabilità domani è pubblica, dopodomani c'è la nuova versione, entro un mese tutti i siti sono sicuri.... ci sono server esploitabili con codice scritto 10 anni fa e tranquillamente reperibile nei db di security.

E ora ti confondo e mi contraddico :) ... perchè è anche così...

l'hacker ha cancellato dei log... ma dove erano scritti? sicuramente in una porzione di memoria del o dei dischi, quindi ancora recuperabili... ma entriamo in discorsi ampi e complicati che riguardano la Computer Forensics.

Quindi rispondere di si o di no alla tua questione direi che non è semplice, certamente se tutto è stato fatto dallo stupidotto di turno, o da me quando sono imbornito :) ... trovi tranquillamente tutto.

M.

Offline Bigne Erosivo

  • Esploratore
  • **
  • Post: 84
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #9 il: 15 Giu 2010, 15:28:37 »
:)
(...)

Quindi rispondere di si o di no alla tua questione direi che non è semplice, certamente se tutto è stato fatto dallo stupidotto di turno, o da me quando sono imbornito :) ... trovi tranquillamente tutto.

M.
Direi che si è trattato, per fortuna, dello stupidotto di turno.
Nel log sono abbastanza evidenti tutte le mosse fatte. Ha lavorato su dei file strani che ho ritrovato in un backup di una 3 giorni prima, segno che era già passato a depositare il "regalo".

Così, se a qualcuno interessa per fini di 'studio' posso inviare i file che ho recuperato pre e post intrusione.

Infine, pur sapendo che non sarebbe un "muro" anti intrusioni, una cosetta del genere (stavolta è un programma free, mi scuso per il link di un programma a pagamento che ho inserito nel mio primo messaggio) http://tiny.cc/i4yps potrebbe essere d'aiuto per tenere d'occhio il proprio sito, o si tratterebbe comunque di una cosa inutile?

Salutoni e grazie!

Bignè Erosivo
Bignè Erosivo

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #10 il: 15 Giu 2010, 15:40:31 »
è utilissimo per farti sapere che l'hacker ti ha già bucato il sito!  ;D ;D ;D

sempre che non ti cancelli il contenuto come l'ultima volta, in tal caso non ti arriva niente!!  :(

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline LuxorTheFirst

  • Appassionato
  • ***
  • Post: 214
  • Sesso: Maschio
  • Gran Rompi-bug
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #11 il: 15 Giu 2010, 16:18:42 »
Quando leggo ste cose comincio ad aggiornare.. :D

Questa è forse una delle cose che non mi piacciono dei CMS: la sicurezza.
La libertà di pensiero è una cosa fondamentale. Per questo dico sempre ciò che penso.
LuxorTheFirst

Offline RdG

  • Appassionato
  • ***
  • Post: 248
  • Sesso: Maschio
  • RdG risorse di grafica, pattern, shape e altro
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #12 il: 21 Giu 2010, 16:47:19 »
Fatemi capire bene, quindi la "$password='123pass'" del db sul file configuration.php non deve essere criptata?
Scusate se mi intrometto.
tempo fa erano entrati in un dominio di un cliente, joomla era installato ma non in uso, ho cambiato la pass dell'ftp, eliminato joomla, e non ho avuto più problemi fino ad oggi.
ciao
RdG risorse di grafica http://www.risorsedigrafica.it

mau_develop

  • Visitatore
Re:E' accaduto di nuovo...
« Risposta #13 il: 21 Giu 2010, 16:57:24 »
Fatemi capire bene, quindi la "$password='123pass'" del db sul file configuration.php non deve essere criptata?
--------------------------------------------------------------------------------------------------------------------------------------------------------
dove hai letto che deve esserlo?
l'abbiamo detto quì?

M.

Offline RdG

  • Appassionato
  • ***
  • Post: 248
  • Sesso: Maschio
  • RdG risorse di grafica, pattern, shape e altro
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #14 il: 21 Giu 2010, 17:19:41 »
si scusa hai ragione non ho citato:
Citazione
E se sono entrati nell'ftp, hanno letto il configuration.php e con esso di dati di accesso al database.

Quindi leggendo i dati del database nel file configuration.php si puo accedere al db.
Si può criptare o si deve criptare o non si deve ?
Ciao e grazie della risposta.

scusami non volevo dire che l'avevate detto/scritto.
« Ultima modifica: 21 Giu 2010, 17:22:00 da ballajoomla »
RdG risorse di grafica http://www.risorsedigrafica.it

mau_develop

  • Visitatore
Re:E' accaduto di nuovo...
« Risposta #15 il: 21 Giu 2010, 17:53:38 »
il fatto che tu riesca a leggere un file php non è mica tanto normale :) ..., vuol dire che hanno sfruttato una vulnerabilità per passare e andarlo a leggere proprio come fai tu.

 non c'è bisogno di criptare nulla, joomla si aspetta quel file così com'è.

M.

Offline RdG

  • Appassionato
  • ***
  • Post: 248
  • Sesso: Maschio
  • RdG risorse di grafica, pattern, shape e altro
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #16 il: 21 Giu 2010, 18:17:17 »
Ti ringrazio per la precisazione  :)
RdG risorse di grafica http://www.risorsedigrafica.it

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:E' accaduto di nuovo...
« Risposta #17 il: 22 Giu 2010, 06:57:25 »
piccola precisazione tecnica: se la password fosse criptata Joomla! non potrebbe conoscerla e quindi non potrebbe collegarsi al DB.
discorso diverso per le password degli utenti, di cui il sistema può mantenere la versione criptata perché è l'utente stesso a tenere quella in chiaro.

ciao
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

 

Host

Torna su