Autore Topic: Marco's SQL Injection - LFI Interceptor  (Letto 12709 volte)

Offline pespe

  • Esploratore
  • **
  • Post: 68
  • Sesso: Maschio
    • Mostra profilo
Marco's SQL Injection - LFI Interceptor
« il: 27 Ago 2010, 13:44:45 »
Aiutooo !!!! Mi è appena arrivata questa mail dal plugin "Marco's SQL Injection - LFI Interceptor"

Codice: [Seleziona]
    ** Local File Inclusion [GET:controller] => ../../../../../../../../../../../../../../../proc/self/environ\0
** Local File Inclusion [REQUEST:controller] => ../../../../../../../../../../../../../../../proc/self/environ\0

**PAGE / SERVER INFO

*REMOTE_ADDR :89.200.170.145

*HTTP_USER_AGENT :libwww-perl/5.813

*REQUEST_METHOD :GET

*QUERY_STRING :
option=com_realtyna&controller=../../../../../../../../../../../../../../../proc/self/environ%00

** SUPERGLOBALS DUMP (sanitized)

*$_GET DUMP
 -[option] => com_realtyna
 -[controller] => proc/self/environ\0

*$_POST DUMP

*$_COOKIE DUMP

*$_REQUEST DUMP
 -[option] => com_realtyna
 -[controller] => proc/self/environ\0

Sapreste dirmi di cosa si tratta o se per caso è colpa di CK Forms 1.3.4.?
Il dominio in questione è www.graficare.it

Grazie

mau_develop

  • Visitatore
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #1 il: 27 Ago 2010, 13:58:17 »
stacca tutto! elimina joomla! ....rompi il citofono e se ti chiedono qualcosa di che non sei stato tu!


... e che è successo?... hanno tentato una inj sul tuo sito e il plugin correttamente ti ha avvisato.

se joomla e i componenti sono aggiornati non hai nulla da temere.

M.

Offline pespe

  • Esploratore
  • **
  • Post: 68
  • Sesso: Maschio
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #2 il: 27 Ago 2010, 14:06:04 »
.... grazie per la risposta ....
L'unico è appunto CK Forms 1.3.4 .... ora però non resco più ad accedere al sito Joomla.it (solo a joomla.it)
perchè un messaggio mi avvisa di un "tentativo di attacco dal mio sistema"!!!!!
Sia da Pc che da Mac !!!!

P.s.
Stacco tutto !!!! ho una copia di una settimana fa, di più cosa posso fare.

Luca

Offline pespe

  • Esploratore
  • **
  • Post: 68
  • Sesso: Maschio
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #3 il: 27 Ago 2010, 14:43:32 »
Da quanto mi sembra di capire hanno cercato di sfuttare il componente Realtyna che io però non ho installato !!!! Giusto?

_____ Update _______
Poi continuo a non accedere al sito di Joomla.it da nessun Pc o Mac dell'ufficio e nemmeno se uso una connessione wireless di un ufficio vicino?
« Ultima modifica: 27 Ago 2010, 15:15:36 da pespe »

mau_develop

  • Visitatore
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #4 il: 27 Ago 2010, 17:01:09 »
stacca il router e riattaccalo.... svuota la cache del browser e vedrai che rientri ... ti sta bloccando l'ip perchè hai probabilmente postato qualcosa di "indesiderato"

comunque non dovresti avere nessun problema, è un'attacco da dizionario sparato a caso..

M.

Offline pespe

  • Esploratore
  • **
  • Post: 68
  • Sesso: Maschio
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #5 il: 27 Ago 2010, 17:06:33 »
stacca il router e riattaccalo.... svuota la cache del browser e vedrai che rientri ... ti sta bloccando l'ip perchè hai probabilmente postato qualcosa di "indesiderato"

comunque non dovresti avere nessun problema, è un'attacco da dizionario sparato a caso..

M.

Grazie 1000 !!!

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #6 il: 30 Ago 2010, 21:30:39 »
Aiutooo !!!! Mi è appena arrivata questa mail dal plugin "Marco's SQL Injection - LFI Interceptor"
... omissis ...
Sapreste dirmi di cosa si tratta o se per caso è colpa di CK Forms 1.3.4.?

=== risposta dell'autore  :D

come detto da maurizio si tratta di un attacco di tipo Local File Inclusion, volto cioè ad ottenere l'inclusione, all'interno del processo di esecuzione di php, di un file esistente sul server, ma estraneo all'applicazione php in uso. nello specifico si tenta di richiamare l'interprete dei comandi e di passare allo stesso un file php, contenuto nella request http, da eseguire da command line.  Scopo dell'operazione è, nella maggior parte dei casi, scrivere sul file system del sito un file (cavallo di troia) in grado di eseguire comandi arbitrari inviati da remoto.

questi attacchi sono automatizzati e si spara nel mucchio alla ricerca di un sito con una estensione vulnerabile.

lo user agent ci dice che l'attacco è compiuto con uno script:
*HTTP_USER_AGENT :libwww-perl/5.813

la query string ci indica il componente vulnerabile:
option=com_realtyna&controller=../../../../../../../../../../../../../../../proc/self/environ%00

se il server è configurato correttamente questo tipo di attacco non ha esito, indipendentemente dall'estensione.

in ckform 1.3.4 sono, comunque, stati corretti tutti problemi presenti nella 1.3.3, e, al momento, è da ritenesi una estensione sicura.

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline marcothemix

  • Appassionato
  • ***
  • Post: 406
  • Sesso: Maschio
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #7 il: 19 Set 2010, 12:06:58 »
Anche io oggi ho ricevuto ben 3 email, il componente in questione è "com_joomlapicasa2"
e il corpo delle 3 mail è uguale, cambia solo il "*REMOTE_ADDR :"

Dunque dato che non ho il componente joomlapicasa2 non ho nulla da temere? L'attacco riguarda solo quel componente o indirettamente anche tutte le altre estenzioni?

Ad ogni modo i componenti sono tutti aggiornati devo solo dare una ocntrolalta ai plugin, anche quelli sono a rischio?

E' stato detto nel post precedente che sono importanti quindi anche configurazioni del server su cui è ospittao il sito, manderò una mail per esser sicuro che sia protetto da questi tipi di attacchi.

Grazie.

mau_develop

  • Visitatore
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #8 il: 19 Set 2010, 12:25:37 »
sono cose fatte a macchinetta... tools... non guardano cosa hai, lanciano la query, se ce l'hai esploita altrimenti gli da errore e passa avanti.

Se non hai quel componente non ci sono problemi...mail sono inutili e non andare in paranoia, sul mio sito ne ho almeno 50 al giorno di quelle ed altre "simpatie"

M.

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 30341
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #9 il: 19 Set 2010, 16:56:40 »
Ciao mau_develop
Forse dico una sciocchezza, ma cambiando il nome delle estensioni forse saremmo più sicuri?
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

mau_develop

  • Visitatore
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #10 il: 19 Set 2010, 18:35:11 »
beh.. in un certo senso si ma dovresti cambiare il nome del componente/modulo/plugin e anche di quelli del core joomla.
Ciò vuol dire mandare in completo casino tutte le regole dei nomi
Purtroppo non basta il friendly url ad evitare qs cosa

poi c'è da dire che non funzionerebbe l'automatismo ma guardando il sorgente c'è sempre qualcosa che richiama il componente/modulo/plugin ...a quel punto puoi addirittura determinare che è "casalingo" quindi magari con maggiori possibilità di esploit

Comunque tutti quegli automatismi pescano da db di vulnerabilità quindi non contengono mai 0dayma cose probabilmente già note e patchate... se hai il sito in ordine sono totalmente innocui ...anzi, ti fanno salire la top100 :)

M.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #11 il: 21 Set 2010, 10:09:04 »
Citazione
non contengono mai 0day

questa non mi sento di sottoscriverla totalmente, chi è in cerca di zoombie per fare spamming è molto più avanti degli scriptkiddies, anche se questi sono il 99%.

@marcothemix
il numero di mail è direttamente proporzionale al page rank. prima di disattivare le mail di report, solo il primo giorno, ne ho ricevute poco meno di 500, solo per il mio sito...
per il resto vedi il mio post precedente e quanto detto da maurizio.

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

mau_develop

  • Visitatore
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #12 il: 21 Set 2010, 10:46:28 »
chi è in cerca di zoombie per fare spamming è molto più avanti degli scriptkiddies
----------------------------------------------------------------------------------------------------------------
Beh... è qs "il mercato". nessuno ti paga per lasciare la foto del pirata in homepage
a 10/20 dollaroni puoi "affittare" una botnet/darknet dotata di tutti gli script più nocivi del mondo, 10 minuti di setup e fai danni peggio che con un carro armato.... all'avanguardia: cina e russia :)
basta un sito bucabile e un server malconfigurato o non patchato che hai una lista infinita di mail a cui spammare andandotele a prendere direttamente dal server, quindi non è detto che sei tu la causa del tuo male, magari è il tuo "vicino di casa"

M.

Offline marcothemix

  • Appassionato
  • ***
  • Post: 406
  • Sesso: Maschio
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #13 il: 21 Set 2010, 18:13:53 »
Grazie a tutti per le utilissime info, e complimenti siete sempre rapidi e super competenti.
Ho un pagerank di solo 2, di notifiche per ora me ne sono arrivate solo 2 quindi le lascierò attive.
(scusate per la risposta in ritardo ma avevo dimenticato di attivare le notifiche per questo topic)

Offline megawatt

  • Esploratore
  • **
  • Post: 91
  • Sesso: Maschio
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #14 il: 14 Dic 2012, 10:46:27 »
A me è arrivata questa mail, potete aiutarmi a capaire ?

Codice: [Seleziona]
** Table name in url [GET:Itemid] => 1 and(select 1 from(select count(*),concat((select username from jos_users where usertype='super administrator' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
 ** Table name in url [REQUEST:Itemid] => 1 and(select 1 from(select count(*),concat((select username from jos_users where usertype='super administrator' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
 
 **PAGE / SERVER INFO
 
 
 *REMOTE_ADDR :
 188.143.232.176
 
 *HTTP_USER_AGENT :
 Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.18) Gecko/20110614 Firefox/3.6.18 GTB7.1
 
 *REQUEST_METHOD :
 GET
 
 *QUERY_STRING :
 option=com_user&view=reset&lang=en&Itemid=1%20and(select%201%20from(select%20count(*),concat((select%20username%20from%20jos_users%20where%20usertype=%27super%20administrator%27%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)
 
 *HTTP_REFERER :
 http://www.google.com/
 
 
 
 ** SUPERGLOBALS DUMP (sanitized)
 
 
 *$_GET DUMP
 -[option] => com_user
 -[view] => reset
 -[lang] => en
 -[Itemid] => 1 and(select 1 from(select count(*),concat((select username from -- users where usertype='super administrator' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
 
 
 *$_POST DUMP
 
 
 *$_COOKIE DUMP
 
 
 *$_REQUEST DUMP
 -[option] => com_user
 -[view] => reset
 -[lang] => en
 -[Itemid] => 1 and(select 1 from(select count(*),concat((select username from -- users where usertype='super administrator' limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

Offline saliinvetta

  • Appassionato
  • ***
  • Post: 438
  • Sesso: Maschio
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #15 il: 05 Nov 2013, 20:24:37 »
rimosso
« Ultima modifica: 05 Nov 2013, 21:30:57 da saliinvetta »

mau_develop

  • Visitatore
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #16 il: 05 Nov 2013, 21:09:32 »
...perchè hai postato quì?

Offline saliinvetta

  • Appassionato
  • ***
  • Post: 438
  • Sesso: Maschio
    • Mostra profilo
Re:Marco's SQL Injection - LFI Interceptor
« Risposta #17 il: 05 Nov 2013, 21:11:01 »
Chiedo scusa se ho sbagliato sezione.
Pensavo fosse una discussione innerente ai report di Marco's SQL Injection

 

Host

Torna su