Autore Topic: Vulnerabilità versione -che si fa?  (Letto 5860 volte)

Offline Netphil

  • Esploratore
  • **
  • Post: 115
    • Mostra profilo
Vulnerabilità versione -che si fa?
« il: 19 Ott 2010, 09:19:34 »
Mi è arrivata questa comunicazione

l’applicativo Joomla! per la creazione/gestione dei propri siti, che è stata individuata una vulnerabilità nelle versioni precedenti e/o uguali alla 1.5.20.

Tale vulnerabilità (chiamata in gergo XSS - cross site scripting) consentirebbe di accedere con poteri di amministratore alle pagine del sito web e modificarne il contenuto e qualora l’accesso fosse effettuato da malintenzionati, potrebbero addirittura essere causati danni al sito e ai visitatori dello stesso.

Che si deve fare?

Grazie

Offline daffy_dark

  • Esploratore
  • **
  • Post: 66
  • Sesso: Femmina
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #1 il: 19 Ott 2010, 11:34:27 »
aggiornare con la nuova versione di joomla .21

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #2 il: 19 Ott 2010, 12:34:34 »
aggiornare con la nuova versione di joomla .21

Purtroppo in alcuni casi non basta.
Io pure avendo aggiornato alla .21 mi ritrovo con il sito bloccato anche se riesco ad entrare nell'area da admin.
Bisogna controllare nel index.php e anche in altri .... a sapere quali!?!?!?!?!?!? :-\

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #3 il: 19 Ott 2010, 12:40:47 »
Calma.... calma...
per risolvere il problema segnalato nei primo post è necessario procedere con l'aggiornamento alla versione 1.5.21

Poi se nel sito hai installato anche altre estensioni esterne o altre applicazioni, ovviamente devi mantenere aggiornate anche queste per avere il tuo sito al sicuro da attacchi.
Ed anche il tuo pc deve essere sicuro, perchè ultimamente alcuni virus invadono i pc alla ricerca degli accessi FTP dei siti degli utenti, e con questi è poi facile accedere ai siti anche se questi sono aggiornatissimi.

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #4 il: 19 Ott 2010, 16:54:50 »
Ciao alex, ho bisogno di aiuto.
Ho subito anche io l'attacco malefico e nonostante abbia aggiornato alla versione 1.5.21 credo di non aver risolto. Il sito è su, ma ho notato che quando vado sulla pagina di login admin tenta di connettersi un intruso come da foto che allego.
Ho visto che hanno sovrascritto index.php sia lato sito che lato admin e io ho provveduto a ripristinare quello di un backup di qualche settimana fa', ma il problema persiste.
Cosa altro posso controllare ?
Grazie

[allegato eliminato da un amministratore]

vamba

  • Visitatore
Re:Vulnerabilità versione -che si fa?
« Risposta #5 il: 19 Ott 2010, 17:14:39 »
Non puoi solo cambiare cerchione se la ruota è forata!!
Ovviamente se avevi subito un attacco alla versione precedente aggiornarla alla 1.5.21 non risolve certo il problema.
L'aggiornamento ha efficacia solo se non si è già stati attaccati e se il sito è in sicurezza, mentre non risolve una cippa se il sito prima non viene rimesso in sicurezza e poi aggiornato.

Probabilmente chi ha avuto accesso al tuo sito a nascosto qualche file in qualche cartella tipo cache o images, (dove non penseresti mai di andare a cercarli) e ad ogni tua azione di rimettere i due file originali (gli index.php intendo) lui agisce nuovamente su file magari mascherati da .txt, jpg, gif ecc file apparentemente innoqui.
Altro possibile caso sarebbe..... se chi ti ha attaccato ha sniffato le tue credenziali di accesso e quindi a questo punto sarebbe il caso di modificarle ulteriormente e fare un bel controllo della tua postazione pc che sia immune da adware, malware, trojan, rootkit ecc ecc

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #6 il: 19 Ott 2010, 17:18:39 »
Si, la pagina administrator presenta un iframe nuovo che porta questo:

*********** codice rimosso

ma da dove posso iniziare a ripulire il sito (pc escluso ovviamente)?
Grazie

Ops...scusa non ho fatto in tempo a evitare il codice....!!!! Grazie per la rimozione.
« Ultima modifica: 19 Ott 2010, 17:22:50 da Skate »

vamba

  • Visitatore
Re:Vulnerabilità versione -che si fa?
« Risposta #7 il: 19 Ott 2010, 17:29:10 »
Bien la procedura può apparire semplice o complicata a seconda dell'approccio.
Per me può essere considerata semplice, mentre  potrebbe essere considerato, per me, complicata recitare la tabellina del sette.
In pratica ciò che voglio dire è che tutto è relativo.

D'istinto mi vien da dire, in questi casi, ne semplice, ne complicata .... ma molto delicata.

Prima di tutto verificare i segnali.
1. Esempio ieri non è accaduto nulla oggi si ... probabilmente il problema è da ricercarsi oggi oppure meglio nei 3-4 giorni precedenti all'evento ... quindi, dato che tutti i file prendono una data di modifica verificare quali sono stati modificati in questo frangente.
2. Per i più esperti leggere i vari log del server per trovare tracce del possibile acaro e temporizzare quindi quando è avvenuto il tutto.
3. se abbiamo un backup dei file meno recente dell'attacco sostituire tutto con quello e magari poi effettuare eventuali modifiche fatte
4. se abbiamo un back che entra nella fascia protetta prima di inserirlo verificare in locale se non ci sono file strani.
5. serebbe cosa buona e giusta fare un hash dei file del sito così da ritrovare facilmente le modifiche (ovviamente questo per i più esperti e smaliziati utenti)

Cambiare subito le credenziali di accesso sia ftp che db ...
e pregare che non ritornino gli unni

Ovvimamente verificate bene le problematiche di estensioni che non fanno parte del core di joomla altrimenti sian da capo e giovannini.

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #8 il: 19 Ott 2010, 17:39:24 »
Uaauuuu....che spiegazione!
Intanto recupero il backup giornaliero/settimanale e in locale me lo vivi-seziono.
Poi cambio credenziale ftp (ma qui ci vorranno almeno 3 gg vista la procedura)
Poi riprovo a downloadare il tutto.
...spero.

Grazie

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #9 il: 19 Ott 2010, 18:43:06 »
Se può essere utile a qualcuno o notato che tutte le modifiche riferite all'orario dell'attacco (ore 03.10) consistono nella modifica di tutti i files index.html con l'aggiunta di un iframe strano.
Mi tocca ricopiare tutte le index a mano?

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #10 il: 19 Ott 2010, 18:56:46 »
poi scaricare il pacchetto completo di Joomla 1.5.21
scompattarlo sul tuo pc e caricare tutto il contenuto sul sito via FTP, senza la cartella installation, sovrascrivendo tutto.
In questo modo tutti i file di sistema di Joomla saranno ripristinati con gli originali.

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #11 il: 19 Ott 2010, 19:13:47 »
Si, come una normale procedura di aggiornamento.
Il problema è che i files index.html sono una miriadeeeee!
Spero di risolvere sovrascrivendo un backup settimanale e oltretutto sperare che non mi rifacciano lo scherzetto prima del cambio delle credenziali ftp.  :'(

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #12 il: 19 Ott 2010, 19:36:15 »
no, la normale procedura di aggiornamento è differente. Cerchiamo di non fare casino!
Per la normale procedura di aggiornamento su usa il rispettivo pacchetto di aggiornamento da versione a versione.

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #13 il: 19 Ott 2010, 19:58:46 »
Ecco, come al solito sono precipitoso.
Ma mi basta ripristinare i files originali della 1.5.21 o cmq devo modificare i file index.html ?
Forse dovrò anche agire sui diversi moduli e componenti in quanto anche li vedo esserci presenti dei files index.html con iframe strani.

Grazie ale

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #14 il: 19 Ott 2010, 20:00:47 »
poi scaricare il pacchetto completo di Joomla 1.5.21
scompattarlo sul tuo pc e caricare tutto il contenuto sul sito via FTP, senza la cartella installation, sovrascrivendo tutto.
In questo modo tutti i file di sistema di Joomla saranno ripristinati con gli originali.

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #15 il: 19 Ott 2010, 20:09:55 »
Grazie Ale,
ci provo...anche se gli "amici" di aruxxx ci metteranno una vita ad cambiarmi le credenziali.
Per fortuna sto migrando pian pianino verso gli Amici di XXXXXXXX (non si fanno figli e figliastri). ;D ;D
« Ultima modifica: 20 Ott 2010, 23:36:44 da sudoku »

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #16 il: 20 Ott 2010, 21:17:29 »
Ciao Alex, ecco la mia situazione:
Ho effettuato un backup dal server verso il mio pc (relativo a 6 gg fa)
Ho scaricato la versione 1.5.21 ita, decompressa sul mio pc e sovrascritto tutto (eccetto installation) sul server.
Il sito è ancora su, ma come faccio a capire se ci sono ancora "intrusi".
Nel frattempo ho chiesto il cambio login e psw di accesso ftp.
Denghiu

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #17 il: 20 Ott 2010, 23:12:48 »
hai per caso qualche estensione esterna installata?

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #18 il: 21 Ott 2010, 07:59:16 »
si, certo, componenti, moduli e plugin e mi chiedo;
come faccio a capire quanti files fanno parte di quel modulo o componente così da poterli controllare uno per uno?
Es: il modulo ozio gallery ( ;D ;D ;D) crea una dir sia nella cartella administrator che component e basta?

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #19 il: 21 Ott 2010, 09:09:36 »
quindi devi riuscire ad avere la lista completa di ciò che hai installato, e verificare che sia tutto aggiornato alle ultime versioni di queste estensioni e che queste non siano attualmente inserite nella lista delle estensioni vulnerabili:
http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct

poi disintalla tutte quelle che non utilizzi.

Offline loky62

  • Esploratore
  • **
  • Post: 106
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #20 il: 22 Ott 2010, 21:17:31 »
Ciao Alex, ecco la mia situazione:
Ho effettuato un backup dal server verso il mio pc (relativo a 6 gg fa)
Ho scaricato la versione 1.5.21 ita, decompressa sul mio pc e sovrascritto tutto (eccetto installation) sul server.
Il sito è ancora su, ma come faccio a capire se ci sono ancora "intrusi".
Nel frattempo ho chiesto il cambio login e psw di accesso ftp.
Denghiu

Ciao Skate, io ho il tuo stesso problema, ho ripristinato il tutto, ma purtroppo il sito sta su ma si vede sotto che cerca di lanciare un malware o cose simili. Ho un altro topic aperto e spero che qualcuno mi aiuti, magari Alex ?.

Scrivo qui perché leggo che hai preso la copia di backup dal provider che, mi sembra di capire, é lo stesso che uso io. Ma io ho visto che le modifiche agli index.html sono state fatte dall'hacker a tutti i file compresi quelli di backup.
Ma come hai fatto ?

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #21 il: 22 Ott 2010, 21:26:14 »
Ciao loky62 io ho fatto così (sotto consiglio di Alexred)
ho scaricato sul mio pc un backup settimanale, precedente l'attacco, basta controllare che le modifiche fatte siano successive al backup...insomma un backup pulito.
Poi ho sovrascritto il tutto sul server, in pratica ho ripristinato un backup di qualche giorno fa'.
Poi ho aggiornato all'ultima versione.
Ho provveduto inoltre al cambio login FTP.
Ho provveduto alla modifica della password di Joomla!
Così credo di avere risolto.

Offline loky62

  • Esploratore
  • **
  • Post: 106
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #22 il: 22 Ott 2010, 21:42:29 »
Ma io ho visto nei backup del provider che inizia con ar... che i files sono tuti corrotti.
Ti chiedevo se avevi chiesto a loro un backup pulito o lo avevi preso da solo.
Io ho trovato la data dell'attacco, il 20/10 alle ore 18.00 circa e tutti gli index.html sono corrotti.

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #23 il: 22 Ott 2010, 21:58:37 »
Ok, ma se vai nel backup settimanale vi troverai quelli meno recenti, poi in settimanale, poi ancora in settimanale...finchè non ne trovi uno che abbia il file index.html pulito.
A me è bastato andare una settimana indietro e poi entrare nel backup giornaliero.

Offline loky62

  • Esploratore
  • **
  • Post: 106
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #24 il: 22 Ott 2010, 22:17:08 »
Boh !  Non ho capito la logica delle cartelle, a me sembrano tutti corrotti.

Comunque mi dai una speranza, adesso apro un ticket con l'assistenza del provider, mi aiuteranno loro a trovare un backup pulito.

Grazie.

V.

Offline loky62

  • Esploratore
  • **
  • Post: 106
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #25 il: 24 Ott 2010, 10:07:46 »
Ho avuto un feedback dal provider che non mi aspettavo e che consiglio di provare anche a chi ha problemi simili: MI HANNO ELIMINATO IL TROJAN !! ( almeno così dicono e così mi sembra che sia ).

x SKATE: ho capito la logica delle cartelle di backup: é una per il giornaliero ed una per il settimanale. il fatto che sembra che ce ne siano molte e si possa navigare é un anomalia, sono soltanto e sempre due.

Ciao.

Offline Skate

  • Appassionato
  • ***
  • Post: 325
    • Mostra profilo
Re:Vulnerabilità versione -che si fa?
« Risposta #26 il: 24 Ott 2010, 15:57:34 »
Ok, grazie a te.

 

Host

Torna su