code injection

[spakket]

salve ragazzi, sono dieci giorni che subisco attacchi di code injection su siti realizzati in joomla 1.5.23.
l'attacco inserisce del codice script su tutti i file index.php e index.html e cambiano anche i permessi ai file, facendo crollare il sito e riempire il pc di zozzeria.

quindi vi chiedo se sta capitando anche a voi? spero che parteciperete a questa discussione perchè il problema è serio visto che hanno attaccato anche joomla 1.6
se volete vi posto tutti gli script malevoli e i log di accesso all'ftp

grazie!!

[56francesco]

no, non postare la monnezza,  meglio il porta a porta nel senso di differenziati..
da quello che dici posso immaginare che  tieni qualche contatore di visite esterno?

[spakket]

contatote di visite esterno histats, se poi intendi contatore dei log ho richiesto i report ad aruba

[56francesco]

da almeno dieci anni si sa in rete che dai servizi esterni entrano gli spammers per riempire le pagine dei siti vuoti con le loro sozzerie che poi non sono altro che stringhe che gli servono per far salire i loro siti nei motori di ricerca..
togli i contatori esterni e così gli chiudi le porte.

[spakket]

ma non entrano da li perchè ho messo il contatore solo a 3 siti ma ne hanno buttati giù 15. sono dieci giorni che cambio psw su cms, fto, db, backup db , ftp etc etc.
dopo migliaia di prove penso che sia qualcosa del sistema visto che attaccano anche il sitema appena installato tutto pulito sia della 1.5.23 che la 1.6. non uso moduli e/o componenti strani, cmq tutti controllati.

[56francesco]

sarà il server ad essere bucherellato come una groviera allora..
tu comunque le porte tienile chiuse che quando poi entrano non è che si limitano ad un sito ma da li poi accedono alla macchina intera se sono quelli cattivi.

[spakket]

ti complico ulteriolmene le cose!!
in totale i siti attaccati sono 18 su tre manteiner diversi ognuno con dominio, ftp, db proprio. tutte psw diverse (che ogni volta per ricordarle è un'impresa)
ho pensato che fosse un problema mio a livello di pc, allora ho formattato tutti e tre i pc e ho tolto winzozzo e ho messo mac, cambiato router (ipotizzavo anche un attaco al mio ip).
insomma le sto provando tutte ma niente passano 2 giorni e uno alla volta cominciano a cadere.
bo!!!!!

[mau_develop]

ma va dai... non ti accorgi di qualche cosa che lasci... backdoor probabilmente.

Se su uno qualsiasi dei tuoi domini attaccati pialli tutto e installi da pacchetto vergine puoi lasciarla li quanto vuoi ma non inietta nulla nessuno.

M.

[spakket]

mau_ ho fatto tutte le prove possibili, ho installato la 1.6 pulita senza template senza moduli, vergine. dopo 2 giori il codice era tutto sporcato da script.


sto analizzando tutti i log di accesso se scopro qualcosa vi farò sapere, non saprei che altro dire. se questo problema ce l'ho solo io in tutto il mondo allora si vede che dipende da!! bo!!!

[mau_develop]

ma la 1.6 è vulnerabile a meno tu non abbia l'ultima 1.6.6

M.

[spakket]

scusami anche la 1.7?
perchè anche quella non va

[mau_develop]

mah... chi può dirlo... non ho ancora provato.
secondo me non ti accorgi di qualcosa che fai o che ricarichi.
Io proverei a rifare tutto da una distro live, se poi riesci a proxare le richieste puoi anche vedere se sei tu ad "inserire il problema".
secondo me ricarichi qualcosa che fa da backdoor, o hai rubato la donna di kevin mithnick e si è incaxato o è un automatismo, e un automatismo cerca sempre la "strada segnata"... se riesce vuol dire che la trova.

M.

[spakket]

vabbè!!
cmq vi ringrazio e vi farò sapere, sperando di mettere [RISOLTO]


ciaooo

[bertoandrea86]

Sì infatti, è nettamente impossibile che ti bucano 18 siti internet con hosting diversi e versioni diverse, con pc formattati, password diverse, versione vuota del cms...insomma le probabilità sono nulle! o_O
Quindi c'è qualche procedimento errato che fai tu per forza..comeha detto Mau, se hai rubato la donna a Kevin, beh, allora si può capire

[mauro77a]

Ciao,
ti capisco, ho il tuo stesso problema.

Ho ripristinato tutto controllato il mio pc da virus cambiate tutte le password, disinstallati tutti i componenti potenzialmente "cattivi" aggiornato tutto il resto e portato il sito in versione joomla quasi base.

Credevo di aver risolto.
Tempo una settimana 10 giorni ed il mio sito era nuovamente bucato!!!

Cosa fare? 

[mmleoni]

disinstallati tutti i componenti potenzialmente "cattivi"

è come li distingui da quelli sicuramente buoni? 
massima parte degli attacchi vanno a buon fine grazie ad errori di programmazione nei componenti più diffisi, e dai più ritenuti belli, buoni e sicuri.

hai per caso i log del webserver dei giorni precedenti all'attacco?

ciao,
marco

[mauro77a]

no purtroppo non ho i log.

Comunque se può interessare  a qualcuno dopo aver ripristinato il sito in seguito ad un code injection, il sito ha resistito per circa 7/10 giorni e dopo punto e a capo.

Ripristinato tramite akeeba con un backup pulito ed ora ho disattivato il componente Jnews (coponente che gestisce le newsletter).
Per ora il sito sta reggendo... spero sia dipeso da quel componente... se avrò nuovamnete problemi farò un comunicato. 

[mmleoni]

installa  questo e abilita il report via mail almeno per un po' di giorni:

http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731

ciao,
marco

[mauro77a]

già fatto... ma stranamente quando ho ricevuto questi attacchi non ho ricevuto nemmeno una mail di notifica..

[mmleoni]

a questo punto sì che m piacerebbe avere i logs 

ovviamente hai verificato che il plugin sia attivo e correttamente configurato...

prova così:
(pubblico l'attacco lfi dato che oramai lo conoscono tutti...)
www.example.com/index.php?option=com_ckforms&controller=../../../../../../../../../../../../..//proc/self/environ%00

al posto di example.com metti il tuo sito e vedi se arriva la mail di allerta.

ciao,
marco