Autore Topic: code injection  (Letto 5873 volte)

Offline spakket

  • Nuovo arrivato
  • *
  • Post: 9
  • Sesso: Maschio
    • Mostra profilo
code injection
« il: 26 Lug 2011, 23:30:18 »
salve ragazzi, sono dieci giorni che subisco attacchi di code injection su siti realizzati in joomla 1.5.23.
l'attacco inserisce del codice script su tutti i file index.php e index.html e cambiano anche i permessi ai file, facendo crollare il sito e riempire il pc di zozzeria.

quindi vi chiedo se sta capitando anche a voi? spero che parteciperete a questa discussione perchè il problema è serio visto che hanno attaccato anche joomla 1.6
se volete vi posto tutti gli script malevoli e i log di accesso all'ftp

grazie!!

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:code injection
« Risposta #1 il: 27 Lug 2011, 00:13:37 »
no, non postare la monnezza,  meglio il porta a porta nel senso di differenziati..
da quello che dici posso immaginare che  tieni qualche contatore di visite esterno?
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline spakket

  • Nuovo arrivato
  • *
  • Post: 9
  • Sesso: Maschio
    • Mostra profilo
Re:code injection
« Risposta #2 il: 27 Lug 2011, 00:20:09 »
contatote di visite esterno histats, se poi intendi contatore dei log ho richiesto i report ad aruba

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:code injection
« Risposta #3 il: 27 Lug 2011, 00:24:32 »
da almeno dieci anni si sa in rete che dai servizi esterni entrano gli spammers per riempire le pagine dei siti vuoti con le loro sozzerie che poi non sono altro che stringhe che gli servono per far salire i loro siti nei motori di ricerca..
togli i contatori esterni e così gli chiudi le porte.
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline spakket

  • Nuovo arrivato
  • *
  • Post: 9
  • Sesso: Maschio
    • Mostra profilo
Re:code injection
« Risposta #4 il: 27 Lug 2011, 00:29:59 »
ma non entrano da li perchè ho messo il contatore solo a 3 siti ma ne hanno buttati giù 15. sono dieci giorni che cambio psw su cms, fto, db, backup db , ftp etc etc.
dopo migliaia di prove penso che sia qualcosa del sistema visto che attaccano anche il sitema appena installato tutto pulito sia della 1.5.23 che la 1.6. non uso moduli e/o componenti strani, cmq tutti controllati.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:code injection
« Risposta #5 il: 27 Lug 2011, 00:33:39 »
sarà il server ad essere bucherellato come una groviera allora..
tu comunque le porte tienile chiuse che quando poi entrano non è che si limitano ad un sito ma da li poi accedono alla macchina intera se sono quelli cattivi.
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline spakket

  • Nuovo arrivato
  • *
  • Post: 9
  • Sesso: Maschio
    • Mostra profilo
Re:code injection
« Risposta #6 il: 27 Lug 2011, 00:40:34 »
ti complico ulteriolmene le cose!!
in totale i siti attaccati sono 18 su tre manteiner diversi ognuno con dominio, ftp, db proprio. tutte psw diverse (che ogni volta per ricordarle è un'impresa)
ho pensato che fosse un problema mio a livello di pc, allora ho formattato tutti e tre i pc e ho tolto winzozzo e ho messo mac, cambiato router (ipotizzavo anche un attaco al mio ip).
insomma le sto provando tutte ma niente passano 2 giorni e uno alla volta cominciano a cadere.
bo!!!!!

mau_develop

  • Visitatore
Re:code injection
« Risposta #7 il: 27 Lug 2011, 14:29:28 »
ma va dai... non ti accorgi di qualche cosa che lasci... backdoor probabilmente.

Se su uno qualsiasi dei tuoi domini attaccati pialli tutto e installi da pacchetto vergine puoi lasciarla li quanto vuoi ma non inietta nulla nessuno.

M.

Offline spakket

  • Nuovo arrivato
  • *
  • Post: 9
  • Sesso: Maschio
    • Mostra profilo
Re:code injection
« Risposta #8 il: 27 Lug 2011, 15:19:36 »
mau_ ho fatto tutte le prove possibili, ho installato la 1.6 pulita senza template senza moduli, vergine. dopo 2 giori il codice era tutto sporcato da script.


sto analizzando tutti i log di accesso se scopro qualcosa vi farò sapere, non saprei che altro dire. se questo problema ce l'ho solo io in tutto il mondo allora si vede che dipende da!! bo!!!

mau_develop

  • Visitatore
Re:code injection
« Risposta #9 il: 27 Lug 2011, 15:51:39 »
ma la 1.6 è vulnerabile a meno tu non abbia l'ultima 1.6.6

M.

Offline spakket

  • Nuovo arrivato
  • *
  • Post: 9
  • Sesso: Maschio
    • Mostra profilo
Re:code injection
« Risposta #10 il: 27 Lug 2011, 15:52:37 »
scusami anche la 1.7?
perchè anche quella non va

mau_develop

  • Visitatore
Re:code injection
« Risposta #11 il: 27 Lug 2011, 16:11:57 »
mah... chi può dirlo... non ho ancora provato.
secondo me non ti accorgi di qualcosa che fai o che ricarichi.
Io proverei a rifare tutto da una distro live, se poi riesci a proxare le richieste puoi anche vedere se sei tu ad "inserire il problema".
secondo me ricarichi qualcosa che fa da backdoor, o hai rubato la donna di kevin mithnick e si è incaxato o è un automatismo, e un automatismo cerca sempre la "strada segnata"... se riesce vuol dire che la trova.

M.





Offline spakket

  • Nuovo arrivato
  • *
  • Post: 9
  • Sesso: Maschio
    • Mostra profilo
Re:code injection
« Risposta #12 il: 27 Lug 2011, 16:17:38 »
;) vabbè!!
cmq vi ringrazio e vi farò sapere, sperando di mettere [RISOLTO]


ciaooo

Offline bertoandrea86

  • Appassionato
  • ***
  • Post: 433
  • Sesso: Maschio
  • siti coupongratuiti.com / gruppirock.it
    • Mostra profilo
Re:code injection
« Risposta #13 il: 08 Ago 2011, 00:55:58 »
Sì infatti, è nettamente impossibile che ti bucano 18 siti internet con hosting diversi e versioni diverse, con pc formattati, password diverse, versione vuota del cms...insomma le probabilità sono nulle! o_O
Quindi c'è qualche procedimento errato che fai tu per forza..comeha detto Mau, se hai rubato la donna a Kevin, beh, allora si può capire :D

Offline mauro77a

  • Nuovo arrivato
  • *
  • Post: 30
    • Mostra profilo
Re:code injection
« Risposta #14 il: 05 Set 2011, 17:53:26 »
Ciao,
ti capisco, ho il tuo stesso problema.

Ho ripristinato tutto controllato il mio pc da virus cambiate tutte le password, disinstallati tutti i componenti potenzialmente "cattivi" aggiornato tutto il resto e portato il sito in versione joomla quasi base.

Credevo di aver risolto.
Tempo una settimana 10 giorni ed il mio sito era nuovamente bucato!!!

Cosa fare?  :'( :'( :'(

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:code injection
« Risposta #15 il: 07 Set 2011, 22:15:31 »
disinstallati tutti i componenti potenzialmente "cattivi"

è come li distingui da quelli sicuramente buoni?  ;D ;D
massima parte degli attacchi vanno a buon fine grazie ad errori di programmazione nei componenti più diffisi, e dai più ritenuti belli, buoni e sicuri.

hai per caso i log del webserver dei giorni precedenti all'attacco?

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline mauro77a

  • Nuovo arrivato
  • *
  • Post: 30
    • Mostra profilo
Re:code injection
« Risposta #16 il: 08 Set 2011, 18:17:13 »
no purtroppo non ho i log.

Comunque se può interessare  a qualcuno dopo aver ripristinato il sito in seguito ad un code injection, il sito ha resistito per circa 7/10 giorni e dopo punto e a capo.

Ripristinato tramite akeeba con un backup pulito ed ora ho disattivato il componente Jnews (coponente che gestisce le newsletter).
Per ora il sito sta reggendo... spero sia dipeso da quel componente... se avrò nuovamnete problemi farò un comunicato.  ;)

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:code injection
« Risposta #17 il: 08 Set 2011, 18:28:35 »
installa  questo e abilita il report via mail almeno per un po' di giorni:

http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731

ciao,
marco

mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline mauro77a

  • Nuovo arrivato
  • *
  • Post: 30
    • Mostra profilo
Re:code injection
« Risposta #18 il: 08 Set 2011, 20:05:07 »
già fatto... ma stranamente quando ho ricevuto questi attacchi non ho ricevuto nemmeno una mail di notifica.. :o :o :o

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:code injection
« Risposta #19 il: 09 Set 2011, 08:55:00 »
a questo punto sì che m piacerebbe avere i logs  :(

ovviamente hai verificato che il plugin sia attivo e correttamente configurato...

prova così:
(pubblico l'attacco lfi dato che oramai lo conoscono tutti...)
www.example.com/index.php?option=com_ckforms&controller=../../../../../../../../../../../../..//proc/self/environ%00

al posto di example.com metti il tuo sito e vedi se arriva la mail di allerta.

ciao,
marco

mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

 

Host

Torna su