Autore Topic: code injection  (Letto 5875 volte)

Offline mauro77a

  • Nuovo arrivato
  • *
  • Post: 30
    • Mostra profilo
Re:code injection
« Risposta #20 il: 13 Set 2011, 18:46:09 »
ho subito nuovamente un code injection ma Marcos's SQL injection non ha avvertito nulla... ormai vado avanti a botte di ripristini con akeeba backup ... il sito dura un pò di giorni e poi pluff!! e affondato! :'( :-[ :o :o :o

mau_develop

  • Visitatore
Re:code injection
« Risposta #21 il: 13 Set 2011, 19:56:20 »
ormai vado avanti a botte di ripristini con akeeba backup ... il sito dura un pò di giorni e poi pluff!! e affondato!
------------------------------------------------------------------
probabilmente perchè riproponi sempre lo stesso problema contenuto nel backup.

se il plugin di marco non ha funzionato è perchè usano qualcosa direttamente.
MA CAMBI LE PASSWORD DI TUTTI I SERVIZI? ...ogni volta?

hai qualche estensione bucabile, sempre tu abbia l'ultima versione di Joomla

M.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:code injection
« Risposta #22 il: 13 Set 2011, 20:40:19 »
penso anche io che il problema possa trovarsi nel backup, molto probabilmente vi sarà un file che è stato modificato, o più probabilmente aggiunto, che agisce come cavallo di troia.

sarà abbastanza difficile trovare dove sta il problema senza i log di apache, prova a cercare funzioni quali gzinflate, base64_decode od eval nei file php e comparare questi con gli originali. se trovi qualcosa come eval(gzinflate(base64_decode('83u3nsbnsxy[et cetera]=='))) hai trovato un cavallo di troia. nota: le funzioni possono variare.

ciao,
marco

mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline mauro77a

  • Nuovo arrivato
  • *
  • Post: 30
    • Mostra profilo
Re:code injection
« Risposta #23 il: 14 Set 2011, 14:40:55 »
... ho estratto il file backup di akeeba con cui effettuo i ripristini e fatto una ricerca con notepad++
riesco a trovare queste parole ma separatamente così come in elenco ma non abbinate fra loro

gzinflate

base64_decode

eval

Offline mauro77a

  • Nuovo arrivato
  • *
  • Post: 30
    • Mostra profilo
Re:code injection
« Risposta #24 il: 14 Set 2011, 14:44:01 »
ad esempio questo mi sembra dannoso... ed è inserito in questo file libraries\phpxmlrpc\xmlrpc.php

    Line 615:  $GLOBALS['_xh']['value']=base64_decode($GLOBALS['_xh']['ac']);

    Line 2466:  print "<PRE>---SERVER DEBUG INFO (DECODED) ---\n\t".htmlentities(str_replace("\n", "\n\t", base64_decode($comments)))."\n---END---\n</PRE>";

mau_develop

  • Visitatore
Re:code injection
« Risposta #25 il: 14 Set 2011, 14:51:15 »
print "<PRE>---SERVER DEBUG INFO (DECODED)
---------------------------------------------
:) esatto,... guarda... ha lasciato anche gli appunti :)

M.

Offline mauro77a

  • Nuovo arrivato
  • *
  • Post: 30
    • Mostra profilo
Re:code injection
« Risposta #26 il: 14 Set 2011, 15:02:49 »
ok.. ma ci sono 33 files che contengono almeno questo testo: base64_decode

secondo te ogni stringa che contiene tale codice dovrebbe essere eliminata? oppure potrebbe anche essere del normale codice di programmazione?

Domanda da un milione di $$$ ?!??? :D :-\

mau_develop

  • Visitatore
Re:code injection
« Risposta #27 il: 14 Set 2011, 15:43:31 »
ok.. ma ci sono 33 files che contengono almeno questo testo: base64_decode
----------------------------------------------------------------------------------------------------------------

... non è stupido... il fatto che ti mette in difficoltà vuol dire che il suo lavoro lo ha fatto bene.

Se leggevi il mio post in testa alla sezione c'è sicuramente indicato di SOVRASCRIVERE tutti i files (tranne .htaccess .. bla bla)

questo cancella automaticamente tutte quelle stringhe anche fossero su 3000 file.
E' malsano aprirli uno a uno per vedere ti pare?

M.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:code injection
« Risposta #28 il: 14 Set 2011, 15:55:28 »
ad esempio questo mi sembra dannoso...

non è dannoso, ma è di joomla 1.5 e non 1.6. usa un comparatore di directories/files per verificare le differenze con i files nel pacchetto joomla.

inoltre base64 non è l'unico sistema di encoding usabile, bisognerebbe provare le vare funzioni.

attenzione che sovrascrivere non basta, l'hacker avrà aggiunto anche qualche files per non correre rischi. l'unica in questi casi è fare una installazione pulita e poi caricare il precedente db.

senza analisi dei logs però non vai da nessuna parte  :( :(


ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

mau_develop

  • Visitatore
Re:code injection
« Risposta #29 il: 14 Set 2011, 16:29:58 »
ma è di joomla 1.5 e non 1.6.
---------------------------------
a ecco ... nemmeno nella 1.7 vero? ... sennò mi manca... sai che nn mi sono mai accorto di quel codice nemmeno nella 1.5? :)

...scusa ma il sito è online, raggiungibile?  almeno te lo dico da lì come fa ... 0day non credo proprio ne esistano.

credo anch'io a qs punto siano indispensabili dei log... magari passa direttamente dal server

M.

 

Host

Torna su