un mio sito attacca altri indirizzi ip

[green12]

Il mio provider mi ha segnalato un problema proveniente da un mio sito che attaccherebbe alcune macchine... messaggio:
This is an automatic message that will not be sent anymore when the event below ceases. We detected a DoS/DDoS attack attempt to our network that is coming from an IP owned by your ASN. The IP off your network 151.13.214.9 was probably infected and are sending massive attacks to the IP (189.1.172.197). Please look at the logs below and take proper actions as soon as possible. If this server runs PHP, evaluate the possibility of inserting the line below inside php.ini (usually /etc), it ! will harden your server a bit more:

ora il mio provider dice che probabilmente ciò è dovuto a qualche cartella con permessi 777 che ha consentito agli intrusi di installare uno script.
Era già successo qualcosa del genere qualche mese fa quando mi hanno inserito un sito fac-simile delle Poste italiane nella cartella images.

La mia domanda è:
Andando dal pannello di amministrazione su Aiuto>info sistema> permessi cartelle.
trovo la lista dellle cartelle che devono essere scrivibili per far funzionare correttamente il sito o no?
In pratica devono rimanere tutte scrivibili le cartelle indicate nella lista o lo devono essere solo in fase di installazione? E nel caso devono rimanere scrivibili (777) come faccio a difendermi da attacchi del genere?
Grazie a chi ha la pazienza di rispondermi

[tomtomeight]

Leggi: http://forum.joomla.it/index.php/topic,117151.0.html

[green12]

Grazie, il post che hai linkato è molto utile anche se il mio quesito principale è: Come bisogna lasciare i permessi sulle cartelle indicate nel pannello di controllo : su Aiuto>info sistema> permessi cartelle?
Credo di aver capito che questa lista di cartelle deve rimanere tutta scrivibile (altrimenti sono segnalate in rosso)... è così?
Grazie ancora

[mau_develop]

non è quello il tuo problema.
Se hanno infilato qualcosa è perchè stai usando versioni obsolete o di Joomla e/o di qualche estensione.
Prima devi risolvere quello, poi dialoghi un po' col sysadmin del server e trovate "una quadra" sui permessi.
I permessi devono essere dati specificamente a owner, group, user ... dipende da chi sei tu su quello spazio del server

M.

[green12]

Quindi se la versione è aggiornata e i permessi sono tutti su scrivibile (nella lista in verde) non dovrei avere problemi?
La situazione è complicata perchè non sanno dirmi da quale sito è partito l'attacco ma solo che il sito è sulla mia macchina. Circa due mesi fa i dischi si sono "rotti" e i miei siti erano tutti aggiornati a 1.5.23 , viosto che non avevo copie più recenti li ho lasciati per un po' alla vecchia versione 1.5.22 forse è in questo momento che mi hanno "infilato qualcosa" o magari dipende da un'altro sito che non ha niente a che fare con joomla (ne ho diversi) fatto sta che i miei domini vanno continuamente offline e secondo il provider dipende dal grande traffico dei miei domini che generano molte query e la memoria non regge, quindi mi propongono un server dedicato che mi costerebbe però molto. A me non sembra di avere tanto traffico, anzi. Forse il traffico e l'aumento di queri potrebbe essere causato proprio da qualche intrusione che sfrutta i miei contatti o il mio spazio per fare spam o altro... il problema è trovarlo. Ho letto in un tuo post che c'è un tool per trovare malware sui siti... forse la prima cosa da fare è capire proprio dove sono sti files. La seconda cosa è di trovare un nuovo provider che gestisce meglio i siti joomla (accetto consigli). Grazie

[mau_develop]

Quindi se la versione è aggiornata e i permessi sono tutti su scrivibile (nella lista in verde) non dovrei avere problemi?
--------------------------------------
 non ho detto questo, ho detto che se è aggiornata il problema dei permessi è secondario per la sicurezza. Ma non esiste un settaggio uguale per tutti.. dipende da come è configurata la macchina

da quale sito è partito l'attacco ma solo che il sito è sulla mia macchina
--------------------------------------
se è realmente un dos di sicuro non usano il framework di joomla sarà nella root della macchina

secondo il provider dipende dal grande traffico dei miei domini che generano molte query e la memoria non regge, quindi mi propongono un server dedicato che mi costerebbe però molto. A me non sembra di avere tanto traffico,
------------------------------------------------------------------------
sia in un caso che in un altro non servono opinioni.. tanto..poco..., servono dati.

l problema è trovarlo. Ho letto in un tuo post che c'è un tool per trovare malware sui siti...
------------------------------------------------------------------------------------
I tool per trovare vulnerabilità, paradossalmente, servono solo a chi ne potrebbe fare anche a meno
No, non è una cosa assurda, trovano le cose che gli dici di cercare e ti ritornano anche un sacco di caxate... è solo la tua capacità che fa la differenza.

Un bel tool che fa qualcosa di simile è w3af, tra i plugin ha qualche ricerca di shell e simili.

Ma anche se guardi la vulnerabilità segnalata da Jecko trovi che è stato usato un tool, burp. ... anche lui potrebbe essere d'aiuto per vedere cosa succede durante una transazione.

M.

Il mio provider mi ha segnalato un problema proveniente da un mio sito che attaccherebbe alcune macchine...
--------------------------------------------------


The IP off your network 151.13.214.9 was probably infected and are sending massive attacks to the IP (189.1.172.197)
---------------------------------------------------------------------------------------------------------

Comunque è il tuo pc che dossa...almeno da qs segnalazione, a meno che tu non abbia un server casalingo con ip fisso infostrada.

[mau_develop]

Allora, ho visto il pm... per il momento aspetta..

Andare avanti un po' anche se non si risolve nulla ...(difficile) è utile per affrontare qs problematiche

Ricominciamo,... fammi capire questa cosa:
-------------------------
Il mio provider mi ha segnalato un problema proveniente da un mio sito che attaccherebbe alcune macchine... messaggio:
This is an automatic message that will not be sent anymore when the event below ceases. We detected a DoS/DDoS attack attempt to our network that is coming from an IP owned by your ASN. The IP off your network 151.13.214.9 was probably infected and are sending massive attacks to the IP (189.1.172.197). Please look at the logs below and take proper actions as soon as possible. If this server runs PHP, evaluate the possibility of inserting the line below inside php.ini (usually /etc), it ! will harden your server a bit more:
----------------------------------------

ma il tuo provider è infostrada? ..intendo quello dove hai il sito in hosting... non quello della tua adsl

M.

[green12]

no, il mio provider ha le macchine su farm wind a Roma e sta meditando di passare ad altro visto i recenti problemi (mi pare che anche aruba avesse i server li) recentemente ci sono stati diversi problemi che comunque non riesco a capire se sono tutti problemi di farm o anche miei. Per questi problemi di wind ho perso i dati di parecchi siti di cui purtroppo avevo bakup vecchi e sto facendo un lavoraccio per aggiornarli nuovamente. Ho "minacciato" di cambiare provider se non avessero risolto ma li conosco da parecchi anni e si è creata una certa amicizia, quindi per il momento sto soprassedendo anche se mi chiedo come andrebbero su un host diverso.

[mau_develop]

... guarda... secondo me hanno fatto qualcosa alla macchina e non a joomla, non riesco a capire che senso possa avere usare come vettore joomla per un attacco dos.
E se sono entrati nella macchina serve qualcosa di più che un semplice guardare i files, ci sarà qualche rootkit in giro.
Se invece hanno usato lo spazio web ..bah... prova cercare file strani, magari con estensione .pl

Se poi il provider è amico come dici non capisco che difficoltà abbia a trovare il problema.

..un'altra cosa: "Please look at the logs below"

quali log?

M.

PS: fare questi lavori professionalmente è un casino, servono contratti e autorizzazioni specifiche a fare "cose" nonchè liberatorie degli intestatari...
Non farli professionalmente... è da stupidi e si finisce nei guai. Sembra una realtà virtuale... ma i casini sono sempre reali:)

[green12]

questo è il messaggio completo, forse ci capisci qualcosa, per me è incomprensibile. Il mio provider ha detto che ha applicato la regola del server che viene qui suggerita:

This is an automatic message that will not be sent anymore when the event below ceases. We detected a DoS/DDoS attack attempt to our network that is coming from an IP owned by your ASN. The IP off your network 151.13.214.9 was probably infected and are sending massive attacks to the IP (189.1.172.197). Please look at the logs below and take proper actions as soon as possible. If this server runs PHP, evaluate the possibility of inserting the line below inside php.ini (usually /etc), it ! will harden your server a bit more:
 
disable_functions = escapeshellarg, escapeshellcmd, exec, passthru, proc_close, proc_open, shell_exec, system, dl, popen, php_check_syntax, php_strip_whitespace, symlink, link, openlog, apache_child_terminate, ini_alter, parse_ini_file, show_source
 
As a temporary action, you can block this attack using iptables with the following syntax:
iptables -A OUTPUT -d 189.1.172.197 -j DROP


Esta e uma mensagem automatica que nao mais sera enviada quando o evento cessar. Detectamos um ataque direcionado a nossa estrutura proveniente de um IP de vossa responsabilidade. O IP de sua rede 151.13.214.9 provavelmente sofreu uma invasao e esta enviando ataque para nossa estrutura (189.1.172.197). Seguem abaixo nossos logs de tentativas de acesso do IP 151.13.214.9 para que possam tomar as providencias. Caso nao localizem a aplicacao que esteja gerando este trafego, uma alternativa e bloquear o mesmo usando! iptables. Para isso basta usar a seguinte linha de comando: ip tables -A OUTPUT -d 189.1.172.197 -j DROP
 
LOG (GMT -3)

02:59:04.146972 IP 81.176.76.66 > 189.1.172.197: udp 02:59:04.147110 IP 77.223.131.74.49056 > 189.1.172.197.appss-lm: UDP, length 8192 02:59:04.147574 IP 81.176.76.66 > 189.1.172.197: udp 02:59:04.147697 IP 77.223.131.74 > 189.1.172.197: udp 02:59:04.147835 IP 151.13.214.9 > 189.1.172.197: udp 02:59:04.147959 IP 81.176.76.66 > 189.1.172.197: udp 02:59:04.148140 IP 81.176.76.66 > 189.1.172.197: udp 02:59:04.148308 IP 77.223.131.74 > 189.1.172.197: udp 02:59:04.148578 IP 81.176.76.66 > 189.1.172.197: udp 02:59:04.149009 IP 77.223.131.74 > 189.1.172.197: udp
www.FIRELAYER.com.br - DDoS Prevention
 

[mau_develop]

Se seguendo il mio tutorial in testa alla sezione non hai trovato corrispondenze con il tuo caso credo che joomla non centri nulla.

credo proprio tu abbia un rootkit sulla macchina, joomla può essere stato il passaggio.
qualcuno sta attaccando il servizio udp di quel server brasiliano. L'attacco è DDos, ovvero distribuited denial, infatti se guardi i log tu sei uno degli attaccanti, altri vengono dalla russia e dal brasile stesso

Il mio provider ha detto che ha applicato la regola del server che viene qui suggerita
--------------------------------------------
...si può averlo bloccato temporaneamente.. ma se è root....
l'istruzione serve al firewall iptables per droppare tutte le richieste verso il suo server... ma il tuo rimane bucato
se è una macchina linux.. credo di si bisogna stopparla e cercare il problema, magari aiutandosi con rkhunter o chkrootkit... ma probabilmente fai prima a piallarla e reinstallarla... o se ha backup del sys

M.