[Vai al menu di navigazione del blog]

[Leggi il post]

Storia di un defacement per Joomla

Mercoledì 5 Dicembre 2007 - 16:21

di Claudio Garau

CMS

In questi giorni ho letto un articolo abbastanza recente, risale al Settembre scorso, in cui si racconta di un sito Web creato con Joomla che ha subito un defacement, delle cause che hanno portato al danneggiamento e delle modalità con cui è stato perpetrato l’attacco.

Per chi non sapesse cos’è un defacement, riporto la definizione di Wikipedia riguardante questo termine:

Defacing (termine inglese che, come il suo sinonimo defacement, ha il significato letterale di “sfregiare, deturpare”, in italiano reso raramente con defacciare) nell’ambito della sicurezza informatica ha il significato di cambiare illecitamente la home page di un sito web (la sua “faccia”) o modificarne, sostituendole, una o più pagine interne.

Cerchiamo di riassumere la vicenda nelle sue fasi più salienti:

  1. gli autori del post, che gestiscono un server per l’hosting, si rendono conto che un sito basato su Joomla ha subito un attacco, la home page è stata modificata;
  2. la prima soluzione è stata semplicemente quella di ripristinare la Home page originale, ma l’attacco si è ripetuto più volte con le stesse modalità;
  3. a questo punto per risolvere il problema si è resa necessaria un’analisi più accurata; dal monitoraggio è risultato un problema derivante dai permessi di scrittura settati in installazione sui file. La soluzione adottata è stata naturalmente quella di restringerli al minimo indispensabile;
  4. i problemi però non sono finiti perchè appena una settimana dopo il sito ha subito l’ennesimo attacco; questa volta non è l’index.php a patire il danno, ma il file di configurazione che è stato completamente sovrascritto. Per quale motivo? “configuration.php” aveva i permessi di scrittura settati in modo tale da permetterne la sovrascrittura;
  5. una volta risolto il problema, è partita una nuova operazione di monitoraggio e finalmente è stato individuato il colpevole: un modulo di terze parti per la creazione di gallerie, quest’ultimo ha praticamente aperto la strada per l’introduzione di script per editare file e scatenare i defacement.

La lezione quindi è abbastanza chiara, Joomla è in generale un CMS sicuro, non sempre si può dire lo stesso dei moduli di terze parti prodotti per integrarlo; naturalmente la stessa affermazione può essere estesa a tutti i CMS.

Tags:

Categoria: CMS | Permalink

Commenti

1

Il fatto che un appartamento abbia una porta blindata non è sufficiente per tenere fuori gli intrusi se la lasciamo aperta! Io stesso ho avuto problemi di sicurezza sul mio sito dovuti ad un problema nel settaggio dei permessi.

Sia Joomla che Mambo hanno un’infinità di moduli e componenti sviluppati da terze parti e, anche se in genere l’attenzione alla sicurezza è alta, capita che ci siano errori o parti non perfettamente curate… soprattutto se, nella frenesia dello sviluppo, non ci si accorge che la versione del compoente che stiamo installando non è l’ultima disponibile.

Mi ricordo ad esempio dell’ExtCalendar, un modulo per gestire gli eventi che a suo tempo mi ha dato parecchi problemi legati alla sicurezza.

un pò di sbattimento, ma alla fine è tutta esperienza…

# - postato da Luca Futura - 05 Dicembre 2007 - 16:28

2

I Cms si usano solamente se si ha un server blindato nelle maniere opportune e gli accessi (di utenti diversi dall’autore o dagli autori) sono in sola lettura…..

Mi stupisce che ci sia gente che non conosce cose così elementari……

# - postato da Ratamusa - 06 Dicembre 2007 - 11:30

3

Grazie Claudio della info ma si potrebbe sapere che modulo era???
Sai se c’è l’ho installato sul mio sito lo tolgo :d

# - postato da stefano riga75 - 06 Dicembre 2007 - 11:38

4

Ciao Stefano, l’articolo parla di un “third-party gallery module” ma purtroppo non mi sembra ne riporti il nome.

# - postato da Claudio Garau - 06 Dicembre 2007 - 12:46

5

mi interesserebbe sapere di che modulo si tratta,
grazie

# - postato da Marco Gaidolfi - 11 Dicembre 2007 - 13:46

6

Il link all’articolo è errato…

# - postato da fmortara - 30 Dicembre 2007 - 16:51

7

Aprendo i link di questo post o quello del post precedente, ho ricevuto un virus rilevato da NAV 2007: http://securityresponse.symant.....18-4323-99

Non so se l’ho ricevuto dal sito immerda.ch o da forum.joomla o help.joomla… L’avviso di Norton corrisponde all’apertura di joomla, e ho dovuto anche riavviare il PC.

ciaooooo

# - postato da fmortara - 30 Dicembre 2007 - 17:24

8

Strano, il mio antivirus non mi rileva nulla (uso NOD32), sicuro che il Pc non fosse già infetto?

# - postato da Claudio Garau - 04 Gennaio 2008 - 01:05

9

si…
ecco il log di Nav:
Origine: C:Documents and SettingsFrancescoImpostazioni localiTemporary Internet FilesContent.IE54P2J45YVn14046[1].htm
Categoria rischio: Virus
Impatto complessivo dei rischi: Alto
Prestazioni: 1
Per ulteriori informazioni sul rischio, fare clic su: Downloader
Azione intrapresa: Bloccato

# - postato da fmortara - 04 Gennaio 2008 - 01:59

10

comunque anche a me, poi non lo ha più dato… come se inseirsse l’ip in una whitelist…

# - postato da fmortara - 04 Gennaio 2008 - 02:00

Inserisci il tuo commento:





(puoi usare i seguenti tag HTML per formattare il testo -
a href, b, i, br/, p, strong, em, ul, ol, li, blockquote, pre):

 

Anteprima del commento