Joomla 1.5, cronaca di un attacco

lunedì 16 giugno 2008 - 8:14

di andrea.ferrini

Un tranquillo pomeriggio di Giugno, i pensieri vagano nella voglia di vacanze, poi all’improvviso arriva una mail scritta in inglese. All’inizio sembrava la solita pubblicità , invece riportava:

IT has come to our attention that you are hosting a fraudulent “phish” website that is attempting to steal account information from customers of NatWest.

in altre parole, la mail attirava la mia attenzione riguardo pagine fraudolente caricate in alcuni siti da me gestiti (Joomla 1.5 aggiornato all’ultima release senza componenti aggiuntivi) e che stavano catturando informazioni sensibili degli utenti di una banca inglese.

Mi segnalano un URL del tipo

/index/natwestbussinessbanking/Login.html

a quel punto accedo via FTP al mio hosting e a sopresa mi accorgo che quella cartella esiste ed è la da tre giorni. All’interno ci sono un paio di script PHP che in maniera abbastanza artigianale inviano i dati di un form generato da una pagina simile a quella della banca originale a un indirizzo email (@gmail). Subito mi sono detto: “e adesso che faccio?” e subito dopo “ma come hanno fatto?” e subito dopo ancora “e se qualcuno ci è già  entrato e ha fornito le proprie credenziali, ne sono responsabile anche io?”.

Confuso tra rabbia e indecisione, decido di affrontare il problema per passi e capire se effettivamente posso attribuirmi dei sensi di colpa:

  • Notifico il problema al mio provider, sperando di ricevere qualche informazione in più, qualche log o qualche suggerimento;
  • Rinomino le cartelle incriminate (aspetto una risposta dal provider prima di eliminarle, per non cancellare del tutto le tracce utili a ripercorrere il problema);
  • Rispondo all’utente (forse un ente responsabile della sicurezza della stessa banca) dicendo che ho provveduto a ripulire i file incriminati e che ne sto verificando le cause;
  • Prendo visione di tutti i log e delle statistiche per capire come abbiano potuto caricare pagine e script nel mio sito.

Mi concentro su quest’ultimo punto, perché se non individuo la falla, il problema si potrebbe ripresentare in futuro. Stupito dal fatto che possano essere entrati per un bug di Joomla, visto che è l’ultima versione disponibile (1.5.3) e sono state adottate tutte le best-practice di sicurezza, mi concentro su eventuali estensioni caricate: nessuna!

Chiedo al provider un elenco di URL visitati di recente per verificare eventuali tentativi di exploit, ma mi liquida dicendo che i CMS open source sono spesso soggetti a questi difetti. Sconsolato, elimino gli script ma mi resta il forte dubbio: “di chi sono allora le responsabilità ?”

Tags:, , , , ,

Categoria: CMS | Commenta

Commenti per Joomla 1.5, cronaca di un attacco

Ho avuto questo problema di recente su un sito, condivido i tuoi sbattimenti e dubbi.

Nel mio caso, in seguito all’attacco, sono stato più attento nei settaggi dei permessi alle cartelle (si, anche images/stories), ho installato Jdefender, componente + bot che ha il compito di limitare attacchi di vario tipo ai siti in J. Sembra funzionare, ogni giorno ricevo decine di mail di attacchi bloccati (con tanto di ip bannato) da improbabili siti. Quando contatto i gestori dei siti spesso non sanno nulla e mi ringraziano della segnalazione. E’ impressionante la quantità  di codice malevolo in circolazione.

Ad ogni modo spero che il tuo caso si risolva bene, a me ha implicato l’intervento della polizia postale, il sequestro del dominio (anche se le pagine erano state rimosse il giorno stesso della segnalazione – é la prassi) la creazione di un sito mirror su un altro dominio in cui dirottare i visitatori e varie pratiche per la richiesta di sblocco del dominio.

Più che di Joomla il problema sembra essere dei componenti 3party, chi caricare codice cerca una falla e fa la ricerca in google direttamente del com_incriminato.

Comincio a pensare che una buona soluzione sia inibire dal robot.txt tutti i componenti che non hanno a che fare direttamente con i contenuti del sito, perché é sempre dai motori che arriva a te, anche i danni!

# - Postato da Luca Futura 16 giugno 2008 alle 08:40

e capitato anche a me su un sito con la 1.0.15 pulito senza estensioni o moduli di terze parti, e mi hanno piazzato una cartella con dentro degli script, la cosa bella e che l’hanno fatto come utente root del server, infatti quelli dell’hosting si sono subito preoccupati

# - Postato da Victor 16 giugno 2008 alle 13:30

Chissà  come mai Google ha scelto come favicon l’anonima “g” minuscola. Secondo me é molto poco associabile alla grande G.

# - Postato da Simone Alati 16 giugno 2008 alle 14:52

WOW! Allora é così che fanno a fare i siti phishing! Dovrò stare molto attento.
Grazie mille per la segnalazione ;)

# - Postato da Angelo 16 giugno 2008 alle 15:57

Credo che dovremmo guardare oltre Joomla! Andrea ha detto chiaramente che moduli di terze parti (il 90% delle cause di attacchi riusciti) non ne ha installati, ha seguito per filo e per segno le policy di sicurezza, il CMS era all’ultima versione disponibile (di cui non si conoscono exploit)…insomma il problema non dovrebbe essere Joomla e questo (purtroppo) é ancora più grave! Scoprire (e bloccare) come un lamer riesca a “trovare” l’accesso FTP o riesca a crearsi determinati privilegi, credo sia molto più difficile che patchare un qualsiasi componente (a prescindere dal CMS usato).
Molto dipende anche dalla professionalità  dei fornitori di hosting, che per primi dovrebbero mobilitarsi per far si che cose di questo tipo non accadano più, invece non é sempre così.

# - Postato da Luca Grillo 16 giugno 2008 alle 17:29

concordo con luca, con la scusa che il software open source non e’ coperta da garanzia i provider tendono un po’ troppo a lavarsene le mani in caso di problemi.
Fanno presto a dire che non e’ colpa loro ma del cms installato

# - Postato da Victor 16 giugno 2008 alle 18:43

Come erano settati i permessi sulle cartelle in cui sono stati caricati i files?

# - Postato da Luca Futura 16 giugno 2008 alle 19:54

i minimi indispensabili per far funzionare joomla correttamente, ma ripeto erano stati creati con l’utente root infatti l’hosting provider non ha fatto storie e li ha cancellati e controllato per qualche giorno la situazione (io non avevo i permessi per cancellarli)

# - Postato da Victor 16 giugno 2008 alle 20:00

Dai log del webserver hai notato qualche request strana? Sarebbe interessante sottoporla agli sviluppatori di Joomla…

# - Postato da Andrea 26 giugno 2008 alle 15:15

Concordo, infatti é stato l’obiettivo primario della mia indagine. Dopo aver passato ore e ore a spulciare i raw-log ho solamente trovato entry relative a scansioni eseguite con Nessus alla ricerca cieca di exploit sulle più note web-application, ad esempio:


66.16.XX.XX – - [09/Jun/2008:19:14:36 +0200] “GET /post-nuke/index.php&… HTTP/1.1″ 404 1457 “-” “Mozilla/4.75 [en] (X11, U; Nessus)”

# - Postato da Andrea Ferrini 26 giugno 2008 alle 22:36

Concordo con chi dice che é colpa dei provider… ho joomla 1.5.3 installato con varie estensioni di terze parti e non ho nessun problema di questo tipo. Il web server lo gestisco io stesso e l’ho ben blindato, cosa che evidentemente alcuni provider non sono in grado di fare, più per motivi di incompetenza che di infrastruttura..
Cmq un conto é quello che é successo all’autore dell’articolo, che é un’eventualità  da prendere in considerazione, ma il commento a proposito della presa di possesso della macchina con account di root non si può sentire!! Cambia SUBITO provider!

# - Postato da Diego 4 luglio 2008 alle 10:44

la colpa dei provider mmmm io penso che la colpa siano dei webmaster cosi’ loro dicono di chiamarsi installando plugin vecchi o buggati esempio una galleria buggata normale che poi io ti entro dentro e ti faccio un macello la colpa e solo del deficente che ti fa il sito, che a sua volta dice no no tutto ok che andasse in quel posto , dopo 15 anni di sistemista ho sentito una vagonata di minkiate.

# - Postato da peppe 4 giugno 2010 alle 12:23

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>