Sito costantemente infettato

4

Sono il webmaster di alcuni siti Web che eseguono Typo3, 2 dei quali vengono costantemente infettati. Questi 2 siti sono di proprietà dello stesso cliente.

Qualcosa accade su quei 2 siti che fanno letteralmente infettare tutti i file * .php da qualche codice. Viene inserito nella parte inferiore. Fortunatamente l'infezione non fa molto perché ho i tag di php disabilitati e l'infezione dipende da esso (usa i tag brevi per eseguire il suo codice).

Ora la mia domanda è: come è possibile che quei siti vengano infettati per tutto il tempo? Mi sono assicurato che il computer del cliente fosse pulito (alla fine ha fatto un reinstallazione completo del formato) e anche il mio computer è pulito (assolutamente).

Che cosa posso fare per vedere come agisce la sceneggiatura, come è arrivata, ecc. Ricorda: io non sono l'hoster. I 2 siti sono su 2 diversi hosters. Lo script infetta tutti i file * .php, quindi non lascia più tracce (nessun file eseguibile, nessun script, niente fuori dall'ordinario. L'unica cosa che ho notato è che un file ._htaccess (non il file .htaccess) contiene codice per reindirizzare il file. utente basato sul referrer, anche questo non funzionerà dal momento che il file ._htaccess non viene mai eseguito ed è un file .htaccess dimostrativo per typo3).

Saluti Giovanni

    
posta John Smith 04.03.2013 - 18:31
fonte

4 risposte

5

Devi eseguire una risposta a un incidente, puoi assumere un'azienda come Trustwave, ma suppongo che tu non abbia i fondi per un investimento così grande.

Dato che stai usando un popolare sistema CMS aperto, sarà un obiettivo di attacco. È anche costruito su altri componenti open source, quindi potrebbero esserne influenzati. Naturalmente, ci sono un certo numero di altre vulnerabilità che sono possibili dato un numero qualsiasi di componenti di terze parti, built-in o birra fatta in casa. Puoi trovare un elenco di exploit e bug recenti su Elenco del database NIST CVE di Vulner Typo3 .

Ci sono alcune cose che potrebbero causare una massiccia infezione che sembra indiscriminata. Se le autorizzazioni dei file e delle directory non sono impostate correttamente, o se la proprietà di file e directory non è configurata correttamente, questo potrebbe essere il primo problema. Potrebbero esserci anche alcuni script o software che sono vulnerabili e hanno la capacità di eseguire codice arbitrario, e quindi possono scrivere e aggiungere qualsiasi file trovato. Se ha la capacità di eseguire arbitrariamente i comandi della shell, è facile cercare tutti i file php e iniettare il codice con poche righe di codice.

Un'altra possibilità potrebbe essere un difetto in un altro strumento che stai utilizzando, forse una console di gestione basata sul Web per l'hosting o un'applicazione di supporto come phpMyAdmin o qualche altro codice casuale è vulnerabile.

In ogni caso, il primo posto dove iniziare la tua indagine è esaminando i registri delle attività. Comincerei con i tuoi log di accesso ssh per determinare se qualcuno effettuasse l'accesso direttamente quando non credi di averlo fatto. Successivamente, dovresti controllare i log di accesso al tuo server. Se c'è qualche difetto in qualche applicazione web, probabilmente hanno dovuto impartire un comando contro la tua pagina. Potrebbero aver cercato su Google una determinata stringa di codice HTML in google e il target di tutti i siti che hanno trovato in generale. È così, probabilmente stanno rieseguendo il loro attacco ogni tanto per reinfettarti se non hai trovato il buco. Cercare le voci di registro che sembrano avere SQL injection o XSS. Questo potrebbe essere un processo laborioso, ma se pensi di conoscere il periodo di tempo in cui sei stato colpito, questo dovrebbe aiutare a limitare la tua ricerca.

Un altro controllo è che hai rimosso qualsiasi installazione o altri file che consiglia di rimuovere che potrebbero consentire a un utente malintenzionato di ripristinare i valori predefiniti, ecc. Inoltre, assicurati di utilizzare password solide e univoche. Dopo un attacco, consiglierei sempre di cambiare le password come precauzione.

Infine, ci sono spesso indizi nel codice exploit stesso. Lo hanno infettato per reindirizzare verso un determinato sito, hanno "greetz" o qualcos'altro che potresti essere in grado di google e trovare qualcun altro che parla di un forum? A meno che l'attacco non sia contro il tuo codice personalizzato, è probabile che qualcun altro sia stato colpito in modo simile.

    
risposta data 05.03.2013 - 02:06
fonte
5

I am the webmaster of some websites running Typo3, 2 of which are getting infected constantly. These 2 sites are being owned by the same client.

I am not the hoster. The 2 sites are on 2 different hosters.

E questa è la risposta giusta, penso. Cosa hanno in comune questi due siti che gli altri tuoi siti Typo3 non hanno ? Il cliente.

Probabilmente stai guardando un attacco automatico che utilizza password FTP compromesse e probabilmente una variante (ha sviluppato diversi payload) del PHP.Kriptik infezione. Puoi verificarlo controllando i log FTP.

Potrebbe anche darsi che quei siti abbiano estensioni specifiche uniche per loro (trovo improbabile che gli entrambi siano vulnerabili). Ci sono alcune vulnerabilità di estensione Typo3 di recente scoperta , anche se quelle che ho controllato non sembrano in grado di eseguire codice arbitrario o sovrascrittura di file (forse Fluid Extbase Development Framework, ma non sono stato in grado di trovare dettagli). Se è così, forse puoi verificare se esiste un modello per le modifiche del file (ad esempio, quelle nella directory di un'estensione specifica o qualcosa del genere).

    
risposta data 05.03.2013 - 20:45
fonte
2

Un sistema può avere tutti gli aggiornamenti del sistema operativo e del software, ma rimane comunque molto vulnerabile se il software è stato scritto usando una cattiva pratica di codifica. PHP e molti altri linguaggi hanno poca sicurezza integrata, spetta allo sviluppatore assicurarsi che il codice sia scritto bene. Quindi è molto probabile che manchi la convalida dell'input o altre cattive pratiche di codifica che hanno portato alle infezioni.

    
risposta data 04.03.2013 - 18:38
fonte
0

Non posso dirti esattamente cosa lo causa; ma posso sicuramente dirti come bloccarlo? Utilizzare un tipo di proxy del livello dell'applicazione; o meglio un firewall a livello di applicazione per analizzare i pacchetti diretti ai server Web infetti. Deve esserci qualche input che va in onda in post / ottieni i comandi che devi vedere. Altrimenti è solo una normale scansione * .php del crawler. Oppure puoi aggiornare la versione php usando uno scanner di applicazioni web aperto e vedere se porta qualche vulnerabilità. Non penso che lui (attaccante) abbia una backdoor perché non si affiderà a questo metodo di infezione. Probabilmente è una specie di parte non protetta di web-server / elenchi / directory o input errati in cui sta passando. Puoi utilizzare un crawler per vedere quali collegamenti interessanti trova.

    
risposta data 04.03.2013 - 20:23
fonte

Leggi altre domande sui tag