Dovrei gestire il contenuto di un sito e ne è stato deturpato.
Il sito è ospitato su un server Linux con Apache.
Versione di Apache: 2.2.13
La versione Linux è Debian 4.0 (penso di non avere accesso a qualcosa di più di un account ftp e phpmyadmin).
La pagina index.php è stata sostituita con una pagina vuota con il soprannome di internet dell'utente malintenzionato.
Ho installato una macchina virtuale Backtrack 5.
Ho gestito Armitage sul sito con un "Ave Maria" e non ho trovato servizi sfruttabili
Ho eseguito Joomla Scan ho ottenuto il seguente output (sto solo incollando i bit vulnerabili per il gusto di essere concisi):
# 1 Info -> Generic: htaccess.txt has not been renamed. Versions Affected: Any Check: /htaccess.txt Exploit: Generic defenses implemented in .htaccess are not available, so exploiting is more likely to succeed. Vulnerable? Yes
# 2 Info -> Generic: Unprotected Administrator directory Versions Affected: Any Check: /administrator/ Exploit: The default /administrator directory is detected. Attackers can bruteforce administrator accounts. Read: http://yehg.net/lab/pr0js/view.php/MULTIPLE%20TRICKY%20WAYS%20TO%20PROTECT.pdf Vulnerable? Yes
# 19 Info -> CorePlugin: TinyMCE TinyBrowser addon multiple vulnerabilities Versions effected: Joomla! 1.5.12 Check: /plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/ Exploit: While Joomla! team announced only File Upload vulnerability, in fact there are many. See: http://www.milw0rm.com/exploits/9296 Vulnerable? Yes
La conclusione che ho tratto da queste 2 scansioni è che l'utente malintenzionato non ha compromesso il sistema ma solo l'applicazione Web.
Ho provato a riprodurre il presunto attacco TinyMCE ma questo non mi ha portato da nessuna parte.
Ho trovato le istruzioni qui:
link
Ma non funzionano per me ottengo "Restricted Access" quando provo a navigare verso quegli URL presumibilmente vulnerabili e non vengono create cartelle o file come descritto nel documento.
Quindi sono bloccato.
Come hanno fatto?
Come posso impedirgli di farlo in futuro?
Non riesco ad aggiornare la versione di Joomla, questo è un sito molto vecchio e il tema smette di funzionare nelle versioni più recenti di Joomla. Potrei modificarlo ma questo mi mancherà molto del mio tempo, soprattutto perché non ho lavorato molto con Joomla dal 2008 (a parte la semplice gestione dei contenuti e qualche modifica qua e là).
Mi piacerebbe una soluzione semplice per impedire agli hacker di sfigurare il mio sito senza modificare troppo.
Grazie.
Upadte 1: w3af dice: L'URL: * * / index.php / component / k2 / itemlist / search è vulnerabile alla contraffazione della richiesta cross-site.
Potrebbero aver deturpato il mio sito con xssf? Non è solo per compromettere le macchine di persone che visitano un sito web particolare?