-
- 1,198 Posts
Inserite
immediatamente quanto segue all’inizio del file Thumbnail.php (dopo il tag php e i commenti introduttivi ) di
qualunque versione di MODx:
In /manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php:
if(!isset($_SESSION['mgrValidated'])) {
die("<b>INCLUDE_ORDERING_ERROR</b><br /><br />Please use the MODx Content Manager instead of accessing this file directly.");
}
-
- 80 Posts
Grazie della notizia Banzai. Non l’avevo vista sul forum internazionale ed è ottimo che qualcuno la riporti.
Proprio ieri qualcuno ha sfruttato questa falla per installarmi uno sniffer nel mio sito. La cosa è durata pochi minuti, perché ricevuto l’allarme, è stato eliminando rapidamente e riportato tutto allo stato di sicurezza.
Però, non mi capacitavo proprio di come avesse fatto questa persona (tra l’altro italiano...) ad accedere in scrittura alle directory.
Proprio in questi giorni sto valutando l’ipotesi di utilizzare Modx per grossi progetti aziendali e questo episodio aveva gettato molti dubbi in merito.
Altri sistemi, non così flessibili come Modx (questo è il motivo per cui trovo che sia il migliore...) hanno sul lato sicurezza una consolidata stabilità che li rende molto affidabili. Il punto è che però spesso crearci sopra grosse web application diventa un patema d’animo di considerevole peso. Sto infatti cercando sistemi basati su principi di sviluppo più moderni.
Stavo ancora adesso cercando di analizzare l’attacco di ieri, ora ho trovato la risposta. Era stato individuato quel file, ma non avevo ancora compreso il motivo.
Ciao
-
- 1,198 Posts
Kimu sono
passati su tattoocms.it facendo un vero macello
attualmente ho sospeso il sito per poter controllare cosa mi hanno caricato sul server.
Anche da me sono stati dei
connazionali, sentiamoci su msn/icq e confrontiamo le varie info che abbiamo su questi simpaticoni..
-
- 96 Posts
Anche io sono stato attaccato, anche se apparentemente il sito non ne ha risentito.
L’ho scoperto tramite le statistiche di accesso, dove ho trovato un accesso alla pagina "incriminata".
Ho confrontato con WinMerge l’ultimo backup del sito e del DB con lo stato attuale, e non ho riscontrato differenze significative (nemmeno in config.inc.php)... però ho trovato nella cartella cgi-bin una sottocartella "test", con uno script perl (non mi ricordo il nome, l’ho cancellato) in ITALIANO che dà informazioni sul sistema (tipo: versione server web, ecc.). Non so se quel file è sempre stato lì (non tenevo il backup della cartella cgi-bin), o se l’ha messo l’hacker...
-
- 254 Posts
Sono stato fortunato, non hanno toccato nessuno dei miei siti...
-
- 80 Posts
Purtroppo non ci sono fino a stasera. Mi collego appena ritorno e ci sarò domani (e ovviamente durante la settimana...).
Appena possibile mettiamoci in contatto tramite icq/msn e confrontiamoci.
Quello che vi posso consigliare è di fare un confronto approfondito della ultimo backup che avete con quello attualmente sul sito.
Ancora stamattina ho trovato un altro script in una cartella che fungeva da sniffer. Era un rimasuglio di quanto installatomi ieri, ma l’ho trovato solo dopo aver fatto una comparazione tra i file.
Io uso linux e quindi ho in dotazione strumenti molto potenti in merito, non so dirvi per Windows o Mac.
Fate un controllo anche con l’ultimo dump del db.
Io eseguo backup costanti e quindi sono riuscito a ripristinare tutto molto velocemente.
@commodore64 anche se il tuo sito sembra intatto controlla bene, perchè ieri tra gli altri script mi sono ritrovato uno spam server, che ovviamente non si faceva notare in nessuna maniera (se non che quando si sarebbe messo in funzione il provider mi avrebbe avvisato del esagerato traffico email).
Io sono riuscito a reagire tempestivamente proprio grazie all’avviso che il provider mi ha fatto avere in pochi minuti.
@kudolink si, la falla colpisce solo i server con register_globals on, ma per non sbagliare l’applicherei comunque, di certo non fa male.
Ciao
-
- 1,198 Posts
Io con tattoocms.it sono stato più
drastico, perchè avevano combinato un bel casino:
ho direttamente eliminato tutto il cms, e sostituito con la RC1, infine ho ricaricato solo la cartella assets/images e i template per modx.
Eseguito l’installer della RC1 come update e adesso ho il sito pronto e con la RC1 installata.
@Commodore anche io ho trovato cose strane nella cartella CGI.
-
- 80 Posts
Una cosa che vorrei aggiungere è cambiate user e password del vostro db.
Chi conosceva la falla conosceva Modx e quindi anche il file config.inc.php dove queste informazioni vengono registrate belle in chiaro.
Probabilmente non le hanno sfruttate, ma lasciargliele in mano non mi sembra una buona idea, quindi cambiatele per renderle nulle.
E questo è valido per qualsiasi altro file voi possiate usare per accesso a db esterni o cose del genere,
-
- 1,198 Posts
per stare veramente tranquilli, dopo un evento simile, credo anche io che sia una buona idea