Avviso sui Cookie - Questo sito non svolge alcuna attività di profilazione. Tuttavia, per rendere disponibili alcune funzionalità ed assicurare ai visitatori una esperienza di navigazione ottimale, questo sito fa uso di cookie. Leggi la nostra informativa sui Cookie prima di proseguire la navigazione. Proseguendo la navigazione su questo sito gli utenti acconsentono al ricorso di cookie e tecnologie simili online da parte nostra.
MENU
 Home   News   Download   Forum   Blog   Link   Uploads   Siti Web   Album   Admin 

Forum di New-CMS

Indice Forum
Bar di new-cms.org
Bar informatico
Discussione : Intrusioni probabili tramite ftp
Avatar Offline
Autore : xad
Rango : Esperto
Discussioni  : 14
Messaggi  : 65
Visite : 396
 
 Pubblicato : 29/10/2014 - 12:38
 Letto 703 volte
Vorrei portare alla vostra attenzione quello che sta accadendo ad un sito con new-cms da me gestito. Ultimamente nella root trovo un file con nome casuale estensione php contenente un codice criptato. Si può facilmente decriptare tramite servizi online. Penso sia utilizzato per creare invio spam.
Casualmente abbiamo notato la creazione del file dopo la connessione da parte di un utente con mac os e filezilla. In rete ho trovato altre indicazioni su possibili furti di password in chiaro tenute dal client filezilla all'interno di file xml.
Al momento ancora è in fase di analisi, ma volevo portare alla vostra attenzione questa situazione.
Naturalmente è possibile e consigliabile confrontarsi in modo da evitare altri attacchi su altri siti.
grazie
angelo


http e-mail Stampa Cita    
Risposta #1 : Intrusioni probabili tramite ftp
Avatar Offline
Autore : vania
Rango : Admin
Discussioni  : 85
Messaggi  : 2772
Visite : 5323
 
 
 Pubblicato : 29/10/2014 - 16:00
Ciao. Non mi pare che centri il CMS, almeno se si tratta di furto di password. Le password sono criptate, se la password è debole cambiare la password. Le password sonio criptate in MD5, quand'anche uno riuscisse a visualizzare i codici criptati, il che non è possibile, occorrerebbero 3 o 4 giorni per decriptare una password semplice con un computer molto molto potente (ad esempio in grado di usare la GPU per il decriptaggio). Con password abbastanza complesse (7-8 caratteri tra cui numeri e megari un simbolo) ci vorrebbero settimane.
Per quanto riguarda Filzilla dubito che abbia password in chiaro, anche li sono criptate. Vale lo stresso discorso: usere password più o meno complesse.
Poi potrebbe essere che il file che hai trovato sia un file di log   messo lì da qualche script del server, anche se di solito non mi è capitato di vedere file di log con estensione php.
Come si chiama sto file?


Come fare un offerta per contribuire allo sviluppo di New-CMS
http e-mail Stampa Cita    
Risposta #2 : Intrusioni probabili tramite ftp
Avatar Offline
Autore : xad
Rango : Esperto
Discussioni  : 14
Messaggi  : 65
Visite : 396
 
 
 Pubblicato : 30/10/2014 - 08:29
Ciao, il file era stato inserito nella root e non è un log ma uno script. Filezilla purtroppo usa un file in chiaro, un filezilla.xml all'interno della cartella utente.
Da una verifica dell'hosting il file sembrerebbe stato inserito tramite ftp da un pc della rete lan interna del titolare stesso del sito.
Il file se ti interessa per studio te lo mando in allegato email, sia versione criptata che in chiaro.
Purtroppo lo stesso attacco è stato fatto anche ad un'altro sito new-cms.   
Unica forma urgente usata per cercare di capire e bloccare tale tipo di attacco è il cambio delle password.
VI aggiorno su eventuali sviluppi
   
Saluti
angelo
http e-mail Stampa Cita    
Risposta #3 : Intrusioni probabili tramite ftp
Avatar Offline
Autore : vania
Rango : Admin
Discussioni  : 85
Messaggi  : 2772
Visite : 5323
 
 
 Pubblicato : 30/10/2014 - 11:41
Ma da come lo dici sembra sia un problema specifico di new-cms quando invece è un problema di Filezilla/Windows. Ora può darsi che ci sia qualche falla in new-cms attraverso il quale il virus possa essere stato caricato nel computer, ma dato che l'utente può prendere qusto virus da una qualunque pagina in rete, mi pare quanto meno strano che qualcuno si sia messo li ha studiare falle specifiche del cms. Oltre tutto questi attacchi riguardano una miriade di utenti che sicuramente non sanno neanche cos'é new-cms e mai hanno visitato siti new-cms.
   
Ho trovato qualcosa riguardo al problema di Filezilla ed è più grave di quanto hai detto. Non solo vengono memorizzate le password in chiaro, ma se da oggi decidi di non memorizzare la password, questa rimmarrà comunque visibile nello storico del browser, veramente scandaloso..
   
Vediamo di esaminare le soluzioni per prevenire e per curare il problema:
   
1) usare sistemi Linux per navigare, o sistemi in macchina Virtuale (blindare la macchina senza condivisione cartelle con il sistema prinicipale);
2) se si usa Windows usare una versione con cui è possibile criptare le cartelle, e criptare le cartelle in cui sono memorizzate le password da filezilla   (con windows 7 home, XP.. non si può).
3) anche se si usa Linux, non si sa mai, criptare la cartella in cui Filezilla memorizza i dati (home/utente/.config/filezilla);
4) non usare Filezilla, ma poi magari ci si ritrova ad usare un client peggiore che memorizza comunque password in chiaro; è da ricercare un client sostitutivo ed assicurarsi che non lo faccia;
5) quando ci si logga ad un sito new-cms, ma anche tutti gli altri, non vedo alternative rispetto alla memorizzazione della password, NON MEMORIZZARE LA PASSWORD: per memorizzare la password questa viene scritta in chiaro nei cookie ed un virus penetrato nel nostro computer potrebbe andare alla ricerca di password nei cookie;
6) criptare la cartella dove vengono memorizzati i cookie dal browser in uso.
   
Infine, non so se è il caso specifico, c'è un virus che infetta i siti aggiungendo codice ai file .js, quindi:
   
1) controllare i .js, il codice viene aggiunto alla fine del file;
2) sostituire i file .js; nel caso caso di new-cms riuppate la cartella struttura e la cartella admin/ckeditor, in questo modo verranno sovrascritti tutti i .js presenti nel cms.
   
Il discorso principale è questo: se siete webmaster quando gestite uno o più siti non fatelo da macchine Windows, usate Linux. Usare windows non metterà soltanto a rischio il vostro computer ed i vostri siti, ma anche i computer di coloro che visitano i vostri siti (usando Windows).


Come fare un offerta per contribuire allo sviluppo di New-CMS
http e-mail Stampa Cita    
Risposta #4 : Intrusioni probabili tramite ftp
Avatar Offline
Autore : Paolo64
Rango : Principiante
Discussioni  : 102
Messaggi  : 358
Visite : 863
 
 
 Pubblicato : 5/01/2015 - 14:44
Avevo letto un pò di settimane fa che ci sono versioni "modificate" di filezilla in grado di lasciare falle nei programmi uppati. L'unica è di fare attenzione da dove si scarica filezilla e possibilmente farlo solo dal sito ufficiale.
http Stampa Cita    

Informativa sulla Privacy - Informativa sui Cookie - Contattaci

New-CMS 2.9.7 Valid CSS Valid html 5 GNU General Public License
This page was created in 0.0472 seconds
Contenuto del div.