Raport FOX-IT, dotyczący zagrożeń ukrytych we współdzielonych skryptach komercyjnych, które często, są częścią aktywnych botnetów.

https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf

https://www.kylos.pl/blog/cryptophp-czyli-powazny-backdoor-w-wordpress-joomla-i-drupal/

(https://www.kylos.pl/blog/cryptophp-czyli-powazny-backdoor-w-wordpress-joomla-i-drupal/)

Swoją drogą - no dobra - jeżeli w zaistniałej sytuacji kiedy atak jest automatyczny - wykonany przez roboty przekierujemy zapis plików typu obrazy na całkiem inny katalog niż images - pozostawiając naturalnie ten katalog ale tylko do odczytu i blokując w nim całkowicie możliwość zapisu to przy próbie wstrzyknięcia pliku - d blada jeżeli - bo plik ani nie może zostać zapisany w miejscu wywołania, ani wykonany - więc ni czorta nie można go odpalić.

Pliki obrazowe nie masz tylko w images, a próby wstrzyknięcia np wykryje Ci RS!Firewall. chyba że sam coś zainstalujesz zainfekowanego.
Nie bez przekory mówi się że zawsze zawodzi czynnik ludzki ;)

Nie robiłbym ( przy okazji wody z mózgu nowym webadminom ) z żadnej dostępnej aplikacji - złotego środka. RSF ( ani też Adm, Tools), nie zatrzyma 70% skutecznych ataków. Aplikacje budowane są na podstawie znanych zagrożeń, ale nikt z ich architektów nie działa prewencyjnie. Widocznie uznano, że nie warto, a to co jest odpowiada społeczności.

Co do wątku, należy przypomnieć o znanym już od lat zagrożeniu, jakim jest PHP Shell w szablonach. Od wakacji ataki na serwery przez shella wzmożyły się, wiele osób pewnie nie ma o tym pojęcia, bo przeciez nie odkryło ataku na witrynę. Powstałło też sporo, wysokiej klasy detektorów.

Nie robiłbym ( przy okazji wody z mózgu nowym webadminom ) z żadnej dostępnej aplikacji - złotego środka. RSF ( ani też Adm, Tools), nie zatrzyma 70% skutecznych ataków. Aplikacje budowane są na podstawie znanych zagrożeń, ale nikt z ich architektów nie działa prewencyjnie. Widocznie uznano, że nie warto, a to co jest odpowiada społeczności.

Nie zatrzyma skutecznych ataków ? z Twojej wypowiedzi wynika że jedna konkluzja po co się bronić jak i tak nas ktoś z haczy...
Na 0daysa rady nie ma .. ale na każde inne jest patch lub będzie..
Nie wiem czy czytałeś ten dokument ale jak podajesz link to powinieneś!
zacytuje Ci

CryptoPHP is a threat that uses backdoored Joomla, WordPress and Drupal themes and plug-ins to compromise webservers on a large scale. By publishing pirated themes and plug-ins free for anyone to use instead of having
to pay for them, the CryptoPHP actor is social engineering site administrators into installing the included
backdoor on their server.
Wiec nie ma co siać jakieś paniki.. każdy kto ściąga wersje NULLED musi mieć świadomość takiego zagrożenia!

1). To twoje słowa, ja nic takiego nie powiedziałem. Po raz kolejny, nie rób ludziom wody z mózgu.
2). Proponuje wczytać się w pierwotną treść tego wątku.

Bez odbioru.

@mjmartino odniosłem się do konkretnego zagrożenia i konkretnej sytuacji - większość ataków jest dokonywana na bazie znajomości konkretnych mechanizmów i struktur danego CMS'a - tak więc stosowanie niestandardowych struktur jest bardzo efektywne. W tym konkretnym przypadku bot używa standardowej struktury do wstrzyknięcia złośliwego kodu i takiegoż wywołania więc dyslokacja blokuje taki typ mechanizmu. RSF nie daje 100% gwarancji że nic nie zostanie wstrzyknięte aczkolwiek w znacznym stopniu minimalizuje zagrożenie, zresztą jest to rozszerzenie płatne (warte swojej ceny) i nie wszystkich na nie stać. Co do źródeł pobierania - przejrzyj sobie powody wycofania niektórych rozszerzeń z JED - nie podzielałbym Twojego optymizmu, niestety nie można mieć pewności nigdy że kod jest czysty, tak samo jak że nie jest podatny na ataki pomimo że n.p. gro ludzi wie że trzeba specjalnie uważać na katalogi typu media i sposobu zapisu tego typu plików - traktować je jako szczególnie podatne na ataki to doświadczenie wykazuje że co jakiś czas większe kataklizmy zdarzają się właśnie z powodu błędów zabezpieczeń w edytorach (chociażby JCE czy JCK) i zasadniczo dotyczy to wszystkich CMS'ów - wystarczy popatrzeć na logi systemów zabezpieczeń.

1). To twoje słowa, ja nic takiego nie powiedziałem. Po raz kolejny, nie rób ludziom wody z mózgu.
2). Proponuje wczytać się w pierwotną treść tego wątku.
Bez odbioru.
ad1. Nie robię ludziom wody z mózgu.. a jeśli według Ciebie robię to wypadałoby przytoczyć jakieś argumenty.
ad2. Pierwotną treść jest tyko dokumentem.. stwierdzającym fakt wyżej wspomniany prze zemnie.

@Troll
Nigdzie nie napisałem że RSF daje 100% skuteczność ale daje możliwość wykrycia ataku injection bo o tym jest mowa w tym dokumencie. Inna sprawa że na JED znajdują bądź znajdowały się takie rozszerzenia z zaszytym kodem. A jeszcze inna dziury o których piszesz JCE czy uploader plików.
RSF był przykładem że warto coś mieć na pokładzie. (nie zmuszam nikogo, ale dobra praktyka mieć coś co loguje dziwne wywołania).

Chyba to jest logiczne jeśli pobrałeś wszystko ze źródła nierekomendowanego to stopień zagrożenia rośnie wprost proporcjonalność do ilości używania takiego oprogramowania. Analogiczna sytuacja nie dotyczy tylko CMSów, ale wszystkich aplikacji. Co za problem wystawić spreparowane ISO WIN8.1PRO z zaszytym keylogerem nic a znajdą się ludzie co ściągną i będą instalować, cracki, keygeny.. itp.
To samo się tyczy rozszerzeń do CMS.
Oczywiście stosowanie własnych unikalnych rozwiązań w zabezpieczeniach zmniejsza ryzyko, ale go nie wyklucza!
Sam CMS to tylko jeden czynnik składowy który może zawinić.

Co do RSF'a jestem jak najbardziej za - właśnie odbił mi ponad siedemdziesiąt tysięcy zapytań Rosji :-), wkurza mnie tylko fakt iż zdaje się autorzy nie konsultują pewnych mechanizmów z twórcami innych rozszerzeń - których można uznać za rzetelnych i wiarygodnych co powoduje przy niektórych zabezpieczeniach kolizję a wystarczyłoby wprowadzić wyjątki, nie piszę tutaj o informacji przy skanowaniu (choć tutaj też czasami jest śmiesznie przy analizie skryptów) tylko o zabezpieczeniach wpływających bezpośrednio na "ciekawe efekty" - czasami wygląda to jak błąd - a nim nie jest.
Dobra - nie ma co - może po za informacją że w najnowszej wersji RSF'a z tego co widzę - zagrożenie będące tematem tego wątku zostało już wzięte pod uwagę. To fajnie że autorzy trzymają rękę na pulsie :-)

1). Wkładanie w usta rozmówcy słów, których ten nie powiedział ( napisał ) - przy okazji naginając rzeczywistość, jest robieniem wody z mózgu innym.
2). Pierwotna treść tematu to jedno, dosłownie jedno(!) zdanie, którego delikatnie mówiąc nie zrozumiałeś. To nie dziwi, patrząc na Twóje rewelacje językowe tu na forum, i na Twojej stronie. Nie traktuj tego jako osobistej wycieczki, zwyczajnie komentujęco widzę :*

Raport FOX-IT, dotyczący zagrożeń ukrytych we współdzielonych skryptach komercyjnych, które często, są częścią aktywnych botnetów.
3). RSF, bardzo łatwo jest oszukać, znając jego sposób działania. Dopóki tego typu dodatki będą miały otwarty kod, bo kilku radykałów GPL'a będzie krzyczało, że ten, który go zamyka to wariat - tego typu aplikacje będą bez znaczenia dla kogoś - kto chce dokonać poważnego w skutkach ataku.
4). Mówiąc o bezpieczeństwie J!, WP, Drupal'a itd, należałoby zacząć od - na nowo nakreślenia polityki dystrybucji, zakresu dystrybucji i sposobu licencjonowania, bez szantażu, że taka to, a taka "promocja" kogoś ominie i będzie czarną owcą radykałów GPL'a w social mediach.

VSE !

@ugly kid joe (http://forum.joomla.pl/member.php?59252-ugly-kid-joe)

1). To twoje słowa, ja nic takiego nie powiedziałem. Po raz kolejny, nie rób ludziom wody z mózgu.
1.Moje słowa , które sam pokreśliłeś że ja to napisałem wiec gdzie tu wkładanie czegokolwiek do czegokolwiek :D
2. Twoje są idealne rozumiem że jesteś polonista :) więc gratuluje. Nikt Ci nie każe czytać moich postów tutaj na forum ani na mojej stronię :) Znalazłeś błąd nie prawdziwe informacje ? na mojej stronie chętnie się z tym zapoznam.
3. Skoro jest go tak łatwo oszukać proszę podaj skrypt który to zrobi ; >
4. Jeśli uważasz że otwartość to zło wcielone to twoja sprawa, nie zapominaj tylko że sam na co dzień używasz takiego oprogramowania! Tak zróbmy z J! drugii bastion Apple który jest zamknięty ;)

Jesteś trudnym człowiekiem. Jednak to, że nie rozumiesz co do Ciebie piszę, zrzucam na jakąś dysfunkcję i ... kończę tę nonsensowną dyskusję.

Po prostu tak to skomentuje = >7918

Jak w Sejmie!
Ważna kwestia a Wy sobie do gardeł!
Jakbym była waszą wychowawczynią - jeden by dostał za karę napisanie dodatku, który chroni przed dodaniem fałszywego obrazka podczas instalacji
a drugi - skaner witryny do wyszukiwania takowych kwiatków.
Ale nie jestem. :)

Takie, i inne kwiatki pochodzą z ostatnich trzech dni. To są udane ataki przez RSF'y, Admin Tools'y, etc. Więc po raz ostatni ... proszę mnie nie rozbawiać, gloryfikując coś, o czym działaniu nie ma się pojęcia. Identyczne e-maile przychodzą z wielu innych, uznanych (sic!) komponentów. Podaję joomdonation, bo mam zerowy szacunek do ludzi, ktorzy przywlaszczają sobie kod zródłowy innych developerów, jako swój.

Tak więc DJ Martino - again ... nie pierz ludziom mózgów, a jeśli masz takich komentarzy udzielać ... wklej se lepiej tego mama pod mixa jakiegoś transiku i wrzuć go swoim "kolegą" na youtub'a.


You're HACKED thanks to JoomDonation.com From: JoomDonation.com [services@mail16.wdc04.mandrillapp.com] on behalf of; JoomDonation.com [services@joomdonation.com] Hello How the hell are you? No need to ask, I’m fine! I’m the one who has hacked all of your sites, emails, accounts etc. that has been using JoomDonation.com site/components. Scaring? Hell Yea :-) About 15 months ago, I was able to penetrate into several Joomla sites. One of these luckies was JoomDonation.com After a while I realised that their crappy components were used by other Joomla developers too so I injected my shells into JoomDonation.com components. As per result, I’ve a list of 300000+ Joomla users+emails and you’re just one of them, lucky thing :-) Don’t you believe? Follow me on twitter.com/joomleaks or #joomleaks hashtag and you’ll see the database of JoomDonation.com as a beginning. Yea Yea I know you all have scanners, firewalls, admin tools etc installed on your server/site but you what? F*ck em all. They’re just noob tools. Think about, I’ve injected my own shells into 10000+ Joomla sites and none of you or your magic tools have been awared of. WARNING: You have 5 days to clean up your sites then my bot will start putting your sites down. If your site was not so valuable for me, removing the components would be enough. If so, then I will most probably blackmail you soon :-) Want an advice from a hacker? Don’t use any script from Thailand/Vietnam developers, their code is so crappy :-) Try Indian quality. This email was sent to all JoomDonation.com users. We’ll meet again if you have accounts registered to other Joomla developers :-) This was my thanksgiving gift, keep yourself safe ;-) JnLiau

Jeszcze jedna informacja, dla klientów 1&1. Nie mam za bardzo doświadczenia z tym centrum danych, ale w życiu nie widziałem tylu zgłoszeń od klientów, dot. prób wykradzenia danych z kończących się usług hostingu i serwerów. Przełknąłbym sytuację, kiedy jakiś robot penetruje bazy whois i poszukuje kończącej się domeny i jej kontaktu technicznego. W tym wypadku mówimy o hostingu i serwerach, a więc dane wychodzą z 1&1. W ciągu tygodnia, zgłosiłem kilkanaście takich prób, ze spreparowanym mailem z elektroniczną fakturą do zapłaty. Wszystkie, pojawiały ię na 2 tyg, przed wygaśnięciem usługia, a więc w tym samym momencie, kiedy 1&1 wysyła proformy.

@Joe
DJ a MJ jest różnica ;) to tak na marginesie ale nie offtopuj jak masz mi coś do napisania to zapraszam na priv ;)
Kolejna sprawa nie wiem jakie masz tok rozumowania... ale widzę że czegoś nie rozumiesz tutaj,. Zacytowany mail potwierdza moje argumenty, o tym że to w dużej mierze wina user'a, jak widzisz ten pan zrzucił winę że używane przez niego AT i RSF nie zadziałały.. miały prawo to zrobić bo oba narzędzia nie są aktywnymi skanerami! Na stronie RSF jest napisane (The RSFirewall! System Scanner is an on-demand scanner) nie bada on heurystyczne plików. A dlaczego bo to firewall a nie antywirus.


They’re just noob tools. tego po po prostu nie skomentuje.

W takim razie zadam ci dwa pytania, krótkie i proste.

1. Do czego według Ciebie służą wspomniane wyżej narzędzia AT i RSF ?
2. Jak dochodzi do ataktu z użyciem cryptoPHP ?
Zadam CI też 3 pytanie które będzie przydatne dla całej społeczności, bo domniemam że jesteś "ekspertem od zabezpieczeń" skoro podejmujesz dyskusje.
3. Jak bronić się przed tego typu technikami ataku ?