skip to main | skip to sidebar
17 commenti

Scuole e comuni italiani violati, nuova infornata

Come ormai consueto, vado al sodo:

Comune di Santa Sofia violato presso http://www.comune.santa-sofia.fc.it/images/jdownloads/screenshots/albanian.gif

Istituto Comprensivo Enzo Drago di Messina violato presso http://www.icn7enzodragomessina.gov.it/it/images/jdownloads/screenshots/albanian.gif

ITIS Mario Delpozzo di Cuneo violato presso http://www.itiscuneo.gov.it/images/jdownloads/screenshots/albanian.gif

Istituto Bosso Monti di Torino violato presso http://www.bossomonti.gov.it/images/jdownloads/screenshots/albanian.gif

Istituto Comprensivo Statale Ignazio Buttitta di Bagheria violato presso http://www.icsbuttitta.gov.it//images/jdownloads/screenshots/iks.gif


Se qualcuno se la sente di avvisarli, si ricordi di dire che la fonte originale delle segnalazioni è Zone-h.org. Io mi limito a riportarla.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (17)
Non so se è corretto parlare di siti violati, si tratta di un bug di jdownloads per joomla che permette di effettuare upload di file anche ad utenti non autorizzati. Niente di interessante, non credo abbia senso pubblicizzare e dare ufficialità a questi script kiddies.

Certo questo dimostra che non è sufficiente usare software open source per essere al sicuro (era ovvio ma gli slogan facili fanno sempre presa), che il vero costo di un sistema informatico non è tanto la sua realizzazione quanto la manutenzione nel tempo, che il cloud ha senso di esistere (è quasi sempre più sicuro un servizio in cluod gestito da professionisti piuttosto che un server fatto in casa).
Ciao Paolo e grazie.
Ho appena avvisato il mio Comune e il sindaco (così ho rotto le scatole pure a quello nuovo!), anche se temo che fino a lunedì nessuno farà nulla (e neppure leggerà la mia e-mail) :-( .
Se dovessero fare qualcosa tempestivamente posterò un nuovo messaggio, ma non sono molto ottimista.
Beh, in realtà è corretto parlare di siti violati perché non si sa bene cos'altro abbiano caricato sfruttando il bug.
realtà è corretto parlare di siti violati

certo certo, e che si tratti di un problema di sicurezza non ci piove, solo che tra tutte le vulnerabilità poco interessanti, questa è la meno interessante di tutte
@Federico
beh puo' essere non interessante dal punto di vista informatico, resta comunque
a) un rischio
b) sintomo di gestione "alla carlona"
Sembra incredibile, ma se ora si va si va all'indirizzo segnalato come violato non c'è più nulla!
Evidentemente sono intervenuti subito! Spero in maniera efficace e cioè non solo eliminando l'immagine inserita da qualcuno non autorizzato, ma anche facendo controlli sulle eventuali vulnerabilità e prendendo i corretti provvedimenti. :-)
beh puo' essere non interessante dal punto di vista informatico, resta comunque a) un rischio

se il bug permette solo di caricare immagini nella cartella di upload, senza renderle visibili in home page, non lo vedo un rischio enorme, voglio dire anche wikipedia ti permette di caricare delle immagini senza domandarti chi sei :)

il vero problema è che se invece di caricarne 1 ne carichi 1,000,000 potresti anche riempire il disco e bloccare altri servizi importanti che girano su quel server

b) sintomo di gestione "alla carlona"

si come dicevo inizialmente, spesso ci si ferma ai costi iniziali del progetto... linux è gratis, php è gratis, mariadb è gratis, l'installazione la fai fare a tuo cugino per 100 euro (o ad una ditta "specializzata" per 3000+ euro) ma poi ci si dimentica sempre che è necessaria anche della sana manutenzione periodica....
@Federico
a parte che anche un'immagine se confezionata bene puo' darti un buffer overflow e permetterti di eseguire codice con privilegi di system (c'era un articolo proprio di paolo a riguardo). Ma se puoi caricare un file puoi teoricamente caricare qualsiasi cosa... anche non so qualche script eo/o qualche eseguibile con le possibili conseguenze che ti lascio immaginare come esercizio.
Inoltre un'immagine del tipo sbagliato (tipo pedopornografica) puo' farti finire nei guai *molto* presto soprattutto se eri stato avvisato del "buco" e non hai preso provvedimenti...
a parte che anche un'immagine se confezionata bene puo' darti un buffer overflow e permetterti di eseguire codice con privilegi di system (c'era un articolo proprio di paolo a riguardo).

- sì un'immagine può darti un buffer overflow
- questo bug di jdownloads ti permette di caricare un'immagine confezionata bene sulla cartella /jdownloads
- MA questo bug di jdownloads non ti permette di eseguire l'exploit
- casomai l'exploit lo può eseguire un client che si collega al link
- MA questo bug di jdownloads non ti permette di aggiungere link alla home page

ergo, non puoi eseguire alcun codice a piacimento sul server. Da questo punto di vista il server è al sicuro.

Ma se puoi caricare un file puoi teoricamente caricare qualsiasi cosa... anche non so qualche script eo/o qualche eseguibile con le possibili conseguenze che ti lascio immaginare come esercizio.

beh prova a rifletterci un attimo. Caricare del codice dannoso è possibile ed è molto semplice, ma il vero problema è riuscire a farlo eseguire! Vedi io posso andare su google drive e creare un nuovo documento dove scrivo:


rm -rf /


bene! da qualche parte nel mondo c'è un server google che ha del codice dannoso! Però come faccio a dire a Google di eseguirlo? Fin tanto che non trovo un bug nella piattaforma google che mi permetta di eseguire il mio codice, non se ne fa niente. Non è da escludere che prima o poi si trovi un bug del genere, anche se molto improbabile, ma niente bug? Niente esecuzione di codice dannoso sul server.

Quello che sto facendo è un discorso molto fine, ma se lo cogli, cogli l'essenza della computer security ;)

Inoltre un'immagine del tipo sbagliato (tipo pedopornografica) puo' farti finire nei guai *molto* presto soprattutto se eri stato avvisato del "buco" e non hai preso provvedimenti...

Questo è un problema più realistico. Negli anni '90 giravano le liste di siti FTP involontariamente lasciati aperti dagli amministratori di sistema, e chi voleva scambiare file e musica ci caricava tutto dentro e poi postava i link nei forum. L'amministratore del server ci trovava dentro un sacco di materiale pirata. Questo molto prima del p2p. Certo se invece di trasferire materiale coperto da copyright si trasferisce materiale illegale diventa un problema un po' più grosso.

Non sto negando che sia un problema di sicurezza, sto solo dicendo che non è interessante ... nulla di nuovo sotto i ponti :)
Federico: no, il server non è al sicuro. MAI partire dall'assunto che lo sia.
In questo video caricano uno script shell. https://www.youtube.com/watch?v=RaghBvPBfDY mentre qui http://www.joomlaexploit.com/ trovi una serie di exploit come per esempio: Joomla Simple Image Upload 1.0 Shell Upload
Federico: no, il server non è al sicuro. MAI partire dall'assunto che lo sia.

Eh ma qui si partiva di un ben preciso bug di jdownloads di cui, ribadisco, non te ne fai sostanzialmente un piffero.
Ci sono altri bug? Assolutamente probabile, ma è un altro discorso.

Riguardo ai link che mi hai mandato, hai capito di che cosa si tratta?

Joomla Simple Image Upload 1.0 Shell Upload è l'exploit che ti permette di caricare un'immagine sul sito pur non avendone i privilegi per farlo. Ed il video su youtube è una dimostrazione pratica.

In questo video caricano uno script shell

mmm da come usi i termini mi pare non ti sia ben chiaro che cosa succede, visto che "in questo video usano uno shell script per caricare qualche cosa". Ma è dal primo messaggio che dico che è possibile. Ma è tutto qui. I problemi che ciò comporta li ho già riassunti nei messaggi precedenti ma altre problematiche sono pura fantasia.

Adesso attenzione che carico uno script dannoso su questo blog:

FORMAT C:

(blogger funziona ancora od ho eliminato tutto? ecco, questa è la differenza tra eseguire l'upload di codice dannoso, e riuscire effettivamente a farlo eseguire)
Si, lo so pure io che se il server è configurato a dovere *in teoria* non puoi eseguire niente nelle dir del webserver.
Ma visto che qui si parla di gente che ha installato joomla abbastanza a caso, non mi stupirei che tutto sia in chmod 777 e che apache giri come root. Se così non fosse ho idea che gli puoi banalmente mettere una pagina php che ti prende il file di configurazione di joomla e un bel SQL
@Federico
casomai l'exploit lo può eseguire un client che si collega al link
hai idea di quanto sia facile creare una mail con un link con scritto hai vinto $GROSSA_SOMMA clicca qui per riscuotere?

ma il vero problema è riuscire a farlo eseguire
lato server se non trovi altre vulnerabilita' (e c@%%@73 da parte del sys), ma lato client e' relativamente facile...


Non sto negando che sia un problema di sicurezza, sto solo dicendo che non è interessante
che non sia niente di eclatante eravamo gia' d'accordo prima... Rimane comunque il fatto che e' comunque un problema...


Probabilmente con quel bug lato server non ci fai niente, ma e' relativamente facile indurre qualcuno a cliccare su un link confezionato apposta...
Se così non fosse ho idea che gli puoi banalmente mettere una pagina php che ti prende il file di configurazione di joomla e un bel SQL

magari joomla è stato installato da incompetenti, ma magari è stato installato da dei professionisti a cui non è stato rinnovato il contratto di manutenzione

quello che descrivi succede molto spesso, lo vedo ogni giorno, ma che sia successo nei siti in questione -anche se probabile- è tutto da dimostrare

hai idea di quanto sia facile creare una mail con un link con scritto hai vinto $GROSSA_SOMMA clicca qui per riscuotere?

sì ma hai idea quanto sia difficile fargli passare il filtro antispam? magari riesci a farli passare il filtro, c'è un bel link ad una immagine ospitata sul sito del comune.... e azz gli impiegati del comune l'hanno già cancellata! mannaggia!

non è più semplice allegare l'immagine alla mail? o caricarla su dropbox? o su wikipedia? o su un sito di sharing?

se un bug è classificato come poco pericoloso, ci sono valide ragioni per cui è classificato come tale. stop.
http://www.comune.campofiorito.pa.it/index.php?option=com_k2&view=itemlist&task=user&id=5819
mission impossible rogue nation in streaming sul sito del comune di campofiorito?ho provato a chiamarli,mi hanno risposto ha boh richiami domani
@Federico
c'è un bel link ad una immagine ospitata sul sito del comune.... e azz gli impiegati del comune l'hanno già cancellata! mannaggia!
a parte che i filtri antispam a seconda di come li setti possono semplicemente "marcare" la mail e non deviarla dove meriterebbe (/dev/null) - a parte quello - non serve che stia su degli anni, bastano pochi giorni per tirare su una somma decente...
ti faccio un altro caso - uso il tuo server come appoggio per script o exploit che poi mi scarichero' con un wget da una macchina che sto attaccando, in questo modo non ci sara' niente che punti alla *mia* macchina...
non è più semplice allegare l'immagine alla mail? o caricarla su dropbox? o su wikipedia? o su un sito di sharing?
ci sono millemila motivi per farlo e millemila per non - ognuno ha i suoi pro e i suoi contro...
se un bug è classificato come poco pericoloso, ci sono valide ragioni per cui è classificato come tale. stop.
il fatto che ci siano bug peggiori non vuol dire che quelli minori si possono trascurare... era quello il senso del mio discorso...
Questo commento è stato eliminato dall'autore.