lomejordeinternet.net (hosting.LMI) gracias a vosotros -;)

Otro montón de entradas hoy por el tema de la vulnerabilidad Joomla-Mambo mod SMF. Al igual que comentaba en el post de agradecimiento a elhacker.net, cuanto más se difunda la noticia, más gente se beneficiará de ello.

Desde hosting.lomejordeinternet.es

Las actuaciones que están llevando a cabo denotan responsabilidad e interés por sus clientes, cosa a a veces brilla por su ausencia. Desde su sección noticias, aquí la entrada.

«Muchas gracias a Dabo, y a los clientes que nos estan aportando informacion sobre este y otros exploits»

Solo decir que no sería justo que quedará así, fue un trabajo en equipo solo que yo lo publiqué -;)

Saludos y suerte con el tema !

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1256 entradas

Navegación de la entrada


Comentarios

  • specka

    Hola. Muchas gracias a ti y aotros que realizais vuestro trabajo con profesionalidad y ganas de conociminto.

    En estos momentos tras leer tu pos original, estoy tratando de crearme un script que pondre a disposicion de otros administradores para localizar versiones de Mambo y Joomla desactualizadas.
    En cuanto a Joomla ya lo tengo claro, pero en cuanto a Mambo, no.

    La verdad es que estoy muy espeo tras 120 horas (5dias) dumriendo unas 4 horas diarias…

    Si alguien me puede decir, como se llama el fichero que contine la version de mambo mejor, para poder realizar el script con ambos….

    Ya de paso en esto dias tratare con el jefe de Programacion crear un script para localizar y mantener no solo esos softare sino otros, usados por nuestros lcinetes conforme a salgan nuevas versiones y vulnerabilidades.

    Estos es asi, porque por mas que avisamos a los clientes, estso no ese entrarn nunca y me temo que tenmos que pasar a una seguridad activa mas apremiada, en la que implicarnos tanto las mepresas de Hosing como los propios clientes.

    Un saludo a todos.

  • oreixa

    Hola, yo también me pasé un par de noches sin dormir, junto Dabo, Naveiras y Destroyer :)

    Hace tiempo que no trasteo con Mambo, pero en el directorio includes tienes un fichero llamado version.php que define la versión instalada.

    Pero, ojo, las vulnerabilidades actuales vienen más por los módulos,mambots y componentes de terceros que por el propio Mambo/Joomla. Ahí ya es un mundo, quizá lo más razonable a día de hoy sea no usar ningun componente de terceros sin verificar que al menos incluyan al inicio el codigo:
    defined( ‘_VALID_MOS’ ) or die( ‘Restricted access’ );

    Echa un vistazo a este post:
    http://forum.joomla.org/index.php/topic,78781.0.html

  • specka

    Ya encontre el tema. Es igual qeu en Joomla. Fichero version.php y la misma estructura. Algo despistado estoy.

    Por lo demas si.

    Estoy de acuerdo. Lo mejor modificar el script para que busque verisones antiguas de mambo, y les notifique y tambine notiifique a TODOS del tema este y les ponga en aviso.

    Un saludo.

  • dabo

    Hola, no lo había comprobado pero me suponia que es igual que en Joomla, ya no tengo rulando ningún Mambo. ahora te contesto sobre lo del script;

    Ya de paso en esto dias tratare con el jefe de Programacion crear un script para localizar y mantener no solo esos softare sino otros, usados por nuestros lcinetes conforme a salgan nuevas versiones y vulnerabilidades.

    Es algo realmente complicado creo, quizás tenéis más medios y conocimientos que yo pero aún con subversión sería dificil por si hay pegas pero mas que nada por la cantidad de webs que tendréis alojadas pero donde más se complica es por la cantidad tan grande de módulos de terceros que hay disponibles, en el caso del ataque que nos tuvo sin dormir XD a unos cuantos (Oreixa ya lo ha puesto arriba), fue por un módulo de terceros muy utilizado.

    Para hacer ese script no quiero ni pensar la gran cantidad de información que deberíais ir recopilando, veo que usáis para el server ModSecurity, vaya, eso os quita de una buena cantidad de problemas y no se si te merecerá la pena (que igual si ya que es más a medida en este caso que lo que pueda tener ModSecurity) hacer un script para meter todas las reglas que reseñé para prevenirse de algunos exploits sobre Joomla-Mambo en el .htaccess de los clientes.

    Es un tema feo la verdad teniendo muchas webs alojadas, por mucho que refuerces, restrinjas Apache etc al final te entran por la mayor tonteria aunque vaya, siempre se puede mitigar un poco el impacto como seguro que hacéis.

    El problema ya no es este exploit en si o hablando de este caso, el problema es que el código del exploit se puede cambiar y vaya, si hablamos de defaces en masa no es tanto problema, el problema viene cuando alguien se toma un poco de tiempo en explotar la vulnerabilidad de otro modo (combinando algún parámetro en el código del exploit…) o tiene motivos para tocar bien los (o las -;) «webs»….

    Así y todo el ModSecurity os ayudará con las «0day»

    suerte !

  • dabo

    Corregida ya la entrada correcta a la info allí. Acceso desde aquí.

Comentarios cerrados.