Herramientas para detectar malware en Joomla!.
|
Joomla! es probablemente el CMS (sistema de gestión de contenidos o por sus siglas en inglés, Content Management System) más utilizado en la red debido a su flexibilidad, facilidad de uso y expansibilidad. Lo que lo convierte en un blanco para los creadores de malware. Existen dos herramientas especificas para la detección de malware en Joomla!: OWASP Joomla Vulnerability Scanner y JAMSS (Joomla! Anti-Malware Scan Script).
OWASP Joomla Vulnerability Scanner, un escáner de vulnerabilidades liberado bajo la Licencia pública general GNU Versión 3. Es más rápido que un escáner Web genérico porque: no escanea todas las solicitudes, detecta la versión de aplicación y detecta todas las posibles vulnerabilidades publicadas acerca de Joomla!.
Las principales características de OWASP Joomla Vulnerability Scanner:
- Detección de versión exacta de Joomla!.
- Detección firewall de aplicaciones web.
- Busca vulnerabilidades conocidas de Joomla! y sus componentes.
- Muestra reporte en modo texto y HTML.
- Capacidad de actualización inmediata a través del escáner o svn.
Requisitos:
Para su funcionamientos necesita Perl 5.6 o superior y el paquete libwww-mechanize-perl.
Modo de empleo:
joomscan.pl -u <url Joomla!> -x proxy:port
-x, configuracion para proxy.
-c, uso de cookie.
-g, para usar un userAgent determinado.
-nv, detección de versión.
-nf, detección de firewall.
-nvf/-nfv, detección de versión y firewall.
-pe, solo analiza versión y sale de escáner.
-ot, salida a un archivo de texto (meta-joexploit.txt).
-oh, salida a un archivo HTML (meta-joexploit.htm).
-vu, salida detallada (salida de cada exploración Url).
-sp, mostrar porcentaje de operación.
Otros usos:
joomscan.pl check, chequear si el escáner esta actualizado.
joomscan.pl update, comprobar si la base de datos esta actualizada.
joomscan.pl download, descargar archivos de base de datos y escáner.
joomscan.pl, defense para añadir notas sobre vulnerabilidades.
joomscan.pl story, para añadir historias sobre uso de joomscan.pl.
Más información y descarga de OWASP Joomla Vulnerability Scanner:
http://sourceforge.net/projects/joomscan/?source=directory
JAMSS (Joomla! Anti-Malware Scan Script) un script programado para ayudar a todos los administradores de Joomla! a comprobar si su sistema contiene malware, troyanos u otro código malicioso. El script utiliza patrones actuales de fingerprinting para identificar las amenazas malware más comunes, que puedan afectar a Joomla!. Este script no hace ninguna limpieza por su cuenta , solo informa sobre algún código sospechoso en Joomla!. JAMSS no es 100% preciso, tiene algunos falsos positivos por lo que debe ser utilizado con sabiduría y prudencia.
Como ejecutarlo:
Se sube el archivo “jamss.php” al webroot de la cuenta de hosting.
Se carga el archivo del escáner en el navegador usando una URL como esta:
http://www.<nombre del sitio web>.com/jamss.php
La secuencia de comandos se ejecutará durante varios segundos, incluso minutos, dependiendo del número de archivos y carga de trabajo del servidor web.
Si se desea realizar un análisis en profundidad, que puede detectar las versiones más recientes de malware se utiliza el parámetro DeepScan = 1. Esta función busca en los archivos las funciones de PHP que utiliza el malware.
Ejemplo de ejecución en el navegador:
http://www. <nombre del sitio web>.com/jamss.php?deepscan=1
Como interpretar los resultados:
El script inspecciona código contenido dentro de archivos y trata de identificar posibles códigos maliciosos usando muchas huellas digitales de malware conocido. Una vez que el script ha terminado de ejecutarse, generará y mostrará un informe para su revisión, que puede poseer falsos positivos y que debe ser interpretados con el fin de determinar si algún resultado en particular es una potencial amenaza de malware.
Para cada potencial amenaza, el informe mostrará: la ruta de acceso al archivo en cuestión, el patrón que se adapta al código de malware y una breve descripción de lo que este código podría estar haciendo.
Si existe alguna duda acerca de un archivo identificado por JAMSS, el archivo debe ser descargado e inspeccionado para determinar si hay un problema con él. Si existe sospecha de un archivo en Joomla! o archivos de extensiones: se descargaran todos los paquetes ZIP / TAR.XX y se comprobaran. A continuación, se remplazara el archivo sospechoso por el original correspondiente de Joomla! y con la misma versión que se está ejecutando. Si el archivo sospechoso no existe en los archivos originales de instalación de Joomla! o en los archivos de extensiones, se puede mover a una nueva carpeta segura (protegida por contraseña, o con permisos restrictivos) para que nadie tenga acceso y luego eliminarlo por completo, una vez que se determina que es un archivo que no necesita para el funcionamiento de Joomla!.
En caso de dudas sobre archivos o extensiones que pertenecen a Joomla!, o qué hacer en caso de una infección, es muy recomendable utilizar los foros de Joomla!:
http://forum.joomla.org/viewtopic.php?f=621&t=582854
Y no realizar alguna acción que pueda comprometer la disponibilidad de nuestro sitio web. JAMSS es un script para usar con ciertos conocimientos de PHP y como un análisis rápido de malware.
Más información y descarga de JAMSS:
https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script/tree/forum