Herramientas para detectar malware en Joomla!.

Joomla! es probablemente el CMS (sistema de gestión de contenidos o por sus siglas en inglés, Content Management System) más utilizado en la red debido a su flexibilidad, facilidad de uso y expansibilidad. Lo que lo convierte en un blanco para los creadores de malware. Existen dos herramientas especificas para la detección de malware en Joomla!:  OWASP Joomla Vulnerability Scanner y JAMSS (Joomla! Anti-Malware Scan Script).

OWASP Joomla Vulnerability Scanner, un escáner de vulnerabilidades liberado bajo la Licencia pública general GNU Versión 3. Es más rápido que un escáner Web genérico porque: no escanea todas las solicitudes, detecta la versión de aplicación y detecta todas las posibles vulnerabilidades publicadas acerca de Joomla!.

Las principales características de OWASP Joomla Vulnerability Scanner:

  • Detección de versión exacta de Joomla!.
  • Detección firewall de aplicaciones web.
  • Busca vulnerabilidades conocidas de Joomla! y sus componentes.
  • Muestra reporte en modo texto y HTML.
  • Capacidad de actualización inmediata a través del escáner o svn.

Requisitos:

Para su funcionamientos necesita Perl 5.6 o superior y el paquete libwww-mechanize-perl.

Modo de empleo:

joomscan.pl -u <url Joomla!> -x proxy:port

-x,  configuracion  para proxy.
-c, uso de cookie.
-g,   para usar un userAgent determinado.
-nv, detección de versión.
-nf, detección de firewall.
-nvf/-nfv, detección de versión y firewall.
-pe, solo analiza versión y sale de escáner.
-ot, salida a un archivo de texto (meta-joexploit.txt).
-oh,  salida a un archivo HTML (meta-joexploit.htm).
-vu,  salida detallada (salida de cada exploración Url).
-sp,  mostrar porcentaje de operación.

Otros usos:

joomscan.pl check, chequear si el escáner esta actualizado.
joomscan.pl update, comprobar si la base de datos esta actualizada.
joomscan.pl download, descargar archivos de base de datos y escáner.
joomscan.pl, defense para añadir notas sobre vulnerabilidades.
joomscan.pl story, para añadir historias sobre uso de joomscan.pl.

Más información y descarga de OWASP Joomla Vulnerability Scanner:
http://sourceforge.net/projects/joomscan/?source=directory

JAMSS (Joomla! Anti-Malware Scan Script) un script programado para ayudar a todos los administradores de Joomla! a comprobar si su sistema contiene malware, troyanos u otro código malicioso. El script utiliza patrones actuales de fingerprinting para identificar las amenazas malware más comunes, que puedan afectar a Joomla!. Este script no hace ninguna limpieza por su cuenta , solo informa sobre algún código sospechoso en Joomla!. JAMSS no es 100% preciso, tiene algunos falsos positivos por lo que debe ser utilizado con sabiduría y prudencia.

Como ejecutarlo:

Se sube el archivo “jamss.php” al webroot de la cuenta de hosting.
Se carga el archivo del escáner en el navegador usando una URL como esta:

http://www.<nombre del sitio web>.com/jamss.php

La secuencia de comandos se ejecutará durante varios segundos, incluso minutos, dependiendo del número de archivos y carga de trabajo del servidor web.

Si  se desea realizar un análisis en profundidad, que puede detectar las versiones más recientes de malware se utiliza el parámetro DeepScan = 1. Esta función busca en los archivos las funciones de PHP que utiliza el malware.

Ejemplo de ejecución en el navegador:

http://www. <nombre del  sitio web>.com/jamss.php?deepscan=1

Como interpretar los resultados:

El script inspecciona código contenido dentro de archivos y trata de identificar posibles códigos maliciosos usando muchas huellas digitales de malware conocido. Una vez que el script ha terminado de ejecutarse, generará y mostrará un informe para su revisión,  que puede poseer falsos positivos y que debe ser interpretados con el fin de determinar si algún resultado en particular es una potencial amenaza de malware.

Para cada potencial amenaza, el informe mostrará: la ruta de acceso al archivo en cuestión, el patrón que se adapta al código de malware y una breve descripción de lo que este código podría estar haciendo.

Si existe alguna duda acerca de un archivo identificado por JAMSS, el archivo debe ser descargado e inspeccionado para determinar si hay un problema con él.  Si existe sospecha de un archivo en Joomla! o archivos de extensiones: se descargaran todos los paquetes ZIP / TAR.XX y se comprobaran. A continuación, se remplazara el archivo sospechoso por el original correspondiente de Joomla!  y con la misma versión que se está ejecutando.  Si el archivo sospechoso no existe en los archivos originales de instalación de Joomla! o en los archivos de extensiones, se puede mover a una nueva carpeta segura (protegida por contraseña, o con permisos restrictivos) para que nadie tenga acceso y luego eliminarlo por completo, una vez que se determina que es un archivo que no necesita para el funcionamiento de Joomla!. 

En caso de dudas sobre archivos o extensiones que pertenecen a Joomla!, o qué hacer en caso de una infección, es muy recomendable utilizar los foros de Joomla!:
http://forum.joomla.org/viewtopic.php?f=621&t=582854

Y no realizar alguna acción que pueda comprometer la disponibilidad de nuestro sitio web. JAMSS es un script para usar con ciertos conocimientos de PHP y como un análisis rápido de malware.

Más información y descarga de JAMSS:
https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script/tree/forum

Deja un comentario