En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Herramientas para detectar malware en Joomla!.

Joomla! es probablemente el CMS (sistema de gestión de contenidos o por sus siglas en inglés, Content Management System) más utilizado en la red debido a su flexibilidad, facilidad de uso y expansibilidad. Lo que lo convierte en un blanco para los creadores de malware. Existen dos herramientas especificas para la detección de malware en Joomla!:  OWASP Joomla Vulnerability Scanner y JAMSS (Joomla! Anti-Malware Scan Script).


OWASP Joomla Vulnerability Scanner, un escáner de vulnerabilidades liberado bajo la Licencia pública general GNU Versión 3. Es más rápido que un escáner Web genérico porque: no escanea todas las solicitudes, detecta la versión de aplicación y detecta todas las posibles vulnerabilidades publicadas acerca de Joomla!.

Las principales características de OWASP Joomla Vulnerability Scanner:

  • Detección de versión exacta de Joomla!.
  • Detección firewall de aplicaciones web.
  • Busca vulnerabilidades conocidas de Joomla! y sus componentes.
  • Muestra reporte en modo texto y HTML.
  • Capacidad de actualización inmediata a través del escáner o svn.

Requisitos:

Para su funcionamientos necesita Perl 5.6 o superior y el paquete libwww-mechanize-perl.

Modo de empleo:

joomscan.pl -u <url Joomla!> -x proxy:port

-x,  configuracion  para proxy.
-c, uso de cookie.
-g,   para usar un userAgent determinado.
-nv, detección de versión.
-nf, detección de firewall.
-nvf/-nfv, detección de versión y firewall.
-pe, solo analiza versión y sale de escáner.
-ot, salida a un archivo de texto (meta-joexploit.txt).
-oh,  salida a un archivo HTML (meta-joexploit.htm).
-vu,  salida detallada (salida de cada exploración Url).
-sp,  mostrar porcentaje de operación.

Otros usos:

joomscan.pl check, chequear si el escáner esta actualizado.
joomscan.pl update, comprobar si la base de datos esta actualizada.
joomscan.pl download, descargar archivos de base de datos y escáner.
joomscan.pl, defense para añadir notas sobre vulnerabilidades.
joomscan.pl story, para añadir historias sobre uso de joomscan.pl.

Más información y descarga de OWASP Joomla Vulnerability Scanner:
http://sourceforge.net/projects/joomscan/?source=directory

JAMSS (Joomla! Anti-Malware Scan Script) un script programado para ayudar a todos los administradores de Joomla! a comprobar si su sistema contiene malware, troyanos u otro código malicioso. El script utiliza patrones actuales de fingerprinting para identificar las amenazas malware más comunes, que puedan afectar a Joomla!. Este script no hace ninguna limpieza por su cuenta , solo informa sobre algún código sospechoso en Joomla!. JAMSS no es 100% preciso, tiene algunos falsos positivos por lo que debe ser utilizado con sabiduría y prudencia.


Como ejecutarlo:

Se sube el archivo “jamss.php” al webroot de la cuenta de hosting.
Se carga el archivo del escáner en el navegador usando una URL como esta:

http://www.<nombre del sitio web>.com/jamss.php

La secuencia de comandos se ejecutará durante varios segundos, incluso minutos, dependiendo del número de archivos y carga de trabajo del servidor web.

Si  se desea realizar un análisis en profundidad, que puede detectar las versiones más recientes de malware se utiliza el parámetro DeepScan = 1. Esta función busca en los archivos las funciones de PHP que utiliza el malware.

Ejemplo de ejecución en el navegador:

http://www. <nombre del  sitio web>.com/jamss.php?deepscan=1


Como interpretar los resultados:

El script inspecciona código contenido dentro de archivos y trata de identificar posibles códigos maliciosos usando muchas huellas digitales de malware conocido. Una vez que el script ha terminado de ejecutarse, generará y mostrará un informe para su revisión,  que puede poseer falsos positivos y que debe ser interpretados con el fin de determinar si algún resultado en particular es una potencial amenaza de malware.

Para cada potencial amenaza, el informe mostrará: la ruta de acceso al archivo en cuestión, el patrón que se adapta al código de malware y una breve descripción de lo que este código podría estar haciendo.

Si existe alguna duda acerca de un archivo identificado por JAMSS, el archivo debe ser descargado e inspeccionado para determinar si hay un problema con él.  Si existe sospecha de un archivo en Joomla! o archivos de extensiones: se descargaran todos los paquetes ZIP / TAR.XX y se comprobaran. A continuación, se remplazara el archivo sospechoso por el original correspondiente de Joomla!  y con la misma versión que se está ejecutando.  Si el archivo sospechoso no existe en los archivos originales de instalación de Joomla! o en los archivos de extensiones, se puede mover a una nueva carpeta segura (protegida por contraseña, o con permisos restrictivos) para que nadie tenga acceso y luego eliminarlo por completo, una vez que se determina que es un archivo que no necesita para el funcionamiento de Joomla!. 

En caso de dudas sobre archivos o extensiones que pertenecen a Joomla!, o qué hacer en caso de una infección, es muy recomendable utilizar los foros de Joomla!:
http://forum.joomla.org/viewtopic.php?f=621&t=582854

Y no realizar alguna acción que pueda comprometer la disponibilidad de nuestro sitio web. JAMSS es un script para usar con ciertos conocimientos de PHP y como un análisis rápido de malware.

Más información y descarga de JAMSS:
https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script/tree/forum
Herramientas para detectar malware en Joomla!. Herramientas para detectar malware en Joomla!. Reviewed by Álvaro Paz on miércoles, marzo 18, 2015 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.