Problema phishing/spam con Eventlist

[sayhem]

Ciao a tutti, spero di non essere troppo vago nella mia descrizione e soprattutto di dare un'analisi accurata. Dunque: ho installato Joomla 1.5 all'ultima versione disponibile su un mio portale che utilizzo per annunci ed eventi (componente eventlist).

Sfortuna vuole che pare sia stato attaccato di recente da qualche spammer (credo), e che questo abbia comportato il blocco totale preventivo del contenuto del mio sito da parte del mio provider di hosting.

Messaggio di spiegazione:

Il suo account è stato sospeso per phishing. Il sito di phishing riportato e confermato è all'URL
http://.../components/com_eventlist/assets/bradesco_ibk2s/log/site/
e' necessario che lei vada nel suo account e rimuova tutti i file sconosciuti. Per favore corregga anche il problema di sicurezza che ha reso possibile agli abusers di uploadare contenuto al server (penso si riferiscano ad code injection: ho trovato file php /PERL criptati che ho rimosso, nda) Il problema di sicurezza può essere dovuto a credenziali di accesso rubate, una qualche vulnerabilità o cattiva configurazione. In aggiunta, è possibile che il server sia backdoored.

Concludono poi la mail aggiungendo che non basta rimuovere il contenuto "incriminato" perchè c'è una vera e propria falla che permette che la cosa avvenga anche in futuro. Insomma: sono messo maluccio

Ci sarebbe da discutere sulla politica dell'hosting in questione che ha deciso di oscurare TUTTI i miei sottodomini (non bastava bloccare solo quello della root infetta? misteri...). senza fare polemiche e perquelle che sono le mie conoscenze:
ho fixato i permessi dei file

• (644 e 755),
• rimosso completamente la cartella segnalata (francamente avendo un portale avviato preferisco disabilitare la funzionalità di eventlist fino a nuova soluzione "sicura"),
• rimosso una decina di file presumibilmente iniettati nella root a mia insaputa,
• eliminato le cartelle inutilizzate,
• configurato php.ini a modo

...e tutte le cose che classicamente si fanno per la sicurezza. Adesso ho dettagliato le mie attività e sono in attesa dell'ennesima risposta dal provider. Vorrei sapere da qualcuno di voi se ha avuto problemi del genere e può darmi qualche indicazione di più, in particolare sul rischio che il server sia "Backdoored" cosa che non mi è affatto chiara.

Mi rendo conto di essere lontano dal definirmi un guru della sicurezza informatica, per questo scrivo qui

Mi trovo abbastanza spiazzato da questa cosa in generale, ed il provider dell'hosting sembra non sapere neanche cosa sia Joomla ...

[56francesco]

per cortesia,  non sono graditi riferimenti commerciali ai servizi commerciali, quindi eliminali, grazie.

a parte questo direi comunque che si, bloccare tutto, se è come la racconti  mi pare uno spirito poco collaborativo,  io valuterei immediatamente la richiesta di scuse ufficiali o di una migrazione di massa verso altri lidi..

[mau_develop]

in particolare sul rischio che il server sia "Backdoored" cosa che non mi è affatto chiara.
------------------------------------------------------------------------------------------------------------------------

beh non è che si può chiarire o meno, l'hoster dovrebbe controllare se ha una backdoor su qualche servizio.

Cmq è inutile scornarsi con gli hoster, è paragonabile ad avere un'assicurazione, non capirai e non ti diranno mai una cippa di nulla, se non sei soddisfatto cambia, non sperare nella collaborazione o nelle risposte che ti spieghino.

M.

[sayhem]

@56francesco: scusami per l'inconveniente ma mi sembrava corretto informare sul nome del servizio, non avevo altri fini promozionali. Ad ogni modo ho rimosso tutto ... resta il fatto che se esiste una falla in quel componente, come sospetto, che permetteva agli aggressori di caricare codice PHP nella root mi pare che abbiano poco da scusarsi (più nei modi incomprensibili che nel resto).

@mau_develop: lo dico perchè mi hanno dato avviso della cosa come se dovessi verificarla io, cosa che non ho davvero idea di come si faccia. se dici che è "affar loro", evidentemente potrei aver male interpretato le loro parole...

Non è ovviamente il caso di entrare nel merito dell'hosting, piuttosto credo sarebbe interessante capire se qualcuno ha avuto problemi simili con eventlist...
 grazie ad entrambi per la risposta immediata!

[56francesco]

Non è ovviamente il caso di entrare nel merito dell'hosting

perchè no? un utente medio di joomla non conosce neanche il significato di server figuriamoci di phishing,
joomla come cms è scritto appunto per questo tipo di utenza, un utente avanzato non userebbe nemmeno un cms

, piuttosto credo sarebbe interessante capire se qualcuno ha avuto problemi simili con eventlist...
 grazie ad entrambi per la risposta immediata!

mettiamo che si, e sicuramente ci sono e ci saranno sempre problemi di sicurezza con le mille e più estensioni open source  che periodicamente diventano vulnerabili,  cosa cambia?
 

[sayhem]

[...]
mettiamo che si, e sicuramente ci sono e ci saranno sempre problemi di sicurezza con le mille e più estensioni open source  che periodicamente diventano vulnerabili,  cosa cambia?
 

A parte il fatto che non ho capito il senso della prima parte della tua ultima risposta (dobbiamo parlare dell'hosting apertamente oppure no? secondo me qui non è questione di hosting... unica colpa che hanno è non conoscere il CMS Joomla) , dal mio umile punto di vista cambia moltissimo!

Se tutti segnalano uno stesso problema (una falla di sicurezza grave: quasi certamente tramite una falla di un componente Joomla quale eventlist qualcuno ha avuto accesso al mio disco da remoto caricandovi script PHP malevoli!) - vuol dire che c'è un bug da correggere, che chi lavora usualmente come developer potrebbe provare a risolvere. altrimenti dire semplicemente "open source" diventa riduttivo, come dire "gratis, che ce frega del resto"...

Che io sappia eventlist è un componente molto diffuso, quasi universale, per siti che segnalano eventi,  mi sembrava doveroso aprire un thread sull'argomento, ecco tutto. Un bug del genere potrebbe essere anche solo "tamponato" con i permessi giusti sui file, non è che dobbiamo impazzire per forza sul codice: basta capirlo una volta per tutte.

Il senso del mio thread voleva essere questo, non degenerare nelle solite polemiche complottiste contro l'hoster "cattivo, senza cuore e censore". Chi offre servizi di hosting si espone a rischi, ed  ha diritto di tutelarsi, anche a scapito di inesperti o ingenui che inseriscono componenti a groviera che portano a situazioni estremizzate come quella che vivo io ora. E' sbagliatissimo il modo, ovvio, potevano avvisare prima, siamo d'accordo: ma se non si tratta di una svista superficiale loro bensì "nostra" il problema è grave, va considerato ed è replicabile quasi certamente anche su altri hoster.

Mi spiego?

 

[mau_develop]

no, ma tenete le due cose separate...

joomla o quel che sia (potrei scrivere anch'io scemenze) sono un conto , l'hosting un'altro.

Se l'appz o i tuoi script sono vulnerabili che ne sa il sysadmin? mica deve studiarsi tutte le scemenze che uno gli mette su.

Ovvio che c'è chi abusa, ma sei responsabile tu.

Se noleggi una bicicletta e tiri sotto uno, la responsabilità è tua, non del noleggiatore, lui ti ha dato un mezzo (server/spazio) rispondente a certe caratteristiche pubbliche e per una cifra, se te dietro l'angolo ci fai un uso malevolo son fatti tuoi.

Io NON sono d'accordo col discorso di Francesco, L'uso e molte alre cosuccie di Joomla sono per tutti, il resto è compito di chi ne ha la competenza, bisogna saper mettere le mani su cose che con joomla non centrano; infatti molti hostin offrono soluzioni joomla già pronto oppure joomla one click, proprio per risolvere questa cosa.

Ci sono vari feed che avvisano di vulnerabilità, se li seguite o fate un'alert mail riuscite a prevenire... e sì, perchè Joomla prevede l'uso e la manutenzione continua, non la vetrina da abbandonare, per quelle ... puro html che è meglio.

Il fatto che trovino continue vulnerabilità negli addons non mi stupisce... anche se hanno un bel sito e l'apparenza di professionisti a volta sono incompetenti o distratti e poco propensi a seguire ciò che hanno rilasciato.
Pacchetti per joomla ne ho scritti 1000 anch'io, ma non mi sogno certo di distribuirli se non ho intenzione di fornire supporto e sicurezza, anche nel tempo.

Che poi trovino falle anche nel core,...beh.. qs mi preoccupa un po' di più ma è comunque positivo... una in più tappata=1 in meno sfruttabile... poi sicuramente ce ne saranno delle altre...

M.

[56francesco]

mau non capisco, tu dici:

Io NON sono d'accordo col discorso di Francesco,

può capitare misa sono mandrake

L'uso e molte alre cosuccie di Joomla sono per tutti, il resto è compito di chi ne ha la competenza, bisogna saper mettere le mani su cose che con joomla non centrano;

ma poi dai ragione a me con questa frase, ergo  l'utente joomla è come lo descrivo io

infatti molti hostin offrono soluzioni joomla già pronto oppure joomla one click, proprio per risolvere questa cosa.

e allora qui non ci siamo,  l'utente aveva un problema i loro tecnici lo hanno rilevato,  gli hanno sospeso il sito ma senza indicare il problema  in modo speciico alla richiesta di informazioni lo hanno invitato a  rivolgersi ad un informatico...
questo non va,  avendo visto quale problema c'era  il tecnicno avrebbe dovuto almeno dirgli il nome e non tenerglielo nascosto gli spiattellava la descrizione del problema in due righe di email poi l'utente si arrangiava magari, come giustificare la parziale/omessa informazione di carattere tecnico?
io sarei andato via subito,  e andrei via subito se chi mi assiste ora si comporta così, a precindere se pago 2 euro al mese o mille al giorno.

immediatamente avrei cambiato, non si tratta di informatica ma di un corretto rapporto tra cliente e fornitore,  come se il dentrita dal quale vado  non mi dice che ho la carie ma mi manda da un'altro per poi tornare da lui a curarmi... ma-nziamai..

 

[mau_develop]

l'utente aveva un problema i loro tecnici lo hanno rilevato,  gli hanno sospeso il sito ma senza indicare il problema
--------------------------------------------------------------------------------
Tu insisti su questa cosa, che in linea di principio sposerei anch'io perchè è giusto che un minimo di assistenza venga fornita, ci sono dei però... e sono i contratti, quelli che ognuno spunta con la crocetta senza manco leggere, e non sapendo poi cosa ha diritto e cosa no.

Ho buttato lì una query a caso su google , prova a riprodurla, casualmente è abbastanza centrata nei risultati.
Tanti tipi di contratto di vari hosting che a quel punto non ritengono di doverti spiegare nulla di tecnico, solamnte hanno facoltà di farlo se l'azione derivante è un danno.

Quindi che sia un sasso che sia un bue, se spacchi la finestra ti levo il gioco.

Ma anche su backup e manutenzione ci sono molte clausole.

http://www.google.com/search?client=ubuntu&channel=fs&q=clausole+hosting+sospensione+siti+senza+preavviso&ie=utf-8&oe=utf-8

Quello che dicevo su joomla vale a quanto pare anche per l'hosting.
Io ti do lo spazio immaginando tu sappia cosa stai facendo.
Tu accetti e spunti la crocetta.
Fai casino? bene allora ti evito di farne altri.

Perchè qs comportamento?

Perchè se tu mi fai un casino al giorno io devo correre dietro a te che nn sai che combini e spiegarti pure... basta una riga di comando e sei out.

M.