estensione check modifica file

[bsaett]

Salve, di recente ho avuto un problema di malware (trojan script iframer) su J. 1.5 e 1.7. Ho ripristinato da backup, fatti controlli, aggiornato estensioni, credo sia a posto adesso. Vorrei qualche consiglio su come evitare in futuro modifiche indesiderate ai file, in particolare se vi sono estensioni che controllano tali modifiche avvertendo l'admin (in modo da intervenire subito) , se sono davvero utili.
Grazie in anticipo.

[tomtomeight]

http://forum.joomla.it/index.php/topic,117151.0.html

 http://www.mmleoni.net/sviluppo-joomla-esempi-e-trucchi/47-protezione-del-sito-da-sql-injection-e-local-file-inclusion

[bsaett]

Grazie tomtomeight,

il primo link già lo conoscevo e mi è stato molto utile. Per il secondo link, l'estensione di Leoni l'avevo già vista, ma LFI non è l'inclusione di file nella cartella? Nel caso del trojan che ha infettato il mio sito, invece, vengono modificati i file (.js) aggiungendo codice.  L'estensione in questione funziona anche in questi casi? Scusate l'ignoranza in materia. :-)

[mau_develop]

mah... , credo che in questo momento ci sia molto interesse per i server e per eventuali maldestre configurazioni per seguire hardening di applicativi, credo che questa serie di inclusioni di trojan avvenga per una serie di concause in cui non è direttamente responsabile l'applicativo.

In poche parole credo ci sia da prestare attenzione alle estensioni, non infilarsi oltre la 1.7 per ora su siti di produzione o di una certa importanza, usare servizi che offrano strutture solide e verificare sempre se ci si trova hostati in compagnia di siti di particolare interesse, vi trovereste nella sventurata posizione di essere sempre testato per divenire vettore... è un casino.

Sarebbe bello avere i log del server al momento dell'inclusione... così per avere un idea.
Inoltre ho visto che su qualche blog vengono ancora lamentate falle dei browser che consentirebbero anche l'ftp e quindi l'auto-infezione... attenzione a navigare autenticati.

M.

[bsaett]

Grazie Mau_develop,

in effetti l'intenzione era proprio di verificare i log subito dopo l'infezione. Il problema è che non modifico spesso i siti per cui l'infezione può essere avvenuta in un arco temporale ampio. Ecco perchè cercavo una estesione che mi avvertisse subito delle modifiche, in modo da poter controllare anche da dove venissero, invece che limitarmi a ripristinare il tutto.
Grazie dei consigli. 

[tomtomeight]

Ecco perchè cercavo una estesione che mi avvertisse subito delle modifiche, in
modo da poter controllare anche da dove venissero,

Se la trovi faccelo sapere.

[mau_develop]

..in effetti sarebbe una bella cosa e l'avevo anche fatta anzi dovrei averla ancora da qualche parte ma... è un disastro poichè dovresti lanciare un touch su tutti i file, indicizzarli per path e metterli nel db con i loro dati, successivamente tramite chron gli fai lanciare la stessa procedura che ricompie il touch e compara i dati.

Ho provato anche con l'md5 del file, ... ho provato a considerare solo alcuni files... ad affinare i filtri che capissero che una modifica su un file non era normale...

...poi mi sono stufato ... sinceramente il troianino non mi fa piacere maaaa un piatto di pasta non si nega nessuno quando mi accorgo riuppo il backup e avviso l'hoster

M.

[bsaett]

Capisco, il gioco non vale la candela, più semplice un buon backup 
Ma, scusate se approfitto, dovrei avvisare l'hoster? In realtà non ho capito nemmeno se è colpa mia.