Infezione: html:lframe-inf

[megawatt]

Ciao a tutti
Da qualche giorno Avast mi avverte che il mio sito è infetto da html:lframe-inf
ora per risolvere velocemente la cosa ho rimosso e reinstallato i moduli o plugin infetti ma dopo una settimana la cosa si è ripetuta su altri moduli del sito vi chiedo dunque come è possibile questo fatto ovvero come fanno a modificare i file dentro il mio sito ? premeto che ho cambiato molte volte la password ftp.

Posso aggiungere che installando RSFirewall ha rilevato l'intrusione di un certo indirizzo ip che cosi diceva rsfirewall stava modificando il core di joomla di un articolo, purtroppo rsfirewall blocca anch el'inserimento dei codici di incorporamento di yutube cosi ho dovuto rimuoverlo.

Alla fine vi chiedo come posso fare per evitare che mi vengano infettati i file e come posso impedire intrusioni malevole, mi serve veramente il vostro aiuto GRAZIE

[giovi]

se sei prudente al punto da non rivelarci neanche la versione di joomla che usi sarà difficile aiutarti hai già chiesto informazioni al provider a riguardo? Altri siti del tuo stesso server sono stati bucati?

[megawatt]

A scusami tanto la versione è la 1.5.25
Si ho già inviato diverse mail al mio provider e mi dicono che le intrusioni sono monitorate anchè da loro e droppate da loro firewall ma cosi non mi sembra

[giusebos]

hai controllato le versioni delle estensioni utilizzate? Non basta avere joomla aggiornato, occorre avere anche le varie estensioni.

Dai un occhiata, nel sito ufficiale c'è anche l'elenco delle estensioni "difettose" lato sicurezza.

[megawatt]

Purtroppo non riesco a trovare la lista da te suggerita

[megawatt]

Trovata
http://docs.joomla.org/Vulnerable_Extensions_List

[mau_develop]

comunque sia anche se un estensione non è vulnerabile ma viene aggiornata qualche funzionalità vuol dire che puoi migliorare gratis ciò che già possiedi... non capisco perchè tanta riluttanza a tenere tutto aggiornato..

M.

[megawatt]

Guarda che è tutto aggiornato!!!!!!!!!!!!!!!!!
L'unica che risultava nella lista come vulnerabile è stata rimossa!!!!!!!!!!!!!!!!!
percio non capisco di cosa stai parlando!!!!!!!!!

[giusebos]

Se hai rimosso qualcosa allora il problema c'èra, perchè arrabbiarsi?

[megawatt]

E questo sarebbe un forum di supporto ?
nessuna risposta valida ma solo tanto tempo perso

[giovi]

E' curioso che sia un worm individuato solo da avast, e la cosa lascia pensare...

Quali sono le estensioni attualmente attive sul tuo sito?

Ricorda che è un forum di supporto, non un forum di maghi ed indovini, se le informazioni non ce le dai tu non ce le si può mica inventare Proviamo con un po più di impegno a trovare una soluzione insieme, è un problema che può interessare anche ad altri...

edit: suggerisce fox che i virus o i loro creatori

Sfruttano vulnerabilita' di alcuni CMS.
Se sei su un hosting condiviso, potrebbero benissimo avere attaccato con successo un altro sito, e poi essere arrivati al tuo risalendo semplicemente il filesystem.
Questo tipo di attacchi sono spesso (per non dire sempre) eseguiti da bot automatici.
Le soluzioni:
Puoi togliere i permessi in scrittura ai file php, e lasciarli in sola lettura.
Poi ci sono estensioni che effettuano il monitoraggio automatico dei file e cartelle. In questo caso ti avrebbe avvisato subito dopo l'attacco.

difatti l'argomento era già stato trattato non molto tempo fa: http://forum.joomla.it/index.php?topic=153839.0

Se hai qualche sito con le stesse estensioni su un altro server il problema è all'80% (20% in meno perchè magari non conoscono l'indirizzo del sito, o magari ci stanno arrivando!) quello proposto da fox

[megawatt]

Boh proverò a togliere i permessi di sceittura sia dalle directory sia dai file
644 per i file e 755 per le directory ?