Ho bisogno di fare chiarezza

[VeronicaB]

Salve, in questo questo mese ho ricevuto due attacchi ai siti/ server che gestisco. Non so se sono due tentative dello stesso autore oppure due distinti o se il problema viene da una falla di joomla o da un problema del mio server.

Premessa: Sul mio server ospito siti con joomla 2.5 e due siti con joomla 1.5, di cui uno aggiornato all'ultima versione disponibile, l'altro no. Quasi tutti i siti sono sviluppati da me stessa.

Il primo attacco, riscontrato a fine marzo, la server farm mi aveva bloccato i server perchè c'era un traffico sospetto, appena mi hanno riabilitato il tutto ho trovato un paio di siti danneggiati in cui ho riscontrato file .php con codici leggermente modificati o che potevano essere semplicemente rinominati (non potevo nè sovrascriverli e ne cancellarli). Ho risolto, temporaneamente, rispistinando i file danneggiati e, successivamente smantellando il server e mettendo i file di backup. Nonostante tutto alcuni siti davano problemi con jom_session e JcacheStorage.

Passato un pò di tempo il sito Joomla 1.5 più aggiornato è stato hackerato questa volta con tanto di firma. Ho trovato dei nuovi file nella cartella joomla e la server farm mi ha bloccato i server poichè hanno riscontrato traffico dai nostri server verso il sito dell'aereoporto di Boston. Adesso devo ricominciare tutto daccapo assucurandomi di non riportarmi codice infetto. Ma i siti sono abbastanza e il metodo  consigliato da MCW è abbastanza lento per la mia "moderata" quantità di siti. Non ci sono molti altri modi vero? XD
mi sento male...

[mau_develop]

ok, facciamo l'ennesima chiarezza...

questo mese ho ricevuto due attacchi ai siti/ server che gestisco.
---------------------------------------------------------------------------------------
Tu gestisci un server? sei sysadmin? se si sai che joomla è una cosa e un server un altra entrambi hanno i loro problemi e a volte collaborano a creare guai.
Per questo Joomla fa il massimo perchè i suoi requisiti siano rispettati ma non intende occuparsi dei problemi dei server e delle loro configurazioni.

Sul mio server ospito siti con joomla 2.5 e due siti con joomla 1.5,
---------------------------------------------
dovrebbero essere tutti 2.5.10 altrimenti i problemi ci sono e quali sono basta che guardi l'annuncio della nuova versione dove ti spiegano che vulnerabilità hanno risolto.

Ma anche noi nel nostro piccolo cerchiamo di promuovere la sicurezza, l'ho fatto io con il topic in evidenza in testa alla sezione e l'ha fatto Alex quì:
http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html

Dove si evincono tutti i rischi per cui ritengo non ci sia più molto da chiarire c'è solo da cercare e leggere.

[VeronicaB]

Ciao, si io "sono" un sysadmin. Le configurazioni del server per ospitare joomla sono quelle ottimali. Ho già scaricato la guida e me la sto leggendo con calma ma mi sono scordata di dire che, per quanto riguarda software server ho tutto aggiornato. I siti che ospito non sono di mia proprietà, anche se mi capita di gestirli. Se i proprietari non vogliono passare alla 2.5 io adesso sarò costretta, se non vuole cambiare, a cacciarlo.
La nuova versione è uscita ieri e non potevo sapere, fino a stamattina, quali potevano essere le problematiche. La mia domanda infondo era un'altra. Il metodo da te descritto è l'ideale ma porta tempi lunghissimi in un organico con più che assenza di personale.

[mau_develop]

per quanto riguarda software server ho tutto aggiornato
---------------------------------------------------------------------------
se riesci a far convivere entrambe le versioni vuol dire che hai due versioni di php o comunque hai dovuto downgradare qualcosa.
Hai provato a caricare una shell per vedere se è possibile scavalcare directory, fare dump intoout e baggianate varie?
sennò buchi uno buchi tutti

hai configurato delle home/sito o è tutto in var/www?

se J1.5 non è più patchato da tempo non oso pensare le estensioni che già non sono il massimo per la sicurezza.

visto che gestisci il server puoi usare phpids (che è validissimo) o le sue regex se non puoi passare subito a 2.5