J 2.5 dilaniato da uno script

[andreaogeno]

Salve a tutti,
pongo un argomento già trattato: l'attacco di un sito Joomla tramite script malevoli.
Il mio sito in piedi da 2 mesi scarsi è stato completamente modificato da uno script che ha infettato tutti gli "index.html" "index.php" e altri php sparsi nelle cartelle.
L'operazione di pulizia come suggerita qui in vari post risulta impossibile visto il grande numero di file infetti da ripristinare o ripulire, dunque dai wiki letti e suggeriti ho dedotto che impiegherò meno tempo a rifarlo da zero (per fortuna non era un portale stracarico)
Ma a questo punto mi viene in mente l'argomento prevenzione.Sapete se esiste qualcosa per prevenire l'attacco tramite iframe, script e javascript?
Suppongo che vietando all'editor l'inserimento di suddetti script si risolva ma allo stesso tempo non potrei usare il sito come voglio.
Grazie in anticipo

[mau_develop]

1) non so che post hai letto mai files non si ripuliscono se non si sa dove intervenire, si sovrascrivono e basta.
2) Se come dici hai letto in giro avrai visto che la prevenzione consiste nel tenere tutto aggiornato e backuppato,... eri in qs condizioni?
3) se il problema è del server non puoi farci nulla.

[andreaogeno]

Allora,
con pulizia intendo ripulire gli index.html e php infetti, cancellando lo script tra i tags <script></script>
naturalmente so dove intervenire perchè in passato mi capitò in maniera molto meno aggressiva e risolsi facilmente, lo potrei fare anche ora ma il lavoro sarebbe stato eccessivo a tal punto che non mi conviene.
Capisco perfettamente che la prevenzione ideale è backuppare e aggiornare, ma quando si ha a che fare con una 80ina di siti il discorso diventa più delicato.
Io chiedevo se c'era un modo per impedire un attacco di questo tipo.

[mau_develop]

cioè tu vuoi prevenire attacchi su applicazioni vulnerabili?

M.

[andreaogeno]

Volevo dire che sul mio hosting ho attivo il servizio antivirus e antispam, ma nonostante tutto riescono a bucarmelo.
Ricordo che in tinymce ho tolto i blocchi che impedivano iframe, scripts e java..perchè mi servivano ma forse in questo modo mi bucano il sito più facilmente.
Quindi volevo sapere, esiste un accorgimento, un componente o qualsiasi cosa che mi faccia dormire sereno?

[mau_develop]

forse non ci capiamo....

- se il sw installato è aggiornato non inietti nulla, a chi ne abusa non gli importa nulla se hai 1000 siti e non riesci a stargli dietro
- se il software installato ha problemi non serve nessun antivirus o antispam te lo bucano e basta (evita anche di pagare qs servizi inutili)
- se il sw installato è vulnerabile puoi installare ciò che credi ma continuano a bucartelo

[andreaogeno]

Forse mi spiego male io,
il sito attaccato era un Joomla 2.5.8 aggiornato(fatto meno di 2 mesi fa) e con Gantry Framework aggiornato,null'altro di particolare, quindi lo considero aggiornato.
Unica cosa che non centra nulla con gli aggiornamenti, è stato il fatto che io ho tolto il blocco di Tinymce per gli iframe, script e javascript per poter mettere dei contenuti che usano questi scripts appunto.
Ora quello che mi chiedo è:
Se il mio sistema è aggiornato e voglio utilizzare tutti gli script che voglio, come posso fare per difendermi da attacchi?

[mau_develop]

parti da un presupposto diverso... che scopo hanno questi attacchi? ... direi 98% -> spam
quindi sfruttano vulnerabilità note e prevedibili.

...qualcosa di ciò che hai installato è vulnerabile e se così non fosse non è improbabile un problema nel server... ma in nessun caso risolverai mai con nessun sistema/script di sicurezza

[andreaogeno]

solitamente mi aspetto spam, ma in questo caso è uno script che cerca di mandare a http://www.mc-plainlinde.at/upload/upload.php che è un normalissimo sito austriaco che tratta di moto
non ho idea se qualcosa che ho installato è vulnerabile, non è una cosa che riesco a capire, ma niente di strano, insomma cose tipo community builder, phocagallery,ninja rss syndicate, youtube gallery

[jeckodevelopment]

anche le estensioni famose, nelle versioni obsolete possono essere soggette a problemi di protezione.
Il servizio "antivirus" e "antispam" che paghi è per la posta elettronica, non c'entra nulla con lo spazio web.

[andreaogeno]

si si capisco, ma avendolo fatto un paio di mesi fa, non mi pare che sia il caso di considerarle obsolete, anzi non mi segnalava nessun aggiornamento fino a una settimana fa

[jeckodevelopment]

purtroppo una versione può diventare obsoleta in pochi giorni, o addirittura minuti, quando c'è di mezzo un bug o qualche problema di sicurezza!
ti ricordo inoltre che alcuni componenti non utilizzano ancora il sistema di notifica e gestione aggiornamenti integrato in Joomla

[mau_develop]

che un'alta percentuale delle estensioni jed minori è vulnerabile, che gli editor non sono di joomla e quindi raramente avvisa, che i template hanno la stessa pericolosità di un estensione (soprattutto quelli che caricano i css dinamicamente.. c'è anche un articolo sul wiki.org).

Il discorso è un po sempre lo stesso e non è in toto rivolto a te ... tanti siti tanto impegno e molta competenza... non scappi.
C'è un noto host che ha costruito tutte le sue strutture da cantinaro usando manodopera a basso costo, stage etc..... lo buca anche il mio nipotino...

Ringraziamo che il tempo dei pischelli trapanatori è quasi finito... c'è facebook e i vari social...più figo! ... e non è difficilissimo e ci sono ogni giorno nuove scemenze nei forum di "hackers"...
...che storia... trovare vulnerabilità in facebook... ma facebook è intrinsicamente una vulnerabilità... trovi più info lì che bucando le mail...

[andreaogeno]

Aggiorno per interesse pubblico:
Al momento ho inibito l'utente 62 (super administrator) bloccandolo e degradangolo al gruppo  Registered , successivamente ne ho creto uno nuovo che ho messo nel gruppo superadministrator, altra utility interessante è stata quella di mettere la plugin gratuita admin exile, che invece inibisce l'accesso al classico indirizzo per l'amministrazione joomla (miosito/administrator) cambiandolo in altro.
Per ora è tutto e approfitto per ringraziare e farvi gli auguri di natale!