Autore Topic: Sito bloccato per sicurezza (Letto 11765 volte)

VascoJuve · « **il:** 27 Ott 2013, 14:33:09 »

Ciao,
io ho un sito internet (www.solovascofansclub.it) fatto con Joomla 1.5 che ho in remoto su ******. Un mese fa ****** mi ha bloccato il sito per problemi di sicurezza dicendomi che dovevo aggiornare il sito ad una versione stabile e sicura di Joomla (io avevo la 1.5.22). Ho aggiornato il mio sito con la versione 1.5.26 (che è l'ultima della versione 1.5) e quelli di ****** mi hanno confermato che il sito andava bene ed era tutto ok.
L'altro giorno mi hanno disattivato di nuovo il sito inviandomi questa email:

"Gentile cliente,
abbiamo verificato che il suo sito e` stato compromesso e utilizzato per inviare una grande quantita` di spam. Per questo motivo e` stato necessario disattivarlo, in attesa che sia messo in sicurezza da parte vostra.
Non e` stata fatta una analisi specifica per individuare in che modo il sito e` stato violato, ma secondo la nostra esperienza le cause sono quasi sempre:
- temi, plugin o componenti insicuri di un CMS, oppure
- password dell'area amministrativa di un CMS facilmente indovinabile
Il sito e` stato archiviato nella directory htdocs in un file .zip, che puo` scaricare normalmente con il suo client FTP.
Le raccomandiamo di non ricaricare nello spazio web il vecchio sito, perche' oltre alle vulnerabilita` che hanno causato l'intrusione sicuramente contiene backdoor e/o malware, sia in nuovi file che nascosti nei file dell'applicazione.
Per questo motivo e` importante che il sito sia reinstallato da zero da sorgenti certamente sicuri. Una volta reinstallato potra` recuperare dal l'archivio .zip eventuali immagini o altri file che aveva caricato nel vecchio sito."

Naturalmente io ho fatto presente che un mese fa era successo la stessa cosa e che il sito andava bene ma loro non ne vogliono proprio sapere.
Che cosa posso fare per avere la sicurezza sul mio sito e non avere queste continue disattivazione? Esiste qualche plugin per la sicurezza? Naturalmente non vorrei ricreare con una versione nuova di joomla il sito visto che dovrei risistemare tutto il sito con un nuovo template ecc. Non ho tanto tempo in questo periodo per fare questa cosa ed ho bisogno del sito appena possibile.
Mica mi conviene spostare il sito su un altro host visto che questi di ****** fanno tutto questo casino?
Secondo voi è possibile che ho questi continui attacchi di hacker?

Che cosa mi consigliate di fare?

VascoJuve · « **Risposta #1 il:** 27 Ott 2013, 21:11:24 »

Qualcuno mi sa aiutare???

$Red · « **Risposta #2 il:** 27 Ott 2013, 21:22:59 »

ciao, la cosa principale da fare è la migrazione ad una nuova versione di joomla ad esempio la 2.5.14, questo non comporta rifare tutto, al massimo dovrai cambiare template e/o le estensioni che non sono state aggiornate per le nuove versioni di joomla, qui trovi la guida per la migrazione

VascoJuve · « **Risposta #3 il:** 27 Ott 2013, 21:34:56 »

Citazione da: $Red - 27 Ott 2013, 21:22:59

ciao, la cosa principale da fare è la migrazione ad una nuova versione di joomla ad esempio la 2.5.14, questo non comporta rifare tutto, al massimo dovrai cambiare template e/o le estensioni che non sono state aggiornate per le nuove versioni di joomla, qui trovi la guida per la migrazione

Non voglio cambiare il template o le estensioni. Voglio rimanere il sito com'è ora e poi quando avrò un po' di tempo rifare il sito con l'ultima versione di Joomla.
Posso rimanere con la versione 1.5.26 senza avere questi problemi di sicurezza?
Penso che sicuramente ci sono molti siti con la mia stessa versione. Giusto?

$Red · « **Risposta #4 il:** 27 Ott 2013, 21:51:51 »

prima di tutto devi sapere da che parte "passano", perche è possibile che sia proprio una delle estensioni che hai installato ad essere il problema

carlodamo · « **Risposta #5 il:** 27 Ott 2013, 22:01:18 »

Controllare le estensioni ed eventualmente toglierle (se sono buggate).

Cambiare tutte le password (tutte) e metterne di mooolto lunghe.

Cambiare hosting, generalmente serve a poco.

Poi cosa semplice: Nascondere la cartella administrator di Joomla

http://www.mmleoni.net/sviluppo-joomla-esempi-e-trucchi/48-proteggere-l-accesso-alla-directory-administrator

ciao

Una soluzione

giusebos · « **Risposta #6 il:** 27 Ott 2013, 22:02:54 »

prima di chiedere è importate leggere la discussione in evidenza su questa board:
ci troverai tutto ciò che occorre sapere per mettere in sicurezza il sito.

Se c'è qualcosa che non capisci, chiedi pure.

VascoJuve · « **Risposta #7 il:** 27 Ott 2013, 22:12:33 »

Citazione da: $Red - 27 Ott 2013, 21:51:51

prima di tutto devi sapere da che parte "passano", perche è possibile che sia proprio una delle estensioni che hai installato ad essere il problema

Guarda che sul mio sito ho installato l'ultima estensione più di un anno fa. Non penso che dopo un anno se ne accorgono che c'è un problema sull'estensione

Citazione da: carlodamo - 27 Ott 2013, 22:01:18

Controllare le estensioni ed eventualmente toglierle (se sono buggate).

Cambiare tutte le password (tutte) e metterne di mooolto lunghe.

Cambiare hosting, generalmente serve a poco.

Poi cosa semplice: Nascondere la cartella administrator di Joomla

http://www.mmleoni.net/sviluppo-joomla-esempi-e-trucchi/48-proteggere-l-accesso-alla-directory-administrator

Seguirò i tuoi suggerimenti. L'unica cosa come faccio a capire se un'estensione è bagata?

giusebos · « **Risposta #8 il:** 27 Ott 2013, 22:46:51 »

Citazione

Guarda che sul mio sito ho installato l'ultima estensione più di un anno fa

Questo è un invito a nozze per chi ha la passione di smanettare sui siti altrui....

VascoJuve · « **Risposta #9 il:** 27 Ott 2013, 22:48:40 »

Citazione da: giusebos - 27 Ott 2013, 22:46:51

Questo è un invito a nozze per chi ha la passione di smanettare sui siti altrui....

Perché scusa?

VascoJuve · « **Risposta #10 il:** 27 Ott 2013, 23:17:41 »

Citazione da: carlodamo - 27 Ott 2013, 22:01:18

Poi cosa semplice: Nascondere la cartella administrator di Joomla

http://www.mmleoni.net/sviluppo-joomla-esempi-e-trucchi/48-proteggere-l-accesso-alla-directory-administrator

EDIT: link corretto con istruzioni specifiche

Ho seguito quello che c'era scritto nel tuo link ma non cambia niente. Si vede sempre la cartella administrator di Joomla

carlodamo · « **Risposta #11 il:** 28 Ott 2013, 09:06:06 »

Citazione da: VascoJuve - 27 Ott 2013, 22:12:33

Guarda che sul mio sito ho installato l'ultima estensione più di un anno fa. Non penso che dopo un anno se ne accorgono che c'è un problema sull'estensione

Seguirò i tuoi suggerimenti. L'unica cosa come faccio a capire se un'estensione è bagata?

devi guardare sul sito dello sviluppatore se c'è una nuova versione. Su joomla.org c'è una pagina con l'elenco di estensioni buggate ed eventualmente messe apposto. Cercalo.

carlodamo · « **Risposta #12 il:** 28 Ott 2013, 09:07:22 »

Citazione da: VascoJuve - 27 Ott 2013, 23:17:41

Ho seguito quello che c'era scritto nel tuo link ma non cambia niente. Si vede sempre la cartella administrator di Joomla

ok, tu la vedi da ftp e da adminitsrator. Ma quelli che si collegano da esterni, la vedono? RIescono a vedere url tipo: www.miosito.com/administrator/etc...?

mmleoni · « **Risposta #13 il:** 30 Ott 2013, 11:19:35 »

ciao VascoJuve,
oramai è un po' che non frequento ma un fan club di vasco merita proprio una risposta!

*directory administrator nascosta:
no, non è nascosta. penso che tu non abbia seguito bene le istruzioni, prova a rivedere. solo una domanda: le istruzioni per l'.htaccess non le hai messe in coda al file, vero?
imho: non è il principale punto di accesso per gli hackers.

*estensioni vecchie
è proprio da lì che entrano massima parte degli hacker. massima parte degli hack su cui sono intervenuto sono sql injection su vecchie estensioni. converrebbe almeno mettere un sistema di filtro su questo tipo di attacchi. ovviamente consiglio quella che ho scritto io

http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731

per me la 1.5.26, a costo di scatenare una tempesta, è stabile ed abbastanza sicura. ovviamente, una volta che il sito è stato bucato non si può essere più sicuri di quanto contenuto nel filesystem a questo proposito puoi vedere l'ottimo post iniziale dell'altrettanto ottimo maurizio.

ciao,
marco

mmleoni · « **Risposta #14 il:** 30 Ott 2013, 13:23:12 »

ps:
non amo inserire link al mio sito, non è cosa da fare, ma qui un eccezione è dovuta: il link indicato per proteggere la directory administrator riporta un codice che, a parte il nome del cookie, è pari pari quello presente sul mio sito (articolo di oltre 3 anni fa), camel case compreso.

Però la spiegazione del funzionamento è mancante e le istruzioni su dove posizionare le stringhe in .htaccess sono errate, vengono date proprio sbagliate.

il codice non va posizionato in coda ad .htaccess!! se lo posizioni dopo il routing di joomla è utile come il sale sul budino

vedi:

http://www.mmleoni.net/sviluppo-joomla-esempi-e-trucchi/48-proteggere-l-accesso-alla-directory-administrator

per l'implementazione corretta.

ciao,
marco

VascoJuve · « **Risposta #15 il:** 31 Ott 2013, 08:00:38 »

Citazione da: mmleoni - 30 Ott 2013, 13:23:12

ps:
non amo inserire link al mio sito, non è cosa da fare, ma qui un eccezione è dovuta: il link indicato per proteggere la directory administrator riporta un codice che, a parte il nome del cookie, è pari pari quello presente sul mio sito (articolo di oltre 3 anni fa), camel case compreso.

Però la spiegazione del funzionamento è mancante e le istruzioni su dove posizionare le stringhe in .htaccess sono errate, vengono date proprio sbagliate.

il codice non va posizionato in coda ad .htaccess!! se lo posizioni dopo il routing di joomla è utile come il sale sul budino

vedi:

http://www.mmleoni.net/sviluppo-joomla-esempi-e-trucchi/48-proteggere-l-accesso-alla-directory-administrator

per l'implementazione corretta.

Infatti era per questo che non funzionava. Comunque ho rimesso il sito online domenica scorsa modificando semplicemente username e password per accedere all'administrator. L'host sembra che, al momento, gli vada bene il sito e che non ci siano più problemi. Secondo è stato un errore loro a disattivarmi il sito. vediamo come va

VascoJuve · « **Risposta #16 il:** 13 Nov 2013, 11:41:13 »

Guardate che mi hanno scritti questi dell'host:

"Gentile Vincenzo,
la versione 1.5.26 non viene più aggiornata dalla comunità ufficiale e questo non significa che è stabile e sicura, ma semplicemente che si tratta di un vecchio prodotto non più manutenuto.
I messaggi che le sono stati inviati sono successivi a problemi rilevati sui server a causa del codice non sicuro del suo dominio.

Molti clienti ci chiedono, quando gli sospendiamo il dominio: "ma perché non ci avvisate di aggiornare piuttosto che sospendere il dominio?"
Ecco, lo stiamo facendo con lei, ma a quanto pare non ha intenzione di procedere all'aggiornamento di joomla all'ultima release stabile rilasciata dagli sviluppatori.

Pertanto, dato che non si tratta della prima sospensione, l'abbiamo informata che al prossimo problema dovremo procedere alla sospensione definitiva.
A questo punto, onde evitare a lei ed a noi problemi, sarebbe gradito se procedesse con cortese urgenza all'aggiornamento di joomla."

La domanda che mi pongo io ma esistono online siti con Joomla 1.5.26 sul web? hanno lo stesso problema mio? Secondo voi questi dell'host stanno fuori mandando questi messaggi? Io sono del parere che stanno fuori di test. Datemi un consiglio voi.

giusebos · « **Risposta #17 il:** 13 Nov 2013, 11:56:36 »

cogli la palla al balzo e mandali a fare 2 curve al piazzale

mmleoni · « **Risposta #18 il:** 13 Nov 2013, 14:05:13 »

come ho detto nel mio primo post in questo thread, è inutile aggiornare un sito che è stato bucato, primo perché non sai come sia successo, secondo perché non sai se abbiano lasciato qualcosa sul server.

Non condivido l'idea del provider sul fatto che la J1.5.26 non sia sicura, anche perché massima parte dei problemi riscontrati erano xss, quindi di sicuro non pericolosi in sé, ma ciò non implica che il tuo sito sia sicuro, sia per le estensioni installate sia per quanto detto sopra e nei precedenti post.

ciò premesso, le continue violazioni del sito autorizzano, a mio parere, il provider ad attuare il comportamento minacciato e a mettere off line il sito, con riserva, ove dimostrata la tua imperizia e/o inerzia nell'agire, di richiedere il pagamento dei danni per i disservizi causati al network.
questo è un aspetto spesso ignorato, ma con il contratto di hosting ci si assumono doveri ben precisi, non solo diritti.
Il solo fatto di non poter dimostrare di aver intrapreso azioni adeguate e/o non aver denunciato la violazione alla polizia postale può essere usato dal provider per giustificare tali richieste.

ciao,
marco

VascoJuve · « **Risposta #19 il:** 13 Nov 2013, 14:49:07 »

Citazione da: mmleoni - 13 Nov 2013, 14:05:13

come ho detto nel mio primo post in questo thread, è inutile aggiornare un sito che è stato bucato, primo perché non sai come sia successo, secondo perché non sai se abbiano lasciato qualcosa sul server.

Non condivido l'idea del provider sul fatto che la J1.5.26 non sia sicura, anche perché massima parte dei problemi riscontrati erano xss, quindi di sicuro non pericolosi in sé, ma ciò non implica che il tuo sito sia sicuro, sia per le estensioni installate sia per quanto detto sopra e nei precedenti post.

ciò premesso, le continue violazioni del sito autorizzano, a mio parere, il provider ad attuare il comportamento minacciato e a mettere off line il sito, con riserva, ove dimostrata la tua imperizia e/o inerzia nell'agire, di richiedere il pagamento dei danni per i disservizi causati al network.
questo è un aspetto spesso ignorato, ma con il contratto di hosting ci si assumono doveri ben precisi, non solo diritti.
Il solo fatto di non poter dimostrare di aver intrapreso azioni adeguate e/o non aver denunciato la violazione alla polizia postale può essere usato dal provider per giustificare tali richieste.

ciao,
marco

Guarda che io la seconda volta, quando ho aggiornato il sito alla versione 1.5.26, ho preso una copia di backup che avevo io e non quella bagata. Quindi il sito era nella condizione stabile e sicura con la versione 1.5.26. Non so perché continuavano a dire che il sito era stato bagata quando in realtà non lo è.
Quindi sono loro che stanno a difetto visto che considerano la versione 1.5.26 non sicura e stabile quando lo è pienamente.

Quindi mi confermate di nuovo che la versione 1.5.26 è stabile e sicura?

VascoJuve · « **Risposta #20 il:** 13 Nov 2013, 14:53:40 »

Io comunque sto pensando di cambiare host visto come si stanno comportando e visto che dovrei fare il rinnovo ad inizio dicembre

mmleoni · « **Risposta #21 il:** 13 Nov 2013, 15:02:48 »

1.
nessuno può garantire che niente sia stabile e sicuro, e su questo si mettano un po' tutti il cuore in pace.

2.
backup da dove. se era del sito on line questa non è certo una garanzia che non ci fossero già dentro cavalli di troia o shell remote

3.
e le estensioni...

sei tu che hai gli hacker nel sito ed il discorso della versione d J abbandonata e non più sviluppata fa molta presa dal punto di vista giuridico. quindi, o dimostri che sia un problema del server, o hanno ragione loro. sei tu in difetto, quindi spetta a te l'onere di dimostrare che la cosa non è a te imputabile.

ciao.

VascoJuve · « **Risposta #22 il:** 13 Nov 2013, 18:43:25 »

Citazione da: mmleoni - 13 Nov 2013, 15:02:48

1.
nessuno può garantire che niente sia stabile e sicuro, e su questo si mettano un po' tutti il cuore in pace.

2.
backup da dove. se era del sito on line questa non è certo una garanzia che non ci fossero già dentro cavalli di troia o shell remote

3.
e le estensioni...

Naturalmente il backup del sito che avevo fatto sul mio pc 3-4 mesi. Quindi non c'era nessun cavallo di troia ecc..

VascoJuve · « **Risposta #23 il:** 13 Nov 2013, 18:46:59 »

Guardate questa risposta che mi hanno dato:

"si tratta di una versione stabile e sicura?

Secondo lei quello che viene riportato in questi post:
http://forum.joomla.org/viewtopic.php?t=750266
http://www.matteogiannone.com/blog/2013/09/nuovo-bug-exploit-0day-joomla-1-5-26/

tanto per citarne due, come lo definisce?"

Io sono del parere che questi non sanno quello che dicono anche in base alle vostre risposte