[Joomla 3.xx] - falle...

[alegrafic]

Ciao
grazie per avermi accolto....


esistono software/tool che fanno analisi riguardo ad infezioni del ns. amato Joomla?

dai log di accesso ho visto quest query:
index.php?option=com_ajax&plugin=arktypography&format=json

se viene lanciato viene mostrata una sequenza di numeri...etc.. ho disabilitato questo plugin.. ma ce ne sono altri.. artboostrap se non ricordo male...


questo invece è un Hack (visto sempre dai log di accesso)


 di cui esiste anche il video...

index.php?option=com_media&view=images&tmpl=component&fieldid=&e_name=jform_articletext&asset=com_content&author=&folder

Tutto questo per chiederVi... per evitare di queste falle .. su i siti di produzione cosa si può fare?


Grazie a tutti per l'attenzione e buon lavoro

[alexred]

Ciao    alegrafic,
è importante mantenere Joomla sempre aggiornato all'ultima versione ed usare poche e fidate estensioni esterne e mantenere sempre aggiornate anche queste.
Solo così questi continui tentativi di attacco cadono nel vuoto essendo quelle falle già corrette nelle ultime versioni di Joomla e delle estensioni.

[alegrafic]

Grazie per i preziosi consigli.


io vedo molte registrazioni da BOT/SPAM al sito.... queste come possono incidere nella sicurezza? utenti BOT/SPAM che si registrano possono bucare il joomla 3.x?




esiste un modo per captcha nelle registrazioni?


grazie

[alexred]

se sul tuo sito non utilizzi le registrazioni allora puoi disabilitare la registrazione.
Si, puoi attivare il captcha nelle registrazioni:  http://www.joomla.it/e-ancora/articoli-community-3x/7709-con-la-versione-3-4-di-joomla-e-arrivato-anche-il-nuovo-recaptcha.html

[alegrafic]

Grazie gentilissimo,
ma sembra che il problema di questi "file infetti" continui...
non so' più cosa fare...
chi mi fornisce l'hosting a cadenza settimanale mi segnala con messaggi del tipo:
./plugins/arkeditor/cache.php
./components/com_virtuemart/sublayouts/customfields.php
./administrator/components/com_virtuemart/helpers/tableupdater.php
./libraries/xef/sources/flickr/api/PEAR/PEAR.php.
/libraries/vendor/composer/search.php


sono file infetti e mi blocca il dominio... io che faccio entro nei file segnalati e pulisco il codice malevole che si trova generalmente nelle prime due righe...


come posso evitare tutto ciò?




inoltre pochi minuti fa invece mi ha nuovamente bloccato il sito è mi dice che i file
media/com_jdiction/file.php
plugins/hikashop/shippingmanual_prices/hostdata51.php


sono infetti... però questa volta questi file non sono presenti in quanto cancellati (il mese scorso).

Come posso controllare se il sito è infetto? esistono applicazioni/tool? cosa faccio? che succede?

grazie a tutti per l'attenzione

[alegrafic]

scusate ancora.. può essere questa una sqlInjection?


index.php/acquista-on-line/pane%C3%83%C6%92%C3%86%E2%80%99%C3%83%E2%80%A0%C3%A2%E2%82%AC%E2%84%A2%C3%83%C6%92%C3%A2%E2%82%AC%C2%A0%C3%83%C2%A2%C3%A2%E2%80%9A%C2%AC%C3%A2%E2%80%9E%C2%A2%C3%83%C6%92%C3%86%E2%80%99%C3%83%C2%A2%C3%A2%E2%80%9A%C2%AC%C3%82%C2%A0%C3%83%C6%92%C3%82%C2%A2%C3%83%C2%A2%C3%A2%E2%82%AC%C5%A1%C3%82%C2%AC%C3%83%C2%A2%C3%A2%E2%82%AC%C5%BE%C3%82%C2%A2%C3%83%C6%92%C3%86%E2%80%99%C3%83%E2%80%A0%C3%A2%E2%82%AC%E2%84%A2%C3%83%C6%92%C3%82%C2%A2%C3%83%C2%A2%C3%A2%E2%82%AC%C5%A1%C3%82%C2%AC%C3%83%E2%80%9A%C3%82%C2%A0%C3%83%C6%92%C3%86%E2%80%99%C3%83%E2%80%9A%C3%82%C2%A2%C3%83%C6%92%C3%82%C2%A2%C3%83%C2%A2%C3%A2%E2%80%9A%C2%AC%C3%85%C2%A1%C3%83%E2%80%9A%C3%82%C2%AC%C3%83%C6%92%C3%82%C2%A2%C3%83%C2%A2%C3%A2%E2%80%9A%C2%AC%C3%85%C2%BE%C3%83%E2%80%9A%C3%82%C2%A2%C3%83%C6%92%C3%86%E2%80%99%C3%83%E2%80%A0%C3%A2%E2%82%AC%E2%84%A2%C3%83%C6%92%C3%A2%E2%82%AC%C2%A0%C3%83%C2%A2%C3%A2%E2%80%9A%C2%AC%C3%A2%E2%80%9E%C2%A2%C3%83%C6%92%C3%86%E2%80%99%C3%83%E2%80%9A%C3%82%C2%A2%C3%83%C6%92%C3%82%C2%A2%C3%83%C2%A2%C3%A2%E2%80%9A%C2%AC%C3%85%C2%A1%C3%83%E2%80%9A%C3%82%C2%AC%C3%83%C6%92%C3%A2%E2%82%AC%C2%A6%C3%83%E2%80%9A%C3%82%C2%A1%C3%83%C6%92%C3%86%E2%80%99%C3%83%E2%80%A0%C3%A2%E2%82%AC%E2%84%A2
%C3%83%C6%92%C3%82%C2%A2%C3%83%C2%A2%C3%A2%E2%82%AC%C5%A1%C3%82%C2%AC%C3%83%E2%80%A6%C3%82%C2%A1%C3%83%C6%92%C3%86%E2%80%99%C3%83%C2%A2%C3%A2%E2%80%9A%C2%AC%C3%85%C2%A1%C3%83%C6%92%C3%A2%E2
%82%AC%C5%A1%C3%83%E2%80%9A%C3%82%C2%A8/by,product_name




l'ho trovata nel log degli ultimi visitatori... qualcuno potrebbe aiutarmi a capire? grazie 

[alexred]

Ciao alegrafic,
pare che tu utilizzi delle estensioni esterne, è probabile che il problema sia nato in passato perchè avevi delle versioni non aggiornate di qualche estensione esterna....   forse hanno caricato sul tuo sito dei file "backdoor" che ora gli permettono di tornare ad accedere al tuo sito anche se tutto è aggiornato. 
Trovare l'infezione e ripulirla è spesso complicato.

[alegrafic]

gentilissimo,


cosa suggerisci di fare?


inoltre ho trovato  che questi file nella root di joomla



htaccess.txt 2,85 KB Ieri 15.09 text/plain 0644


index.php 1,18 KB Ieri 15.09 application/x-httpd-php 0644


LICENSE.txt 17,67 KB  Ieri 15.09 text/plain 0644


README.txt 4,11 KB  Ieri 15.09 text/plain 0644


robots.txt.dist 842 byte Ieri 15.09 application/octet-stream 0644


web.config.txt 1,65 KB  Ieri 15.09 text/plain


modificati ieri.. posso cancellarli? oppure sono necessari per il funzionamento di joomla? scusa la domanda molto newbie...


grazie

[alexred]

puoi eliminarli tutti tranne index.php

[alegrafic]

fatto...


questo è il contenuto della index.php

<?php
/**
 * @package    Joomla.Site
 *
 * @copyright  Copyright (C) 2005 - 2015 Open Source Matters, Inc. All rights reserved.
 * @license    GNU General Public License version 2 or later; see LICENSE.txt
 */


/**
 * Define the application's minimum supported PHP version as a constant so it can be referenced within the application.
 */
define('JOOMLA_MINIMUM_PHP', '5.3.10');


if (version_compare(PHP_VERSION, JOOMLA_MINIMUM_PHP, '<'))
{
   die('Your host needs to use PHP ' . JOOMLA_MINIMUM_PHP . ' or higher to run this version of Joomla!');
}


/**
 * Constant that is checked in included files to prevent direct access.
 * define() is used in the installation folder rather than "const" to not error for PHP 5.2 and lower
 */
define('_JEXEC', 1);


if (file_exists(__DIR__ . '/defines.php'))
{
   include_once __DIR__ . '/defines.php';
}


if (!defined('_JDEFINES'))
{
   define('JPATH_BASE', __DIR__);
   require_once JPATH_BASE . '/includes/defines.php';
}


require_once JPATH_BASE . '/includes/framework.php';


// Mark afterLoad in the profiler.
JDEBUG ? $_PROFILER->mark('afterLoad') : null;


// Instantiate the application.
$app = JFactory::getApplication('site');


// Execute the application.
$app->execute();




mi chiedo come è possibile che riescano a modificare i files? l'unico modo è solo conoscendo user e pass FTP.. oppure vi è un altro modo?


grazie per il supporto

[alegrafic]

scusami, ti ho inviato un PM....volevo capire se ho fatto bene l'invio... essendo poco pratico di questo forum.


chiedo scusa a tutti per questa informazioni di servizio.


grazie

[alexred]

messaggio privato ricevuto, ma non è permesso dare supporto privatamente ma solo pubblicamente sul forum, così eventuali risposte rimangono a disposizione di tutti.

[alegrafic]

scusami, ma è permesso parlare di hosting a pagamento?


grazie per il supporto

[ramses_2th]

Ciao elegrafic, non è possibile parlare di estensioni e servizi commerciali. Per questo puoi far riferimento direttamente al supporto dei produttori e gestori.

[alegrafic]

grazie. tornando nel topic di questa discussione..  è chiaro ed evidente che non conosco bene l'aspetto joomla "sicurezza"...  una domanda che spero abbia una risposta sulla sicurezza: sui i siti dove è installato joomla 3.x è possibile generare/modificare file senza entrare come utente FTP, mi spiego come hanno potuto modificare i file inserendo codice malevolo all'interno, vuol dire che hanno scoperto la password ftp? inoltre il codice malevolo riescono anche ad inserirlo nel database collegato al joomla?  è possibile scoprire se sul sito ci sono dei file "backdoor" se sì come?


grazie