Sito web bersaglio hack/spam con joomla 3.8.1

[hyrion]

Ciao a tutti, vi sottopongo un problema, ho due siti web joomla aggiornato 3.8.1, pochissime estensioni, anche queste aggiornate. In pratica in 10-15 giorni i siti vengono violati ed iniziano ad inviare spam, io ricarico il backup e dopo un po' l'attività riprende.  Premetto che entrambi i domini erano stati utilizzati per inviare spam a lungo e dopo che me ne sono accorto, avendo vecchie versioni di joomla ho progettato due siti web ex-novo. Presumo che i due domini, essendo dei .com, siano ormai utilizzati dagli hackers/spammer per le loro attività e sfruttino joomla come "porta" sfruttando qualche vulnerabilità, esiste qualcosa per contrastarli?

[maicolstaip]

Ciao hyrion,
se hai aggiornato i siti ma ci hai lasciato dentro qualche file malevolo, continueranno a tornare.
Leggi i post in evidenza in questa sezione per vedere come fare per eradicare quei dannati. Non è un compito semplice.
Il fatto che siano .com/.eu/,it non c'entra nulla, è quello che vi è contenuto che conta.

Ciao!

[hyrion]

Ciao, no come ho scritto le operazioni sono state
- cancellazione vecchio sito
- creazione nuovo sito pulito ed aggiornato


Problema: i due domini dopo un paio di settimane vengono nuovamente violati, ovviamente carico il backup pulito iniziale e per altri 10/15 giorni rimangono esenti da problemi. La mia ipotesi è che i due domini sono molti importanti per gli hackers e ormai ci lavorano sfruttando ogni minima vulnerabilità di joomla. Che faccio?

[tonicopi]

Hai messo il captcha nel modulo contatti?

[danielecr]

Ciao,
non è molto chiaro ciò che succede..tonicopi per esempio credo che abbia capito che lo spam arrivi a te dal modulo contatti, magari invece tu intendi che vengono inviate mail dal tuo server a terze persone.
Cosa intendi per "violato"? E come fai a dire che è stato violato?

Se violato, analizza i log del server per capire da dove sono entrati.

[tonicopi]

No no, intendo proprio che usano la componente contatti di joomla per inviare email di spam. In un sito me ne hanno inviate duecentomila in un giorno. E' un problema noto: bisogna inserire il captcha. Se non si sta usando il contatto bisogna cancellarlo. Lo usano anche se non pubblicato. 

[hyrion]

Andiamo con ordine:


- il dominio viene utilizzato come ponte per inviare spam non a me ma a terzi, in pratica presumo usino la funzione php mail
- dai log non è chiaro da dove entrino poichè una volta entrati spargono files malevoli ovunque

[danielecr]

- il dominio viene utilizzato come ponte per inviare spam non a me ma a terzi, in pratica presumo usino la funzione php mail

Tieni conto che facilmente si riescono ad inviare email con il mittente spoofato e in questo caso non puoi fare nulla (dovresti verificare il messaggio completo della mail e vedere se effettivamente le mail partono dal tuo server o meno).
Nel caso utilizzino il server i log servono proprio a questo: magari c'è uno script da qualche parte e dai log dovresti vederlo.

[hyrion]

Il problema è che è proprio il mio fornitore di hosting che è costretto periodicamente a sospendere i domini causa invio di spam e presenza a quanto scrivono loro "di attività malevola"

[tomtomeight]

Allora il punto debole può essere proprio il server.

[hyrion]

si ma dicono che sia colpa di joomla non che è colpa loro 


infatti appena ricarico il backup torna tutto a posto...

[matty80]

si ma dicono che sia colpa di joomla non che è colpa loro 


infatti appena ricarico il backup torna tutto a posto...

Ciao Hyrion,


quella di dare la colpa a qualcun'altro di questi tempi è ormai una prassi consolidata.
Per ovvie ragioni non conosco i discorsi scambiati con questi signori ma se quello che dici quache post sopra a questo la loro è una ammissione di colpa da non poco.


Ovviamente se tu ricarichi un backup "pulito" il sito torna a funzionare ma essendoci una falla i malintenzionati tornano e il problema ti si ripropone.


consiglio? cambia hosting.

[Alex21]

si ma dicono che sia colpa di joomla non che è colpa loro 


infatti appena ricarico il backup torna tutto a posto...

E' colpa di joomla come di wordpress piuttosto che drupal come di qualsiasi altra cosa che ci sia.
Il discorso aiuta poco perché internet è per nulla comprensiva. Anche un intero datacenter può finire nella lista nera ...
Però non capisco come mai riesci ad inviare ancora mail. Visto che il tuo dominio è compromesso dovrebbero aver disabilitato la funzione mail, o per lo meno fortemente limitata. Almeno fino a quando non hai sistemato tutto e da te non parte più spam.
Ciao!

[martinlovek]

Ti consiglio di cambiare hosting anche io.