Autore Topic: [RISOLTO] Attività sospetta nella directory Cli (Letto 7431 volte)

wdo · « **il:** 11 Giu 2018, 12:14:41 »

Buongiorno a tutti,
da qualche giorno in alcuni dei miei siti è comparsa la cartella Cli qualcuno di voi sa dirmi di che cosa si tratta ?

Ho letto che è stata introdotta a partire dalla Joomla 1.7.1 è possibile causa di attacchi?

Come ci si difende se dovesse essere fonte di attacchi?

Grazie per la collaborazione

Alex21 · « **Risposta #1 il:** 11 Giu 2018, 13:26:56 »

Il qualcuno di voi sa dirti che è opportuno controllare cosa c'è nella cartella cli recentemente comparsa.
Ciao.

wdo · « **Risposta #2 il:** 11 Giu 2018, 14:04:04 »

Intanto grazie per la risposta
e dalla tua risposta immagino che confermi la presenza della cartella Cli.
Per il contenuto della cartella c'è di tutto. Il sito/siti sono aggiornati alla versione 3.8.8 come i componente di terze parti inoltre installano rsfirewall ed i server sono protetti come anche i form dei siti. Sarei curioso di capire come sia possibile questa intrusione a partire dal maggio 2018.

wdo · « **Risposta #3 il:** 11 Giu 2018, 14:10:12 »

Giustamente tieni a sottolineare di "recente comparsa" ma credo sia presente già da upgrade precedenti e che ci abbia fatto caso adesso ... ma quello che non capisco come facciano ad entrare quando tutto sembra seguire le linee guida di sicurezza alcuni sono anche privi della registrazione utente e ripeto i pochi form di contatti presenti nei siti sono anche componenti commerciali

wdo · « **Risposta #4 il:** 11 Giu 2018, 14:15:51 »

Quello che sto cercando di far capire che non sono siti abbandonati ma seguitissimi in tutte le fasi di upgrade a questo punto mi sorge il dubbio che non sia lo stesso core/terze parti ad introdurre codice malevolo perché non riesco a capire come sia possibile

marine · « **Risposta #5 il:** 11 Giu 2018, 14:36:31 »

Citazione da: wdo - 11 Giu 2018, 14:15:51

a questo punto mi sorge il dubbio che non sia lo stesso core/terze parti ad introdurre codice malevolo

Ti rendi conto della gravità della tua affermazione?

tomtomeight · « **Risposta #6 il:** 11 Giu 2018, 14:53:22 »

Sinceramente non capisco la domanda, non capisco di cosa ti lamenti, non capisco quale sia il problema. Metti un titolo che non significa nulla, e il resto è sconclusionato a parte gravi e gratuite affermazioni. Vuoi rileggere quanto hai scritto e farci un riassunto chiaro e conciso di cosa cerchi? E per cortesia avggiusta pure il titolo.

wdo · « **Risposta #7 il:** 11 Giu 2018, 15:12:05 »

Citazione da: marine - 11 Giu 2018, 14:36:31

Ti rendi conto della gravità della tua affermazione?

Scusami perchè quando si parla di core e terze parti si parla di gravità? Ho semplicemente ipotizzato. E' una violazione fare questa ipotesi? Uso joomla! da anni e non lo cambierei con altri CMS ma sono qui per comprendere la gravità di quello che accade. Non sono qui per litigare ma per risolvere dei problemi.

wdo · « **Risposta #8 il:** 11 Giu 2018, 15:16:25 »

Citazione da: tomtomeight - 11 Giu 2018, 14:53:22

Sinceramente non capisco la domanda, non capisco di cosa ti lamenti, non capisco quale sia il problema. Metti un titolo che non significa nulla, e il resto è sconclusionato a parte gravi e gratuite affermazioni. Vuoi rileggere quanto hai scritto e farci un riassunto chiaro e conciso di cosa cerchi? E per cortesia avggiusta pure il titolo.

La stessa cosa dico a te sono qui per risolvere un problema e non per discutere tra di noi. Se non capisci il titolo o quanto descritto dai miei post posso riassumerti ancora una volta. Ripeto non sono qui per parlare male di joomla! me ne guarderei bene lo suo come ripeto da anni e mi trovo benissimo e non lo cambierei con altri CMS. Ma trovo molto strano quello che accade nei siti che tengo aggiornati mese dopo mese.

danielecr · « **Risposta #9 il:** 11 Giu 2018, 15:22:29 »

La cartella cli fa parte del pacchetto joomla e non è fonte di attacchi.Saluti.
PS: come farebbe poi lo stesso core a introdurre codice malevolo senza che tutti gli utilizzatori se ne accorgano è un mistero...

wdo · « **Risposta #10 il:** 11 Giu 2018, 15:26:57 »

Citazione da: danielecr - 11 Giu 2018, 15:22:29

La cartella Cli fa parte del pacchetto joomla e non è fonte di attacchi.Saluti

Ti ringrazio per la risposta.

Scusatemi se ho usato un titolo insignificante ma ho cercato di riportare lo stesso argomento in italiano prendendo spunto da questo intervento fatto sul forum ufficiale di joomla!:https://forum.joomla.org/viewtopic.php?t=664532 magari avrò espresso male il concetto e magari qualcuno meno profano di me riesce a darmi un aiutino leggendo il post in inglese.
Grazie!

danielecr · « **Risposta #11 il:** 11 Giu 2018, 15:28:26 »

Ma è una discussione del 2011!!

tomtomeight · « **Risposta #12 il:** 11 Giu 2018, 15:31:45 »

E' quello che dici che accade di strano nel tuo sito che non abbiamo né letto da nessuna parte e né capito. La presenza della cartella cli non è un fatto strano. Che altro accade? Vuoi spiegarcelo? Quando dici c'è di tutto, sì c'è tutto quello che serve, se c'è altro cosa c'è? E vorresti pure mettere un titolo relativo alla problematica? Cartella Cli non significa nulla.

wdo · « **Risposta #13 il:** 11 Giu 2018, 15:34:03 »

Citazione da: danielecr - 11 Giu 2018, 15:28:26

Ma è una discussione del 2011!!

ok ne sono consapevole della data. Ho semplicemente fatto presente che ho riscontrato un'attività strana nella cartella Cli ho chiesto se fosse normale la sua presenza e tu me ne hai dato conferma il fatto che sia del 2011 non credo che sai da sottovalutare a mio parere.

tomtomeight · « **Risposta #14 il:** 11 Giu 2018, 15:37:42 »

Ma dai per te sarà un attività strana ma per noi può essere normale finché non spieghi meglio.
Fai uno screenshot di quello che vedi da ftp nella cartella.

wdo · « **Risposta #15 il:** 11 Giu 2018, 15:48:41 »

Citazione da: tomtomeight - 11 Giu 2018, 15:37:42

Ma dai per te sarà un attività strana ma per noi può essere normale finché non spieghi meglio.
Fai uno screenshot di quello che vedi da ftp nella cartella.

Pensi sia normale attività della cartella Cli?

wdo · « **Risposta #16 il:** 11 Giu 2018, 16:03:17 »

Citazione da: danielecr - 11 Giu 2018, 15:22:29

La cartella cli fa parte del pacchetto joomla e non è fonte di attacchi.Saluti.
PS: come farebbe poi lo stesso core a introdurre codice malevolo senza che tutti gli utilizzatori se ne accorgano è un mistero...

Concordo pienamente con te ma l'attività anomala nella cartella Cli purtroppo è emersa all'improvviso e non riesco a spiegarmelo. Magari mi sarò confuso con le date ma ho come l'impressione che si sia scatenata subito dopo l'aggiornamento. Adesso non voglio far pensare che il core sia infetto ci mancherebbe non vedo l'ora di fare l'upgrade dei miei siti. :-)

Ma sono fiducioso e spero che tomtomeight vista la sua mole di post possa darmi una risposta dopo aver esaminato lo screenshot

tomtomeight · « **Risposta #17 il:** 11 Giu 2018, 16:09:14 »

Ti sposto nella sezione sicurezza, sei stato hackerato ed i motivi possono essere tanti, leggi i preamboli di questa sezione e intanto la soluzione migliore è fare un bel rispristino se hai un backup completo.

wdo · « **Risposta #18 il:** 11 Giu 2018, 16:16:30 »

Citazione da: tomtomeight - 11 Giu 2018, 16:09:14

Ti sposto nella sezione sicurezza, sei stato hackerato ed i motivi possono essere tanti, leggi i preamboli di questa sezione e intanto la soluzione migliore è fare un bel rispristino se hai un backup completo.

Intanto grazie per avermi spostato.

Che fossi stato hackerato purtroppo mi era chiaro. Cmq. adesso cercherò di indagare e se scopro di più magari aggiorno questo post.

Ovviamente è gradita qualsiasi risposta relativa all'attività anomala nella cartella Cli.

danielecr · « **Risposta #19 il:** 11 Giu 2018, 17:36:24 »

Ciao, il fatto che siano stati caricati files e cartelle all'interno della cartella "cli", probabilmente per attività di phishing, non ha nulla a che vedere con la cartella "cli" in sè.Chi ti ha bucato il sito ha scelto di caricare i files e le cartelle lì dentro, ma avrebbe potuto scegliere la cartella "media" o qualsiasi altra cartella.Devi analizzare i log di sistema (se non li ha cancellati) per vedere da dove è entrato.