Joomla.it Forum

Non solo Joomla... => Sicurezza => : Pietro86 06 Nov 2012, 12:16:56

: Attacco sul mio sito
: Pietro86 06 Nov 2012, 12:16:56

Ciao a tutti
stamattina mi sono accorto che il mio sito è stato attaccato da degli spammer che hanno inserito collegamenti alle loro sporcizie ma visibili solo tramite cellulare. Guardando il codice della pagina ho visto il paragrafo incriminato (si trova in fondo, dopo i miei footer).
Che voi sappiate esiste una modo per sapere dove si trova, devo controllare tutti i file oppure ci sono dei file specifici?
Io ora sono partito da quelli del template che uso.
Grazie

: Re:Attacco sul mio sito
: giovi 06 Nov 2012, 14:02:49

potrebbe essere ovunque!
che versione di joomla usi? hai installato qualcuna delle estensioni segnalate come vulnerabili?

: Re:Attacco sul mio sito
: Pietro86 06 Nov 2012, 15:21:38

Ciao
uso Joomla!2.5. Il codice incriminato era nel file del mio template, precisamente il template.php
Il problema era dovuto all'estensione JNews. Già che ci sono, probabilmente vado off-topic, hai parlato di estensioni vulnerabili, ho guardato sulla lista presente qui
http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct (http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct)
ma l'estensione Jnews non è menzionata.
qua quello che ho trovato
http://www.joobi.co/support/doc/jnews/8560-security-release-update-to-jnews-79x (http://www.joobi.co/support/doc/jnews/8560-security-release-update-to-jnews-79x)

: Re:Attacco sul mio sito
: marcolomabrdo81 10 Nov 2012, 01:47:05

guarda il problema non e nell estensioni bensi che ti hanno craccato ftp via client ovvero sul tuo pc... lo so perche è sucesso pure a me. guarda in fondo alla index.php della root e infondo alla index del tempalte che usi troverai altro codice da elimnare.

: Re:Attacco sul mio sito
: giovi 10 Nov 2012, 09:01:21

: Pietro86  06 Nov 2012, 15:21:38

Il problema era dovuto all'estensione JNews. Già che ci sono, probabilmente vado off-topic, hai parlato di estensioni vulnerabili, ho guardato sulla lista presente qui
http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct (http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct)
ma l'estensione Jnews non è menzionata.

se il problema era quella estensione, questa non è menzionata perchè come tu stesso hai sottolineato è già uscito l'aggiornamento oche corregge il bug di sicurezza. le estensioni vulnerabili elencate sono quelle più utilizzate ma che hanno ancora problemi noti

: Re:Attacco sul mio sito
: Pietro86 19 Dec 2012, 15:08:08

cavolo è successo ancora, e mi cambiano sempre il file template.php del mio template.
Ma c'è un modo per capire da che componente entrano?
Premetto che ho la versione 2.5.8 di Joomla e controllo gli aggiornamenti dei componenti giornalmente tramite l'opportuna opzione.
Entrando nell' ftp ho visto che la cartella mod_banner è stata modificata la stessa ora del template, precisamente di notte.
Se spulcio i files però non ne trovo nessuno modificato a quell'ora..

: Re:Attacco sul mio sito
: giovi 19 Dec 2012, 22:44:31

Dovresti contattare direttamente il tuo provider: è possibile che vi sia una falla nella impostazioni di sicurezza dello spazio (qualche file con permessi troppo poco restrittivi, qualche file non correttamente aggiornato, qualche sito che condivide il server maaqri già bucato attraverso il quale arrivano al tuo, ... )!

: Re:Attacco sul mio sito
: Pietro86 03 Jan 2013, 11:49:15

Ora tra le altre cose sto cambiando provider..spero di risolvere la questione..

: Re:Attacco sul mio sito
: ilvanni 03 Jan 2013, 12:50:13

Magari prova prima anche a cambiare template per vedere se è lui il vero problema, sai com'è, qualche js sospetto o qualche trojan inserito qui e là in un template, magari scaricato chissà da dove... ma potrei sbagliarmi... cattivello che sono!

Scarica in locale via ftp e fai una scansione ai file e cartelle altrimenti il problema se c'è allora te lo tirerai sempre dietro.

Poi controlla il tuo fornitore di hosting se usa versione aggiornata di php ed altro (prima di tutto la casa deve essere sicura, poi chi entra), controlla anche i permessi sul tuo sito e verifica che tutte le estensioni che hai installate sul tuo sito siano aggiornate (è fondamentale altrimenti una porta aperta ci potrebbe essere sempre), usando non il controllo di joomla ma controllando realmente e con le dita sulla tastiera e sulla jed.

Importante: come prima cosa cambia le tue credenziali di accesso al sito via ftp.

Spero anche che tu abbia un backup magari di tempi non sospetti o se non ce l'hai magari prova a chiedere al tuo fornitore di hosting.

Potrei sembrare lunghetto ma ti serve a capire realmente il problema dove sta, altrimenti rischi di girare in lungo e in largo portandoti però sempre dietro il cane al guinzaglio.

: Re:Attacco sul mio sito
: mau_develop 03 Jan 2013, 13:51:01

fate attenzione ad usare templates responsive che impostano dinamicamente i css a volte sono fatti da grafici che non sanno i danni che provocano con quelle due righette... molti usano pezzi di jquery e json trovati in giro per passare valori che non vengono filtrati...

i css a volte sembrano innocui ma...:
http://technet.microsoft.com/it-it/security/advisory/2488013

...anche se un po' datato dimostra quanto detto

: Re:Attacco sul mio sito
: Pietro86 10 Jan 2013, 14:34:16

ho usato il framewok  gratuito di Yootheme come template, spero sia sicuro..

: Re:Attacco sul mio sito
: mau_develop 10 Jan 2013, 15:12:01

ho usato il framewok  gratuito di Yootheme come template, spero sia sicuro..
--------------------------------------------------------------------------------------------------------
non sperare... ogni tanto fai un giretto sul loro sito per vedere le segnalazioni e gli aggiornamenti.... solo un diamante e berlusconi sono ...per sempre

: Re:Attacco sul mio sito
: Pietro86 10 Jan 2013, 15:17:20

ok,darò un'occhiata, e vedo se è disponibile un aggiornamento pure per quello :)