Joomla.it Forum
Non solo Joomla... => Sicurezza => : mdotg 26 Dec 2014, 02:17:05
-
Ciao a tutti,
da qualche tempo ho un problema su un sito che gestisco. Ogni 3-4 mesi il sito viene messo offline dal provider per un utilizzo inappropriato delle risorse del server (sono su hosting condiviso).
Premetto subito una cosa: la versione di Joomla è l'ultima disponibile della 2.5. Al momento il mio cliente non vuole passare alla 3 perché non ha intenzione di sostenere i costi per un adeguamento del template che a suo tempo aveva fatto sviluppare completamente custom.
Il mio provider, dopo aver messo offline il sito, mi ha mandato questa comunicazione (inserisco un nome generico per il dominio):
We are writing to inform you that we have found the account nomedomino spamming using script
home/nomedomino/public_html/components/com_users/views/remind/defines.php
We are pasting the headers of the mail below for your convenience
------------------------
Received: from isabella.ldn.kgix.net ([91.197.228.150])
by tpa-srv1.filteredmx.net with esmtps (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.84) (envelope-from <beryl_stevenson@nomedomino.net>)
id 1Y415M-0008Mu-30
for roberto.alejandro@sbcglobal.net; Thu, 25 Dec 2014 00:35:44 -0500
Received: from localhost ([127.0.0.1]:37040 helo=isabella.ldn.kgix.net)
by isabella.ldn.kgix.net with smtp (Exim 4.84)
(envelope-from <beryl_stevenson@nomedomino.net>) id 1Y415H-0001p1-Nn
for roberto.alejandro@sbcglobal.net; Thu, 25 Dec 2014 05:35:39 +0000
Date: Thu, 25 Dec 2014 05:35:39 +0000
X-SG-User: nomedominio
X-SG-Opt: SCRIPT_FILENAME=/home/nomedomino/public_html/components/com_users/views/remind/defines.php
REQUEST_URI=/components/com_users/views/remind/defines.php
PWD=/home/nomedomino/public_html/components/com_users/views/remind
REMOTE_ADDR=184.168.193.5
To: roberto.alejandro@sbcglobal.net
Subject: RE: Hi Missy Stone wants it in the bathroom
X-PHP-Originating-Script: 2671:defines.php
From: "Beryl Stevenson" <beryl_stevenson@nomedomino.net>
Reply-To: "Beryl Stevenson" <beryl_stevenson@nomedomino.net>
X-Priority: 3 (Normal)
----------------------------------
Quindi, da quello che capisco, il problema si trova nel file /components/com_users/views/remind/defines.php
Non è la prima volta che accade, ma negli episodi precedenti il file incriminato era sempre diverso (a volte un componente di share sui social, a volte uno slider).
In passsato ho risolto cancellando lo script malevolo segnalato dal provider e tutto andava a posto. Ora però vorrei una soluzione definitivita. Avete consigli da darmi su componenti/plugin o azioni da intraprendere per limitare che degli script di spam vengano inseriti sul sito?
Grazie a tutti in anticipo
-
se ti succede ogni 3-4 mesi vuol dire che malgrado la versione aggiornata ti stai portando dietro il problema senza eliminarlo.
Ti direi di guardare i post in evidenza nella sez sicurezza che spiegano cosa si può fare in questi casi, anche se comunque necessita una certa esperienza.
Il cliente non vuole spendere soldi? ha ragione, anch'io quando buco la gomma nuova di un mese mi arrabbio... ma al gommista frega nulla ;)
-
concordo con steganoga.
il file /components/com_users/views/remind/defines.php non è di sicuro un file di joomla, quindi vi è, da qualche parte, una shell/cavallo di troia che permette all'attaccante di caricare files a suo piacimento.