Post

1

Sicurezza / Re:Error Log

« il: 26 Giu 2018, 15:50:52 »

Grazie mille ;-)


ho scaricato il file log dal server e vedo che ci sono attività in GET e alcune di queste richiamano percorsi relativi alle cartelle infette che ho eliminato immagino che si tratti della coda da smaltire. Credo di aver eliminato tutti i file infetti ma se qualche file fosse sfuggito nei log da quello che vedo si risale tranquillamente.


Domanda nel file log si registrano anche i tentativi di inject code sql oppure esiste qualche altro file che registra questi tentativi?

2

Sicurezza / Re:Error Log

« il: 26 Giu 2018, 14:25:03 »

Intanto grazie per la tua risposta.


Quindi se ho capito bene in un primo momento vanno controllati tutti i file error_log presenti nella publig_html e nella cartella administrator del nostro joomla! e come mi facevi notare tu a seguito di  un attacco di tipo "[/size]directory traversal" potrebbero caricare oltre la public_html file malevoli poi immagino che dal cpanel a livello Matrice/errori si devono analizzare gli errori. A quel punto si eliminano i file sospetti ? Spero di aver capito bene ;-)

3

Sicurezza / Re:Error Log

« il: 25 Giu 2018, 19:08:21 »

Grazie per la tua risposta
ma per tracciare l'inizio di un attacco quali sono i file da controllare in linea di massima?

4

Sicurezza / Re:Error Log

« il: 25 Giu 2018, 18:15:01 »

nella cartella Validation il contenuto è questo:

images
action.php
email.php
index.php


qui di seguito una screenshot della index.php


https://snag.gy/XvoYV0.jpg

5

Sicurezza / Re:Error Log

« il: 25 Giu 2018, 17:28:49 »

ok tutto chiaro.


Forse ho scovato l'intruso ma la cosa strana è che si trova fuori dalla cartella: public_html e si chiama Validation.zip come sono riusciti a superare la cartella public_html ?

6

Sicurezza / Error Log

« il: 25 Giu 2018, 15:01:58 »

Ciao a tutti
scusatemi per il titolo troppo generico ma non riesco a trovare un titolo adatto. Ho un problema abbastanza grave che non riesco a risolvere. Magari voi potete darmi una mano a comprendere meglio gli error_log e risolvere il problema che si ripete ogni volta che tento un ripristino privo di errori.


Parziale error_log cartella administrator:

https://snag.gy/V6XdBL.jpg

Parziale error_log root
[/size]https://snag.gy/xrBIqj.jpg


Tengo a precisare che il backup ripristinato, viene in un secondo momento aggiornato alla versione 3.8.8 è protetto da firewall inoltre il sito non ha estensioni di terze parti installate eccetto il firewall installato come componente esterno.

Sottolineo anche che dopo aver fatto l'aggiornamento, confronto il sito con una versione 3.8.8 di joomla! per vedere se qualche file è diverso etc... l'unico cambiamento che si riscontra riguarda il componente che uso come firewall. Anche i file SQL del db risultano identici. a parte i contenuti/categorie/menu etc.. che ovviamente non sono presenti nella versione demo 3.8.8 che uso come confronto.

Non capisco che cosa permetta di entrare e sfondare il sito magari i parziali dei file error_log che vi ho generato possono aiutarvi a capire e finalmente risolvere il problema.



Grazie!

7

Sicurezza / Re:Attività sospetta nella directory Cli

« il: 11 Giu 2018, 19:24:02 »

ok tomtomeight scusami se ho sprecato risorse nei prossimi post che scriverò eviterò di quotare ;-)

Comunque per fortuna ho fatto i miei backup e adesso ripristino lo stato del sito.

Spero che questo post possa servire in qualche modo ai futuri lettori concentrandosi sulle Vulnerabilità del core (ci tengo a precisare che non è una critica al core ;-) ).

Io purtroppo mi ero fissato sulla cartella Cli (che ho scoperto essere utilissima).

Grazie a tutti

8

Sicurezza / Re:Attività sospetta nella directory Cli

« il: 11 Giu 2018, 19:00:55 »

Ciao, il fatto che siano stati caricati files e cartelle all'interno della cartella "cli", probabilmente per attività di phishing, non ha nulla a che vedere con la cartella "cli" in sè.Chi ti ha bucato il sito ha scelto di caricare i files e le cartelle lì dentro, ma avrebbe potuto scegliere la cartella "media" o qualsiasi altra cartella.Devi analizzare i log di sistema (se non li ha cancellati) per vedere da dove è entrato.

Esatto comunque mi sono aggiornato sulla cartella Cli e adesso mi è chiaro il suo scopo.


Ovvio che una cartella vale l'altra per chi ha intenzione di attaccare questo mi è chiaro ;-)... 

Ma magari le diverse vulnerabilità  presenti: http://www.joomla.it/notizie/8851-disponibile-aggiornamento-joomla-3-8-8.html
prima del rilascio 3.8.8 hanno potuto causare l'attacco di tipo: cross-site scripting.

9

Sicurezza / Re:Attività sospetta nella directory Cli

« il: 11 Giu 2018, 16:16:30 »

Ti sposto nella sezione sicurezza, sei stato hackerato ed i motivi possono essere tanti, leggi i preamboli di questa sezione e intanto la soluzione migliore è fare un bel rispristino se hai un backup completo.

Intanto grazie per avermi spostato.


Che fossi stato hackerato  purtroppo mi era chiaro. Cmq. adesso cercherò di indagare e se scopro di più magari aggiorno questo post.

Ovviamente è gradita qualsiasi risposta relativa all'attività anomala nella cartella Cli.

10

Sicurezza / Re:Cartella Cli

« il: 11 Giu 2018, 16:03:17 »

La cartella cli fa parte del pacchetto joomla e non è fonte di attacchi.Saluti.
PS: come farebbe poi lo stesso core a introdurre codice malevolo senza che tutti gli utilizzatori se ne accorgano è un mistero...

Concordo pienamente con te ma l'attività anomala nella cartella Cli purtroppo è emersa all'improvviso e non riesco a spiegarmelo. Magari mi sarò confuso con le date ma ho come l'impressione che si sia scatenata subito dopo l'aggiornamento. Adesso non voglio far pensare che il core sia infetto ci mancherebbe non vedo l'ora di fare l'upgrade dei miei siti. :-)

Ma sono fiducioso e spero che tomtomeight vista la sua mole di post possa darmi una risposta  dopo aver esaminato lo screenshot

11

Sicurezza / Re:Cartella Cli

« il: 11 Giu 2018, 15:48:41 »

Ma dai per te sarà un attività strana ma per noi può essere normale finché non spieghi meglio.
Fai uno screenshot di quello che vedi da ftp nella cartella.

Pensi sia normale attività della cartella Cli?

12

Sicurezza / Re:Cartella Cli

« il: 11 Giu 2018, 15:34:03 »

Ma è una discussione del 2011!!

ok ne sono consapevole della data. Ho semplicemente fatto presente che ho riscontrato un'attività strana nella cartella Cli ho chiesto se fosse normale la sua presenza e tu me ne hai dato conferma il fatto che sia del 2011 non credo che sai da sottovalutare a mio parere.

13

Sicurezza / Re:Cartella Cli

« il: 11 Giu 2018, 15:26:57 »

La cartella Cli fa parte del pacchetto joomla e non è fonte di attacchi.Saluti

Ti ringrazio per la risposta.


Scusatemi se ho usato un titolo insignificante ma ho cercato di riportare lo stesso argomento in italiano prendendo spunto da questo intervento fatto sul forum ufficiale di joomla!:https://forum.joomla.org/viewtopic.php?t=664532 magari avrò espresso male il concetto e magari qualcuno meno profano di me riesce a darmi un aiutino leggendo il post in inglese.
Grazie!

14

Sicurezza / Re:Cartella Cli

« il: 11 Giu 2018, 15:16:25 »

Sinceramente non capisco la domanda, non capisco di cosa ti lamenti, non capisco quale sia il problema. Metti un titolo che non significa nulla, e il resto è sconclusionato a parte gravi e gratuite affermazioni. Vuoi rileggere quanto hai scritto e farci un riassunto chiaro e conciso di cosa cerchi? E per  cortesia avggiusta pure il titolo.

La stessa cosa dico a te sono qui per risolvere un problema e non per discutere tra di noi. Se non capisci il titolo o quanto descritto dai miei post posso riassumerti ancora una volta. Ripeto non sono qui per parlare male di joomla! me ne guarderei bene lo suo come ripeto da anni e mi trovo benissimo e non lo cambierei con altri CMS. Ma trovo molto strano quello che accade nei siti che tengo aggiornati mese dopo mese.

15

Sicurezza / Re:Cartella Cli

« il: 11 Giu 2018, 15:12:05 »

Ti rendi conto della gravità della tua affermazione?

Scusami perchè quando si parla di core e terze parti si parla di gravità? Ho semplicemente ipotizzato. E' una violazione fare questa ipotesi? Uso joomla! da anni e non lo cambierei con altri CMS ma sono qui per comprendere la gravità di quello che accade. Non sono qui per litigare ma per risolvere dei problemi.

16

Sicurezza / Re:Cartella Cli

« il: 11 Giu 2018, 14:15:51 »

Quello che sto cercando di far capire che non sono siti abbandonati ma seguitissimi in tutte le fasi di upgrade a questo punto mi sorge il dubbio che non sia lo stesso core/terze parti ad introdurre codice malevolo perché non riesco a capire come sia possibile

17

Sicurezza / Re:Cartella Cli

« il: 11 Giu 2018, 14:10:12 »

Giustamente tieni a sottolineare di "recente comparsa" ma credo sia presente già da upgrade precedenti e che ci abbia fatto caso adesso ... ma quello che non capisco come facciano ad entrare quando tutto sembra seguire le linee guida di sicurezza alcuni sono anche privi della registrazione utente e ripeto i pochi form di contatti presenti nei siti sono anche componenti commerciali

18

Sicurezza / Re:Cartella Cli

« il: 11 Giu 2018, 14:04:04 »

Intanto grazie per la risposta
e dalla tua risposta immagino che confermi la presenza della cartella Cli.
Per il contenuto della cartella c'è di tutto. Il sito/siti sono aggiornati alla versione 3.8.8 come i componente di terze parti inoltre installano rsfirewall ed i server sono protetti come anche i form dei siti. Sarei curioso di capire come sia possibile questa intrusione  a partire dal maggio 2018.

19

Sicurezza / [RISOLTO] Attività sospetta nella directory Cli

« il: 11 Giu 2018, 12:14:41 »

Buongiorno a tutti,
da qualche giorno in alcuni dei miei siti è comparsa la cartella Cli qualcuno di voi sa dirmi di che cosa si tratta ?


Ho letto che è stata introdotta a partire dalla Joomla 1.7.1 è possibile causa di attacchi?


Come ci si difende se dovesse essere fonte di attacchi?


Grazie per la collaborazione

20

Gestione sito multilingua / Re:Google Translate API e Joomlart Multilingual

« il: 03 Lug 2017, 17:26:17 »

Ciao a tutti,
ho scritto questo post "Azure API e Joomlart Multilingual" ma per questioni di tempo non viene commentato allora ho pensato di accodarmi a questo post dall'oggetto simile.

Qualcuno di voi ha novità in merito agli aggiornamenti che avrebbero dovuto fare i programmatori del componente a seguito degli aggiornamenti di Azure? Avete trovato soluzioni a questo problema?
Ho dei siti nuovi dove dovrei installare il componente ma la configurazione di Azure è cambiata e non trovo info da nessuno parte.

Inoltre ho provato ad abilitare la versione di prova gratuita della console.cloud di google per abilitare l'api del traduttore ma il problema è che se dopo 12 non rinnovo il servizio, ha un costo mensile altino e diventerebbe un problema...
In merito al servizi di traduzione di google avete maggiori info?

Grazie!