Post

1

Installazione, migrazione e aggiornamento / Re:come correggere l'url per aprire il sito.

« il: 01 Lug 2018, 10:19:13 »

hai ragione...
adesso si vede.


MA eventualmente è possibile capire da cosa poteva esser dovuto?

Apache da protocollo prevede l'apertura automatica dei seguenti file nell'ordine (prorità) in cui li scrivo:

• index.htm
• index.html
• index.php

Pertanto se uno dei file su riportati è presente viene eseguito automaticamente. Nel caso di Joomla abbiamo chiaramente il file index.php. Dalla tua risposta intuisco che non hai operato alcuna modifica pertanto non so cosa possa essere accaduto ma sicuramente non dipendeva da Joomla o da una sua non corretta configurazione.
Cortesemente modifica l'oggetto del thread ed inserisci [RISOLTO] Nel titolo.
Grazie

Buona giornata.

2

Installazione, migrazione e aggiornamento / Re:come correggere l'url per aprire il sito.

« il: 01 Lug 2018, 09:58:36 »

e' per modo di dire.


il sito è www.valeriafragola.com ma non si vede.


è visibile solo se si digita www.valeriafragola.com/index.php

Buongiorno Valeria,
Cliccando su www.valeriafragola.com il sito risulta raggiungibile. Non riscontro alcuna problematica. Il sito risulta essere raggiungibile senza problematica alcuna.
Se hai risolto inserisci [RISOLTO] nell'oggetto del thread.
Grazie e buona giornata.

3

Gestione e-commerce / Re:adeguamento GDPR

« il: 13 Giu 2018, 21:55:28 »

Da quanto rispondi capisco che non hai letto il regolamento in maniera adeguata. Sì.. Sono sicuro di quanto scrivo. Il regolamento non regolamenta le casistiche ma i modi e le maniere della gestione dei dati. Ti invito a leggere il regolamento quello con i riferimenti ai considerato e la definizione di big data dal regolamento stesso. Ho chiaramente scritto che va operata una valutazione a seconda dei casi, in particolare quelli ricadenti nell'art. 9  del regolamento.

4

Gestione e-commerce / Re:adeguamento GDPR

« il: 13 Giu 2018, 21:03:36 »

Ho realizzato il sito web per il B&B di mio mio padre.
Non avendo avuto ancora tempo per approfondire la questione dell'adeguamento al GDPR, ho eliminato il form contatti che, mi pare di capire, possa dare problemi.
Il sito non prevede iscrizioni a newsletter o registrazioni, quindi (se interpreto correttamente la questione) non dovrebbe avere problemi.
Ho però un dubbio: se un cliente invia una mail per la richiesta di preventivo (e per farlo ora deve utilizzare la sua casella mail, non essendo più disponibile il form contatti), il titolare della struttura si trova comunque a gestire dei dati personali.
È necessario pertanto predisporre qualcosa (es. un avviso?).
Scusate la banalità delle domande, io nella vita faccio tutt'altro e non avrei mai immaginato che anche la gestione del sito amatoriale di una piccolissima struttura che si occupa dell'esercizio occasionale dell'attività di b&b (che per legge non richiede nemmeno la partita iva) divenisse così complicato.

Ciao Simone,
il form dei contatti non crea alcun problema per la privacy pertanto lo puoi riattivare.
I problemi possono esserci nella eventuale fase di registrazione delle utenze che devono essere adeguatamente informate su privacy e cookie policy (devono necessarimanete leggere ed accettare la privacy e la cookie policy), dando esplicito consenso al trattamento dei dati richiesti in fase di registrazione.
Inoltre all'utenza è data facoltà di ritirare in ogni momento il consenso nella gestione dei cookie. Ovviamente la privacy e la cookie policy devono essere entrambi compliant al Regolamento Europeo (679/2016).
In presenza di utenza registrata, alla stessa deve essere data l'opportunità di rettificare, esportare e cancellare (o pseudonomizzare) l'utenza stessa.Se poi effettui prenotazioni attraverso il sito devi ben valutare la "qualità" del dato raccolto in fase di prenotazione.
E' questa la fase che deve essere necessariamente ed adeguatamente valutata.
In genere se non tratti "BIG data" e non fai profilazione di utenza non dovresti avere grosse problematiche a gestire il B&B.Spero di esserti stato di aiuto ma l'argomento è molto, molto vasto ed articolato e l'adeguamento va pensato, strutturato ed implementato nella realtà interessata.
Ciao

5

Joomla! 3 / Re:GDPR e consenso utenti al trattamento dei dati

« il: 04 Giu 2018, 20:05:43 »

Quanto stai ponendo in essere è corretto. Accertati di ottenere il «consenso dell’interessato» secondo la direttiva e con il criterio previsto dalla 679/2016 e non preoccuparti di quanto fanno gli altri.

«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

6

Joomla! 3 / Re:GDPR, come adeguarsi?

« il: 29 Mag 2018, 09:11:59 »

Aspetta un attimo io ammetto di essere stato svogliato sul tutorial di creazione manuale su joomla ..ma effettivamente la tua polemica è giusta.. sul fatto della lettura della normativa non fa una piega..aaahh..che rottura............. ed è obbiettivamente giusto..cavolo domani a mente fresca e dopo 2 caffè lo faccio..consiglio a todos in questo thread di farlo.. Ps anche xchè da quanto ho capito forse sembra importante dopo il macello di cambridge analytics ..solo spero di capirci qualcosa

Concordo ... se non si capisce bisogna rivolgersia dei consulenti. Lo strumento non risolve ma AIUTA molto !!! Il componente GDPR della JE è utilissimo in tal senso.

Lo scopo del GDPR è regolamentare e tracciare l'utilizzo del dato con particolare riferimento alle attività poste in essere sullo stesso e contestualmemte rendicontarne l'attività all'utenza.
Per fare ciò a seconda della tipologia di dato trattato si è obbigati a:

• Effettaure l'adeguamento dell'informativa (mettiamo per iscritto le regole di gestione) e le finalità del trattamento (se si effetta profilazione, se il dato in gestione viene ceduto a terzi, per quanto tempo è gestito e come viene effettuata la gestione dei diritti degli utenti quali oblio, restrizione, cancellazione, esportazione dei dati etc .
• Utilizzare a seconda del caso il registro del trattamento.
• Redigere il PIA (Privacy Impact Assessment) che è il documento di valutazione dei rischi legati alla gestione del dato. L'impatto da valutare è in relazione al dato del cliente e non in relazione al dato stesso. Nello stesso è documentato il Risk Assessment, Il Risk management e la gestione / prevenzione del Data breack.

Di particolare importanza e rilevanza è la figura del RPD-DPO (Responsabile protezione dei Dati o Data Protection Officier) che va nominato obbligatoriamente in alcuni casi, mentre solitamente è raccomandato. E' tale figura professionale (misto tra sistemista ed esperto normativa privacy) che provvede a valutare i rischi.

Questo molto, molto, molto sommariamente è il GDPR. E' fortemente consigliata una ATTENTA lettura del regolamento (va letto TUTTO).Aspetto SITO e gestione dei cookies.Anche in questo caso va predisposta una informativa secondo quanto previsto dal regolamento Europeo 679/2016 (GDPR  - Ricordo a tutti che tale regolamento è del 2016 e che abbiamo avuto ben 18 mesi per adeguarci, ma come tutte le cose italiane ce ne rendiamo conto solo all'ultima settimana !!!)
Anche in questo caso la normativa prevede che l'utenza sia adeguatamente edotta sulla tipologia e sull'utilizzo dei cookies all'interno del sito e la possibilità di "restringere" i permessi di utilizzo dei "propri" Cookies.
Inoltre poichè l'utenza ed il dato ad essa collegato, all'interno del sito è gestito, tale gestione (trattamento) deve essere opportunamente registrato nel registro del trattamento.

Ancora ...  all'utenza, per come previsto, sono riconosciuti i diritti di cui sopra (oblio, cancellazione, restrizione, esportazione dei dati  etc.) lo strumento (nel nostro caso joomla) deve essere predisposto per poter fare ciò .
Questo in ESTREMA sintesi ma le attività da porre in essere sono veramente molte e molto variegate in relazione all'utilizzo del sito. Se trattate siti con pubblicità (Google ADS, booking, Tripdavisor etc.) voi dovete assolutamente valutare CON MOLTA MA MOLTA ATTENZIONE la normativa perchè potreste essere sanzionati per la gestione dei cookie.


Spero di essere stato d'aiuto a chi ne vuole capire un po di più.

7

Joomla! 3 / Re:Menu Componenti del back end non funziona

« il: 27 Mag 2018, 13:23:01 »

ok, prova questo:
Apri il file  libraries/src/Installer/Adapter/ComponentAdapter.php

alla linea 1363:

cambia da:

Codice: [Seleziona]

$temporaryTable->rebuild($data['parent_id']);a

Codice: [Seleziona]

$temporaryTable->load($parentId);
$temporaryTable->rebuild($parentId, $temporaryTable->lft, $temporaryTable->level, $temporaryTable->path);
Reinstalla il componente o se puoi è meglio disinstallare e reinstallare il componente.Fammi sapere.
Ciao

 

8

Joomla! 3 / Re:Menu Componenti del back end non funziona

« il: 27 Mag 2018, 09:26:33 »

Ho avuto un problema simile (non erano presenti nel menu tutte le voci dei componenti installati) e con questa query ho risolto:

Codice: [Seleziona]

UPDATE `#__menu` SET `menutype` = 'main', `client_id` = 1  WHERE `menutype` = 'main' OR `menutype` = 'menu';Attenzione!! ricordati di cambiare il prefisso della query con quella della tua tabella.Fammi sapere.Ciao

9

Joomla! 3 / Re:GDPR, come adeguarsi?

« il: 18 Mag 2018, 08:15:07 »

Ragazzi, non ci sarà alcuna proroga. Non credete tutte le voci di corridoio . Bisogna adeguarsi e basta .
Joomla rilascerà a breve la versione 3.9 proprio con dei strumenti per venire incontro alla GDPR.

Buongiorno ragazzi, la proroga esiste ( è il documento [doc. web n. 8080493] - Provvedimento del 22 febbraio 2018 - Registro dei provvedimenti n. 121 del 22 febbraio 2018 del garante della protezioni dei dati) ma non differisce la scadenza del regolamento, differisce la data entro la quale il garante della protezione inizierà a somministrare le sanzioni agli inadempienti.
Allego il link della circolare in modo da fugare ogni dubbio:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/8080493

Bisogna adeguarsi entro il 25 !!.

Comunque grazie a tutti per gli interventi. Vi sono spunti molto interessanti.

10

Joomla! 3 / Re:Moduli "Ultimi utenti connessi" e "Chi è online"

« il: 08 Feb 2018, 23:08:18 »

Suggerirei:

a seconda della impostazione della gestione sessioni di spostare la stessa e riportarla alle condizione iniziale es:
"Globale"-->  "Sistema" ---> "Gestore sessioni" se l'handler è impostato su "Database" impostarlo su "PHP".
Questo dovrebbe svuotare la coda ; Il sistema infatti vi richiederà di loggarvi nuovamente segno che l'operazione ha eliminato tutte le sessioni attive e/o comunque rimaste appese. 

Quindi sempre da "Globale"-->  "Sistema" ---> "Gestore sessioni" procediamo a reimpostarlo sul valore iniziale. Successivamente svuotiamo anche la cache del sito da:
"Sistema"-->"Elimina Cache scaduta" e
"Sistema"-->"Pulizia Cache"

Buona serata

11

Joomla! 3 / Re:Numero utenti connessi

« il: 06 Feb 2018, 01:12:02 »

Buonasera, ho avuto lo stesso problema, ora risolto. E' un problema di joomla 3.8.4.
Trovi la soluzione qui.
Buona serata.

12

Joomla! 3 / Re:Moduli "Ultimi utenti connessi" e "Chi è online"

« il: 05 Feb 2018, 14:03:42 »

Sembrerebbe essere un problema di joomla 3.8.4.

Dovrebbe risolversi in questo modo:

file: libraries/src/Application/CMSApplication.php
Linea 163

Cambiare da  'onAfterResponse' a 'onAfterRespond'.

Buona Giornata.

PS. Controlla che in "Globale"-->  "Sistema" ---> "Gestore sessioni" l'handler sia impostato su "Database".

13

Sicurezza / Re:Problema di sicurezza intrusione e cambio nome utente da sconosciuto

« il: 30 Dic 2017, 15:58:48 »

Ok, ho provato a piallare la root e istallare tutto da capo, ho tenuto buono solo il db... tenendo db e cartlella immagini non ho perso le modifiche...vediamo che succede.

Mi scuso anticipatamente con Silvio Trisorio per quanto potrà leggere nel suo thread.
Restano comunque validi i contenuti espressi dallo scrivente in relazione alla vulnerabilità del suo ISP in caso di VPS managed o shared hosting.

Infatti sempre ad avviso dello scrivente, se la falla non verrà chiusa, sarà inevitabile, purtroppo, il riproporsi della problematica  .

Discorso diverso se la gestione della VPS è autonoma. In questo caso sempre di falla di sicurezza si tratta ma la "cura" deve essere posta in essere dal gestore della vps.

Sarebbe stato interessante comprendere se l'infezione è avvenuta su una VPS di propria gestione, Managed oppure su uno spazio in Shared hosting per comprendere la probabile estensione dell'hacking stesso.
 
Buona serata e buon anno a tutti.

14

Sicurezza / Re:Problema di sicurezza intrusione e cambio nome utente da sconosciuto

« il: 30 Dic 2017, 15:18:39 »

Passo e chiudo, leggiti questo:
http://forum.joomla.it/index.php/topic,117151.0.html

Magari se non sei daccordo puoi sempre chiedere a un moderatore di modificare la discussione, soprattutto nella parte in cui si dice:
con

Eppure hai tutti gli spunti per approfodire ed  incrementare la tua cultura informatica. Si vede che leggi poco.

15

Sicurezza / Re:Problema di sicurezza intrusione e cambio nome utente da sconosciuto

« il: 30 Dic 2017, 15:11:44 »

Sei stato tu a quotare la mia risposte.

 

16

Sicurezza / Re:Problema di sicurezza intrusione e cambio nome utente da sconosciuto

« il: 30 Dic 2017, 15:04:31 »

Non lo so, sei tu che hai proposto, a mio avviso erroneamente, di ricercare la causa in quello che tu chiami isp, di caricare un backup dei files, probabilmente infetti, e di effettuare una scansione con il tool online di sucuri, che mai potrà dare un rapporto dettagliato.

Buona fortuna a te! 

1) Allora non sono io ad avere avuto i problemi !!!
2) Non ho chiesto io aiuto al forum.
3) Di solito non si "piallano" i siti infetti con contenuti importanti. Quanto consigliato era il primo passo. Di solito si procede a livelli, ma non è questo il tuo caso; tu preferisci usara la "pialla" 
4) Usa google per tadurre il ink inviato da Marine per comprendere quanto sto cercando inutimente di farti capire.


Overview The IndoXploitPHP web shell provides remote access to allow for other files and content to be uploaded to a compromised web server. The uploading of files is only one feature of this toolset. The developers of the code look to be based in Indonesia and specialize in PHP hacks.
.....

Vulnerability Description
This PHP web shell provides remote access to allow for other files and content to be uploaded to a compromised web server. It looks to be a small part of the IndoXploit shell suite of tools used to compromise Content Management Systems running LAMP stacks. The uploading of files is only one feature of this toolset.
Other parts of the toolset not seen in this code include OS Commanding, Mass Defacement, Search for Configuration Files, Jumping to Different User Accounts, Crack Cpanel Passwords, grab SMTP Logins, automatically submit the defaced site to Zone-H, add or edit usernames on various CMSs, and more.
...............

 
Di nuovo Buona fortuna. Credo che presto o tardi riutilizzerai questo thread. 

17

Sicurezza / Re:Problema di sicurezza intrusione e cambio nome utente da sconosciuto

« il: 30 Dic 2017, 14:47:05 »

Quindi il tuo web hoster, o isp, chiamalo come vuoi, ti impedisce l'upload e l'uso di shell php? 

Se lo fanno altri a mia insaputa si !!

Ma io non ho nessun problema..

Ottimo ... allora di che stiamo discutendo?  Probabilmemte ci risentiremo per la stessa problematica  .

Buona fortuna.

18

Sicurezza / Re:Problema di sicurezza intrusione e cambio nome utente da sconosciuto

« il: 30 Dic 2017, 14:03:37 »

Quello che descrivi è il web hoster, non l'isp, sito web, php e tutte le cose che elenchi non centrano proprio nulla con l'isp. aruba è un isp quando ti fornisce una linea dati. Comunque, molto probabilmente non è colpa del web hoster, ma di aggiornamenti ritardati o estensioni fallate.

.

ISP : https://it.wikipedia.org/wiki/Internet_service_provider  Telecom è un ISP di primo livello. Quando ho scritto che telecom non c'entra era riferito alla problematica che stai riscontrando e la stessa deve essere cercata nella vulnerabilità del tuo ISP (ISP di secondo livello -  Fornitore di altri serviz internet) Il web hosting a cui tu ti riferisci è uno dei Servizi offerti dagli ISP al pari delle VPS, dei server, e di tutti gli altri servizi correlati.

In ogni caso, se il concetto su espresso inerente l'installazione non autorizzata di una shell php costituisce una falla di sicurezza del tuo ISP (chiamalo come meglio credi), che permette l'esecuzione di processi senza un adeguato controllo sulla utenza, ti è estraneo, ti faccio i miei migliori auguri nella ricerca e risoluzione in maniera definitiva della probelmatica. 

Quanto descrivi non è compresa nelle vulnerabilità note di joomla (nessuna delle versioni fino alla attuale).

19

Sicurezza / Re:Problema di sicurezza intrusione e cambio nome utente da sconosciuto

« il: 30 Dic 2017, 13:25:14 »

Ripeto che l'isp non centra proprio nulla; con isp ci si riferisce all'internet service provider, quello che dà la connessione a internet, telecom, eolo, fastweb, o quello che preferisci.
Perchè mai telecom dovrebbe bloccare il caricamento di una shell? Le shell sono strumenti amministrativi.

credo tu sia un po confuso. ISP =  Internet service provider. Fornitore servizi internet. Il sito web unitamente al nome, allo spazio a php, mysql cgi etc  sono servizi internet. Non centra nulla telecom che fornisce semplicemente la connessione. aruba ad esempio é un ISP.

20

Sicurezza / Re:Problema di sicurezza intrusione e cambio nome utente da sconosciuto

« il: 30 Dic 2017, 12:57:54 »

Perchè dovrebbe essere un problema dell'isp? L'isp è l'internet service provider, al massimo del web hoster.
Comunque indoxploit è una shell php come un'altra, che si può caricare sfruttando le falle di sicurezza di joomla e sue estensioni.

E come la definisci l'installazione non autorizzata di una shell php se non una falla ENORME di sicurezza del tuo ISP ? Com'è altrimenti possibile ? Hai letto la pagina linkata di marine? Si parla di server vulnerabili e configurati in maniera non corretta. Hai una vps? Hai configurato tu il tuo spazio? In caso positivo fatti aiutare da persone esperte. In caso negativo la responsabilità é del tuo isp.