Cara Monia, non mi intendo di CERT nazionale ma joomla e i problemi connessi alla sua scarsa manutenzione so bene quanto siano popolari (o impopolari). Se posso darti un consiglio chiedi al provider di sbloccarlo e fai una pulizia, aggiorna tutto joomla e tutti i plugin. Se è un VPS o un dedicato installa suoshin patch (definendo in php.ini le opzioni classiche) o ancora meglio mod_security2 che tu stia usando apache o nginx.
Se sei stata bucata sicuramente nelle directory di upload troverai dei simil file immagine che al loro interno contengono script codificati base64 o simili. http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html http://www.joomla.it/articoli-community-16-e-17-tab/5677-simple-security-guide-parte-1.html http://www.joomla.it/articoli-community-16-e-17-tab/6170-simple-security-guide-parte-2.html http://www.itoctopus.com/quick-joomla-security-tip-disable-php-execution-in-the-images-folder Il 6 luglio 2015 14:04, Monia Chimienti <monia.chimie...@gmail.com> ha scritto: > Ciao a tutti, qualcuno di voi si intende di Cert nazionale e mail vagamente > terroristiche che mandano ogni tanto ai gestori di webserver? > nell'ultimo mese, mi sono arrivate due segnalazioni che vi riporto di > seguito. > la 2 ci è pervenuta pochi minuti fa con questo oggetto: "segnalazione > macchine compromesse - Campagna informativa Drone". > > la nostra macchina è una debian con a bordo dei siti in joomla. Quanto sono > attendibili, nella vostra esperienza, messaggi di questo tipo? > tenete conto che il file "incriminato" è depositato sulla macchina da mesi. > Il webserver è stato messo in stato di down dal provider e fino a 2 minuti > prima il sito era perfettamente raggiungibile. ed è un sito puramente > divulgativo, che non fa servizi di nessun tipo. > -------------------- > 1. scriviamo in qualità di CERT Nazionale, struttura pubblica che opera > nell'ambito del Ministero dello Sviluppo Economico a supporto di > cittadini e imprese con azioni di prevenzione e di coordinamento della > risposta a minacce ed incidenti informatici su vasta scala. L'azione del > CERT Nazionale si inserisce nel contesto del Quadro Strategico Nazionale > per la sicurezza dello spazio cibernetico, agendo, fra l'altro, come > punto di contatto italiano a livello internazionale. > > Al fine di fornirVi un servizio utile per la salvaguardia della Vostra > rete e della Vostra clientela, con la presente intendiamo inoltrarVi una > segnalazione prevenutaci nell'ambito delle nostre attività > istituzionali di _infosharing_ riguardante alcune macchine appartenenti > alla Vostra rete che risulterebbero compromesse da malware per tutte le > azioni che riterrete opportuno intraprendere. Vi chiediamo cortesemente > di indicarci se l'indirizzo a cui stiamo scrivendo è il più > appropriato per questo genere di segnalazioni o se ce ne vorrete fornire > di alternativi anche nell'ottica di una futura collaborazione. > > A titolo di chiave di lettura del file allegato, il campo "_tag_" > contiene l'indicazione del malware che avrebbe compromesso il sito ed il > campo "_category_" l'utilizzo malevolo che ne verrebbe principalmente > fatto. > > Restiamo a disposizione per qualsiasi tipo di feedback che vorrete > fornirci. > > Cordiali saluti, > > CERT NAZIONALE ITALIA > > 2. Buongiorno. > > Abbiamo ricevuto da fonti affidabili una lista di macchine appartenenti > alla Vostra rete ed alla Vostra clientela verosimilmente infette. > > Il report allegato contiene una lista di macchine verosimilmente > compromesse, droni e zombie, individuati principalmente attraverso il > monitoraggio delle connessioni HTTP con botnet note (con riferimento al > PERIODO 01-03/07/2015). Il dato riporta i tentativi di connessione ad IP > malevoli e pertanto è da considerarsi come un forte indice di > compromissione. Il valore contenuto nel campo C&C, ove disponibile, può > riferirsi sia ad un C&C reale (con traffico monitorato da terze parti), > sia ad uno dei sinkhole passivi approntati per la terminazione del > traffico. > > Il dato viene fornito per opportuna informazione e per ogni azione di > verifica e mitigazione che riterrete opportuno intraprendere a tutela > della Vostra rete e della Vostra clientela/constituency. > --------------------------------------------------------------------- > > _______________________________________________ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless _______________________________________________ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
