<div dir="ltr">Caro Giuseppe, davvero grazie mille per la tua risposta! i siti ospitati sono tutti regolarmente patchati, comunque controllo seguendo le tue indicazioni!<div>grazie, ciao</div><div>Monia</div></div><div class="gmail_extra"><br><div class="gmail_quote">Il giorno 21 luglio 2015 04:29, Giuseppe De Marco <span dir="ltr"><<a href="mailto:demarcog83@gmail.com" target="_blank">demarcog83@gmail.com</a>></span> ha scritto:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Cara Monia,<br>
<br>
non mi intendo di CERT nazionale ma joomla e i problemi connessi alla<br>
sua scarsa manutenzione so bene quanto siano popolari (o impopolari).<br>
Se posso darti un consiglio chiedi al provider di sbloccarlo e fai una<br>
pulizia, aggiorna tutto joomla e tutti i plugin. Se è un VPS o un<br>
dedicato installa suoshin patch (definendo in php.ini le opzioni<br>
classiche) o ancora meglio mod_security2 che tu stia usando apache o<br>
nginx.<br>
<br>
Se sei stata bucata sicuramente nelle directory di upload troverai dei<br>
simil file immagine che al loro interno contengono script codificati<br>
base64 o simili.<br>
<br>
<a href="http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html" rel="noreferrer" target="_blank">http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html</a><br>
<a href="http://www.joomla.it/articoli-community-16-e-17-tab/5677-simple-security-guide-parte-1.html" rel="noreferrer" target="_blank">http://www.joomla.it/articoli-community-16-e-17-tab/5677-simple-security-guide-parte-1.html</a><br>
<a href="http://www.joomla.it/articoli-community-16-e-17-tab/6170-simple-security-guide-parte-2.html" rel="noreferrer" target="_blank">http://www.joomla.it/articoli-community-16-e-17-tab/6170-simple-security-guide-parte-2.html</a><br>
<a href="http://www.itoctopus.com/quick-joomla-security-tip-disable-php-execution-in-the-images-folder" rel="noreferrer" target="_blank">http://www.itoctopus.com/quick-joomla-security-tip-disable-php-execution-in-the-images-folder</a><br>
<div><div class="h5"><br>
Il 6 luglio 2015 14:04, Monia Chimienti <<a href="mailto:monia.chimienti@gmail.com">monia.chimienti@gmail.com</a>> ha scritto:<br>
> Ciao a tutti, qualcuno di voi si intende di Cert nazionale e mail vagamente<br>
> terroristiche che mandano ogni tanto ai gestori di webserver?<br>
> nell'ultimo mese, mi sono arrivate due segnalazioni che vi riporto di<br>
> seguito.<br>
> la 2 ci è pervenuta pochi minuti fa con questo oggetto: "segnalazione<br>
> macchine compromesse - Campagna informativa Drone".<br>
><br>
> la nostra macchina è una debian con a bordo dei siti in joomla. Quanto sono<br>
> attendibili, nella vostra esperienza, messaggi di questo tipo?<br>
> tenete conto che il file "incriminato" è depositato sulla macchina da mesi.<br>
> Il webserver è stato messo in stato di down dal provider e fino a 2 minuti<br>
> prima il sito era perfettamente raggiungibile. ed è un sito puramente<br>
> divulgativo, che non fa servizi di nessun tipo.<br>
> --------------------<br>
> 1. scriviamo in qualità di CERT Nazionale, struttura pubblica che opera<br>
> nell'ambito del Ministero dello Sviluppo Economico a supporto di<br>
> cittadini e imprese con azioni di prevenzione e di coordinamento della<br>
> risposta a minacce ed incidenti informatici su vasta scala. L'azione del<br>
> CERT Nazionale si inserisce nel contesto del Quadro Strategico Nazionale<br>
> per la sicurezza dello spazio cibernetico, agendo, fra l'altro, come<br>
> punto di contatto italiano a livello internazionale.<br>
><br>
> Al fine di fornirVi un servizio utile per la salvaguardia della Vostra<br>
> rete e della Vostra clientela, con la presente intendiamo inoltrarVi una<br>
> segnalazione prevenutaci nell'ambito delle nostre attività<br>
> istituzionali di _infosharing_ riguardante alcune macchine appartenenti<br>
> alla Vostra rete che risulterebbero compromesse da malware per tutte le<br>
> azioni che riterrete opportuno intraprendere. Vi chiediamo cortesemente<br>
> di indicarci se l'indirizzo a cui stiamo scrivendo è il più<br>
> appropriato per questo genere di segnalazioni o se ce ne vorrete fornire<br>
> di alternativi anche nell'ottica di una futura collaborazione.<br>
><br>
> A titolo di chiave di lettura del file allegato, il campo "_tag_"<br>
> contiene l'indicazione del malware che avrebbe compromesso il sito ed il<br>
> campo "_category_" l'utilizzo malevolo che ne verrebbe principalmente<br>
> fatto.<br>
><br>
> Restiamo a disposizione per qualsiasi tipo di feedback che vorrete<br>
> fornirci.<br>
><br>
> Cordiali saluti,<br>
><br>
> CERT NAZIONALE ITALIA<br>
><br>
> 2. Buongiorno.<br>
><br>
> Abbiamo ricevuto da fonti affidabili una lista di macchine appartenenti<br>
> alla Vostra rete ed alla Vostra clientela verosimilmente infette.<br>
><br>
> Il report allegato contiene una lista di macchine verosimilmente<br>
> compromesse, droni e zombie, individuati principalmente attraverso il<br>
> monitoraggio delle connessioni HTTP con botnet note (con riferimento al<br>
> PERIODO 01-03/07/2015). Il dato riporta i tentativi di connessione ad IP<br>
> malevoli e pertanto è da considerarsi come un forte indice di<br>
> compromissione. Il valore contenuto nel campo C&C, ove disponibile, può<br>
> riferirsi sia ad un C&C reale (con traffico monitorato da terze parti),<br>
> sia ad uno dei sinkhole passivi approntati per la terminazione del<br>
> traffico.<br>
><br>
> Il dato viene fornito per opportuna informazione e per ogni azione di<br>
> verifica e mitigazione che riterrete opportuno intraprendere a tutela<br>
> della Vostra rete e della Vostra clientela/constituency.<br>
> ---------------------------------------------------------------------<br>
><br>
</div></div>> _______________________________________________<br>
> Wireless mailing list<br>
> <a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
> <a href="http://ml.ninux.org/mailman/listinfo/wireless" rel="noreferrer" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
_______________________________________________<br>
Wireless mailing list<br>
<a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
<a href="http://ml.ninux.org/mailman/listinfo/wireless" rel="noreferrer" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>
</blockquote></div><br></div>