[Ninux-Wireless] Cert nazionale e bollettini "terroristici"

Monia Chimienti monia.chimienti a gmail.com
Mer 22 Lug 2015 23:01:28 CEST 

Caro Giuseppe, davvero grazie mille per la tua risposta! i siti ospitati
sono tutti regolarmente patchati, comunque controllo seguendo le tue
indicazioni!
grazie, ciao
Monia

Il giorno 21 luglio 2015 04:29, Giuseppe De Marco <demarcog83 a gmail.com> ha
scritto:

> Cara Monia,
>
> non mi intendo di CERT nazionale ma joomla e i problemi connessi alla
> sua scarsa manutenzione so bene quanto siano popolari (o impopolari).
> Se posso darti un consiglio chiedi al provider di sbloccarlo e fai una
> pulizia, aggiorna tutto joomla e tutti i plugin. Se è un VPS o un
> dedicato installa suoshin patch (definendo in php.ini le opzioni
> classiche) o ancora meglio mod_security2 che tu stia usando apache o
> nginx.
>
> Se sei stata bucata sicuramente nelle directory di upload troverai dei
> simil file immagine che al loro interno contengono script codificati
> base64 o simili.
>
>
> http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html
>
> http://www.joomla.it/articoli-community-16-e-17-tab/5677-simple-security-guide-parte-1.html
>
> http://www.joomla.it/articoli-community-16-e-17-tab/6170-simple-security-guide-parte-2.html
>
> http://www.itoctopus.com/quick-joomla-security-tip-disable-php-execution-in-the-images-folder
>
> Il 6 luglio 2015 14:04, Monia Chimienti <monia.chimienti a gmail.com> ha
> scritto:
> > Ciao a tutti, qualcuno di voi si intende di Cert nazionale e mail
> vagamente
> > terroristiche che mandano ogni tanto ai gestori di webserver?
> > nell'ultimo mese, mi sono arrivate due segnalazioni che vi riporto di
> > seguito.
> > la 2 ci è pervenuta pochi minuti fa con questo oggetto: "segnalazione
> > macchine compromesse - Campagna informativa Drone".
> >
> > la nostra macchina è una debian con a bordo dei siti in joomla. Quanto
> sono
> > attendibili, nella vostra esperienza, messaggi di questo tipo?
> > tenete conto che il file "incriminato"  è depositato sulla macchina da
> mesi.
> > Il webserver è stato messo in stato di down dal provider e fino a 2
> minuti
> > prima il sito era perfettamente raggiungibile. ed è un sito puramente
> > divulgativo, che non fa servizi di nessun tipo.
> > --------------------
> > 1. scriviamo in qualità di CERT Nazionale, struttura pubblica che opera
> > nell'ambito del Ministero dello Sviluppo Economico a supporto di
> > cittadini e imprese con azioni di prevenzione e di coordinamento della
> > risposta a minacce ed incidenti informatici su vasta scala. L'azione del
> > CERT Nazionale si inserisce nel contesto del Quadro Strategico Nazionale
> > per la sicurezza dello spazio cibernetico, agendo, fra l'altro, come
> > punto di contatto italiano a livello internazionale.
> >
> > Al fine di fornirVi un servizio utile per la salvaguardia della Vostra
> > rete e della Vostra clientela, con la presente intendiamo inoltrarVi una
> > segnalazione prevenutaci nell'ambito delle nostre attività
> > istituzionali di _infosharing_ riguardante alcune macchine appartenenti
> > alla Vostra rete che risulterebbero compromesse da malware per tutte le
> > azioni che riterrete opportuno intraprendere. Vi chiediamo cortesemente
> > di indicarci se l'indirizzo a cui stiamo scrivendo è il più
> > appropriato per questo genere di segnalazioni o se ce ne vorrete fornire
> > di alternativi anche nell'ottica di una futura collaborazione.
> >
> > A titolo di chiave di lettura del file allegato, il campo "_tag_"
> > contiene l'indicazione del malware che avrebbe compromesso il sito ed il
> > campo "_category_" l'utilizzo malevolo che ne verrebbe principalmente
> > fatto.
> >
> > Restiamo a disposizione per qualsiasi tipo di feedback che vorrete
> > fornirci.
> >
> > Cordiali saluti,
> >
> > CERT NAZIONALE ITALIA
> >
> > 2. Buongiorno.
> >
> > Abbiamo ricevuto da fonti affidabili una lista di macchine appartenenti
> > alla Vostra rete ed alla Vostra clientela verosimilmente infette.
> >
> > Il report allegato contiene una lista di macchine verosimilmente
> > compromesse, droni e zombie, individuati principalmente attraverso il
> > monitoraggio delle connessioni HTTP con botnet note (con riferimento al
> > PERIODO 01-03/07/2015). Il dato riporta i tentativi di connessione ad IP
> > malevoli e pertanto è da considerarsi come un forte indice di
> > compromissione. Il valore contenuto nel campo C&C, ove disponibile, può
> > riferirsi sia ad un C&C reale (con traffico monitorato da terze parti),
> > sia ad uno dei sinkhole passivi approntati per la terminazione del
> > traffico.
> >
> > Il dato viene fornito per opportuna informazione e per ogni azione di
> > verifica e mitigazione che riterrete opportuno intraprendere a tutela
> > della Vostra rete e della Vostra clientela/constituency.
> > ---------------------------------------------------------------------
> >
> > _______________________________________________
> > Wireless mailing list
> > Wireless a ml.ninux.org
> > http://ml.ninux.org/mailman/listinfo/wireless
> _______________________________________________
> Wireless mailing list
> Wireless a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/wireless/attachments/20150722/0dc374f1/attachment-0001.html>

Maggiori informazioni sulla lista Wireless