Caro Giuseppe, davvero grazie mille per la tua risposta! i siti ospitati sono tutti regolarmente patchati, comunque controllo seguendo le tue indicazioni! grazie, ciao Monia
Il giorno 21 luglio 2015 04:29, Giuseppe De Marco <[email protected]> ha scritto: > Cara Monia, > > non mi intendo di CERT nazionale ma joomla e i problemi connessi alla > sua scarsa manutenzione so bene quanto siano popolari (o impopolari). > Se posso darti un consiglio chiedi al provider di sbloccarlo e fai una > pulizia, aggiorna tutto joomla e tutti i plugin. Se è un VPS o un > dedicato installa suoshin patch (definendo in php.ini le opzioni > classiche) o ancora meglio mod_security2 che tu stia usando apache o > nginx. > > Se sei stata bucata sicuramente nelle directory di upload troverai dei > simil file immagine che al loro interno contengono script codificati > base64 o simili. > > > http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html > > http://www.joomla.it/articoli-community-16-e-17-tab/5677-simple-security-guide-parte-1.html > > http://www.joomla.it/articoli-community-16-e-17-tab/6170-simple-security-guide-parte-2.html > > http://www.itoctopus.com/quick-joomla-security-tip-disable-php-execution-in-the-images-folder > > Il 6 luglio 2015 14:04, Monia Chimienti <[email protected]> ha > scritto: > > Ciao a tutti, qualcuno di voi si intende di Cert nazionale e mail > vagamente > > terroristiche che mandano ogni tanto ai gestori di webserver? > > nell'ultimo mese, mi sono arrivate due segnalazioni che vi riporto di > > seguito. > > la 2 ci è pervenuta pochi minuti fa con questo oggetto: "segnalazione > > macchine compromesse - Campagna informativa Drone". > > > > la nostra macchina è una debian con a bordo dei siti in joomla. Quanto > sono > > attendibili, nella vostra esperienza, messaggi di questo tipo? > > tenete conto che il file "incriminato" è depositato sulla macchina da > mesi. > > Il webserver è stato messo in stato di down dal provider e fino a 2 > minuti > > prima il sito era perfettamente raggiungibile. ed è un sito puramente > > divulgativo, che non fa servizi di nessun tipo. > > -------------------- > > 1. scriviamo in qualità di CERT Nazionale, struttura pubblica che opera > > nell'ambito del Ministero dello Sviluppo Economico a supporto di > > cittadini e imprese con azioni di prevenzione e di coordinamento della > > risposta a minacce ed incidenti informatici su vasta scala. L'azione del > > CERT Nazionale si inserisce nel contesto del Quadro Strategico Nazionale > > per la sicurezza dello spazio cibernetico, agendo, fra l'altro, come > > punto di contatto italiano a livello internazionale. > > > > Al fine di fornirVi un servizio utile per la salvaguardia della Vostra > > rete e della Vostra clientela, con la presente intendiamo inoltrarVi una > > segnalazione prevenutaci nell'ambito delle nostre attività > > istituzionali di _infosharing_ riguardante alcune macchine appartenenti > > alla Vostra rete che risulterebbero compromesse da malware per tutte le > > azioni che riterrete opportuno intraprendere. Vi chiediamo cortesemente > > di indicarci se l'indirizzo a cui stiamo scrivendo è il più > > appropriato per questo genere di segnalazioni o se ce ne vorrete fornire > > di alternativi anche nell'ottica di una futura collaborazione. > > > > A titolo di chiave di lettura del file allegato, il campo "_tag_" > > contiene l'indicazione del malware che avrebbe compromesso il sito ed il > > campo "_category_" l'utilizzo malevolo che ne verrebbe principalmente > > fatto. > > > > Restiamo a disposizione per qualsiasi tipo di feedback che vorrete > > fornirci. > > > > Cordiali saluti, > > > > CERT NAZIONALE ITALIA > > > > 2. Buongiorno. > > > > Abbiamo ricevuto da fonti affidabili una lista di macchine appartenenti > > alla Vostra rete ed alla Vostra clientela verosimilmente infette. > > > > Il report allegato contiene una lista di macchine verosimilmente > > compromesse, droni e zombie, individuati principalmente attraverso il > > monitoraggio delle connessioni HTTP con botnet note (con riferimento al > > PERIODO 01-03/07/2015). Il dato riporta i tentativi di connessione ad IP > > malevoli e pertanto è da considerarsi come un forte indice di > > compromissione. Il valore contenuto nel campo C&C, ove disponibile, può > > riferirsi sia ad un C&C reale (con traffico monitorato da terze parti), > > sia ad uno dei sinkhole passivi approntati per la terminazione del > > traffico. > > > > Il dato viene fornito per opportuna informazione e per ogni azione di > > verifica e mitigazione che riterrete opportuno intraprendere a tutela > > della Vostra rete e della Vostra clientela/constituency. > > --------------------------------------------------------------------- > > > > _______________________________________________ > > Wireless mailing list > > [email protected] > > http://ml.ninux.org/mailman/listinfo/wireless > _______________________________________________ > Wireless mailing list > [email protected] > http://ml.ninux.org/mailman/listinfo/wireless >
_______________________________________________ Wireless mailing list [email protected] http://ml.ninux.org/mailman/listinfo/wireless
