Chiedo consiglio per problemi di sicurezza - esistono patch?

[angelapierri]

Scusate la lunghezza, spero che qualcuno più esperto mi risponda


Ho il cms su aruba
In data 21 giugno aruba mi ha inviato una nuova password per la gestione ftp  con la seguente spiega

Gentile cliente,
Abbiamo ricevuto segnalazioni di un phishing (email fasulle) inviato ai nostri clienti dove si richiedevano user e password cosi' come e' stato fatto spesso, anche in tempi recenti, per reperire dati sensibili quali i dati di accesso ai conti postali o di banche on-line.
Pertanto abbiamo deciso di procedere con un cambio precauzionale dei suoi dati di accesso

Mi accorgo che in data 21 giugno sono state modificate alcune cartelle e file sul server (esattamente lib e smarty)

Confesso, sono ignorante,  scrivo ad  aruba

ho ricevuto in data 21 giiugno la comunicazione di cambio password per il sito
ora vedo che nella stessa data sono state modificate delle cartelle (lib smarty ) all'interno dello spazio hosting linux
vorrei che controllaste urgentemente gli accessi al server in quel giorno e dubito mi abbiate cambiato la password in quanto vi eravate resi conto di quanto stava succedendo
attendo notizie in merito

aruba mi ripropone come risposta la stessa identica  letterina di cui sopra che inizia con gentile cliente
e alla mia ulteriore richiesta di spiegazioni (scusate la prolissità):
URGENTE
non mi pare una risposta questa è la mail che mi è stata inviata per il cambio password
IN ogni caso in data 21 giugno 2007 sono state modificate le cartelle di cui al messaggio precedente (tre cartele lib relativi a cms e moodle) non mi sembra che comprendiate la gravità del fatto
Attendo risposta specifica
Nel frattempo ho ricaricato in data 26 le cartelle originali ma questo non mi rassicura
Vorrei controllaste gli accessi nella giornata del 21 giugno
risponde:
log da lei richiesti possono essere consegnati solamente alle autorità competenti che ne facciano richiesta

La invito a verificare la presenza, in locale (ovvero dal Pc da cui effettua la pubblicazione) di virus o spyware, che possono causare tali problemi; Le confermo che tale problema non è lato server (il quale viene costantemente aggiornato in tal senso), La invito ad effettuare le suddette verifiche attraverso appositi strumenti, come antivirus, anti-spyware, anti-malware, in particolare attraverso l\'uso congiunto di WindowsDefender con antivirus o Ad-Aware.

Controlli che eventuali applicazioni php di terze parti da lei pubblicate sul suo sito (portali, commercio elettronico, etc) siano aggiornate e vi siano applicate tutte le più recenti eventuali patch relative alla sicurezza. Escono in continuazione exploits che permettono a malintenzionati , sfruttando vulnerabilità dell\'applicazione stessa, di effettuare attacchi di tipo defacement.

Per maggiori informazioni puo' prendere come riferimento il sito madre dell'applicazione o forum.aruba.it --> sezione community/sicurezza. Può verificare le vulnerabilità della sua applicazione accedendo a siti specializzati come:
http://www.securityfocus.com
http://www.secunia.con

Consulti inoltre i seguenti articoli della nostra kb:

http://assistenza.aruba.it/kb/idx/0/794 ... bili_.html
http://assistenza.aruba.it/kb/idx/0/793 ... abili.html

Inutile dire che tutti i cms risultano vulnerabili
Nessuno ha avuto il problema???
Grazie in anticipo angela pierri

[alby]

Ho il cms su aruba
In data 21 giugno aruba mi ha inviato una nuova password per la gestione ftp  con la seguente spiega

Gentile cliente,
Abbiamo ricevuto segnalazioni di un phishing (email fasulle) inviato ai nostri clienti dove si richiedevano user e password cosi' come e' stato fatto spesso, anche in tempi recenti, per reperire dati sensibili quali i dati di accesso ai conti postali o di banche on-line.
Pertanto abbiamo deciso di procedere con un cambio precauzionale dei suoi dati di accesso

Anch'io ho cmsms su Aruba ma non ho ricevuto nessuna mail....
Effettivamente è un cosa strana poichè si cambiano user/passwd o perchè sono state carpite (ma aruba non può saperlo) o c'è stato un attacco su aruba e allora guarda qui per alcune info

Il mio consiglio è quello di:
1. fare un backup db+file
2. ripostare una versione completa di cmsms (e del caso aggiornarla alla 1.08)

Altri due consigli più generali:
a. CANCELLARE dopo l'aggiornamento la directory install
b. RINOMINARE sempre la directory admin con altro nome e quindi cambiarla di conseguenza nel file config.php
c. NON utilizzare mai come amministratore un utente di nome admin. Sceglietene uno vostro ed inseritelo nel gruppo admin

Alby

[angelapierri]

grazie mille dei consigli, farò come dici tu
Non è che hai idea se ci siano stati aggioramenti di sicurezza per il cms?
Io lo uso per l'ufficio (ufficio pubblico) tu mi consiglieresti di spostare tutto su un server dedicato e, considerata la cifra, ho più garanzie per la sicurezza?
Scusa se ti importuno
arigrazie
angela

[alby]

grazie mille dei consigli, farò come dici tu
Non è che hai idea se ci siano stati aggioramenti di sicurezza per il cms?

L'aggiornamento a 1.07 e poi 1.08 non erano preventivato ma solo per sicurezza

Io lo uso per l'ufficio (ufficio pubblico) tu mi consiglieresti di spostare tutto su un server dedicato e, considerata la cifra, ho più garanzie per la sicurezza?

Il server dedicato dà più garanzie se sei un system administrator che sa come/quando installare gli aggiornamenti ed eventualmente ricompilare per correggere i bachi software.
Il consiglio per un server dedicato è quando servono programmi non presenti nella implementazione hosting o se sono presenti release diverse dalle tue richieste (io sto facendo un pensierino se andare su server dedicato o portarmi verso un altro fornitore per il supporto php5 in generale ma che sarà poi utile il prossimo anno per la versione 2.X).

Non conosco le tue conscenze lato server quindi se sono elevate cambia in caso contrario è meglio rimanere in hosting e naturalmente fare BACKUP, BACKUP, BACKUP, ....

Alby

[angelapierri]

purtroppo è la seconda che hai detto: backup
mi sto attivando per ottenere un aiuto per poter gestire questioni lato server e di sicurezza

ho bazzicato numerosi forum e non ho avuto risposta sul fatto che qualcun altro abbia notato il cambio delle cartelle lib e smarty
per quel poco che ne so e lo dico come mangio smarty dovrebbe agire tra templates e contenuto

Forse averi dovuto copiarle prima di sostiturile per vedere quali erano stati i cambiamenti

ora mi accorgo di altri 3 file cambiati nelle cartelle lib di moodle nella stessa data 21/06 overlib.js weblib.js cookies.js sto eliminandoli e ricaricando gli originali

in conclusione trovo modificati: cartelle lib-smarty-javascript tutti nella stessa fatidica data in cui aruba mi comunica il cambio password

mi sembra un lavoro senza fine
grazie per i consigli

[alby]

purtroppo è la seconda che hai detto: backup
mi sto attivando per ottenere un aiuto per poter gestire questioni lato server e di sicurezza

ho bazzicato numerosi forum e non ho avuto risposta sul fatto che qualcun altro abbia notato il cambio delle cartelle lib e smarty
per quel poco che ne so e lo dico come mangio smarty dovrebbe agire tra templates e contenuto

Forse averi dovuto copiarle prima di sostiturile per vedere quali erano stati i cambiamenti

ora mi accorgo di altri 3 file cambiati nelle cartelle lib di moodle nella stessa data 21/06 overlib.js weblib.js cookies.js sto eliminandoli e ricaricando gli originali

Come hai detto conviene SEMPRE scaricare da qualche parte i file sul server e poi ricaricare TUTTO.
Sì, tutti i file sono quelli di "presentazione" (anche quelli di moodle)

Alby