Site invadido

Dúvidas relativas a Joomla! 1.0.x
n4tivo
Novato
Mensagens: 17
Registrado em: 18 Ago 2008, 10:59

Site invadido

Mensagem por n4tivo »

Bom dia pessoal!
o site que cuido esta sendo invadido por um hacker turco. eu sai da hospedagem internacional e fui para a locaweb. ele insere arquivos(virus) no ftp e coloca um cookie maldoso na minha inicial.
alguem ja enfrentou problemas com isso? e quais seriam os procedimentos. troca de senha deste ftp? a minha senha é bastante dificil e coloquei após retirar esse virus do site.

so para constar ele inseriu uma pasta "com_incd" em components e tb alguns arquivos em "media"
e agora na pagina inicial está com esse cookie pelo internet explorer:
Imagem
sendo que so posso apagar esse cookie apagando a tabela frontpage. acredito eu.
se eu desligar o register globals o site nao aparece.
Então oque eu faço?? qualquer ajuda é bem vinda.
desde já obrigado!
Avatar do usuário
bigodines
Site Admin
Mensagens: 384
Registrado em: 11 Jul 2008, 20:25

Re: Site invadido

Mensagem por bigodines »

qual versão do joomla você está utilizando?

quais componentes extra ?
n4tivo
Novato
Mensagens: 17
Registrado em: 18 Ago 2008, 10:59

Re: Site invadido

Mensagem por n4tivo »

bigodines estou usando o 1.0.15
quanto a componentes estou usando o com_playercenter(pedidos de oração), jcal (calendário), zoom media gallery, jdownloads, xmap(mapa do site).
destes todos vi na parte de vuneráveis e vi que o player center estava nesta lista. (só não sei se era a versão que eu estava usando. mas mesmo assim retirei)
no meu joomla que esta hospedado pela locaweb esta com duas pendencias. o register globals e as citações magicas. neste ultima o servidor pediu para eu alterar a diretiva. este influencia na segurança?
minha grande dúvida é como este hacker consegue entrar. sei que existe o tal de sql injection e pode ter sido causado por um componente vunerável. e se for de outra forma é complicado de descobrir uma solução acredito eu.
obrigado!
pchardnet
Site Admin
Mensagens: 747
Registrado em: 14 Jul 2008, 14:14
Localização: Belo Horizonte - MG
Contato:

Re: Site invadido

Mensagem por pchardnet »

Register Globals ON pode ser uma boa porta de entrada - http://br.php.net/register_globals
http://www.hostphi.com- Hospedagem de sites e prestação de serviços em Joomla!

http://www.joomlaminas.org - meu blog sobre o Joomla!



---
Não tiro dúvidas por MP
n4tivo
Novato
Mensagens: 17
Registrado em: 18 Ago 2008, 10:59

Re: Site invadido

Mensagem por n4tivo »

é o problema é a locaweb ter que fazer esse tipo de mudança, com o .htaacess da erro, com o arquivo de configuração.ini não funciona...
ontem novamente aconteceu deste hacker invadir, colocou um tal de com_incd e em administrator/in_cd e mecheu novamente no index.php do template
no caso as citacoes magicas estão desligadas tambem, li que com essas citações desta forma é uma porta aberta para sql_injection. se eu tirar mais um componente suspeito. há o risco de essa invasão acontecer novamente?
obrigado pela ajuda!
n4tivo
Novato
Mensagens: 17
Registrado em: 18 Ago 2008, 10:59

Re: Site invadido

Mensagem por n4tivo »

a eles falaram ainda que independente dessas configurações estarem dessa forma não influem nesses ataques. que eles são atribuídos a descobrimento da senha do ftp ou site vunerável. agora me digam se estas configurações estivem de maneira correta e se eu mesmo com um site com algum componente vunerável mas utilizando um SEF para esconder as urls eu seria atacado? eu acredito que não e voces? hehe
pchardnet
Site Admin
Mensagens: 747
Registrado em: 14 Jul 2008, 14:14
Localização: Belo Horizonte - MG
Contato:

Re: Site invadido

Mensagem por pchardnet »

Sim, pode ser novamente atacado.

Quais são as chances de migrar para o Joomla! 1.5.6?
http://www.hostphi.com- Hospedagem de sites e prestação de serviços em Joomla!

http://www.joomlaminas.org - meu blog sobre o Joomla!



---
Não tiro dúvidas por MP
n4tivo
Novato
Mensagens: 17
Registrado em: 18 Ago 2008, 10:59

Re: Site invadido

Mensagem por n4tivo »

é realmente estava pensando nesta alternativa.
o suporte resolveu atender minhas solicitações e regularizou os meus pedidos. já é um bom recomeço.
estou pensando em mudar mesmo para a 1.56, no caso ela tem mais segurança que a 1.0.15? ou somente tem algumas coisas que na 1.0.15 não era possivel se fazer.
eu tenho bastante sites com a 1.0 que nunca foram atacados somente este, eu não entendo o critério que um hacker desses usa para achar o meu site. acredito que ainda devo ter um componente vunerável, só pode ser isso! se eu alterar este para a 1.56 esse caminho que este hacker entra seria fechado então... isso é muito bom!
lembrando que o hacker de tempo em tempo invade meu ftp e faz o seguinte
coloca com_inc em /components e administrator/components.
em /media coloca outro virus php.ini
entra no index.php e coloca um codigo malicioso que gera um um cookie com o nome de (googleanalystics) para retirar entra dentro do index.php e procurar por <script> com um link entranho
pchardnet
Site Admin
Mensagens: 747
Registrado em: 14 Jul 2008, 14:14
Localização: Belo Horizonte - MG
Contato:

Re: Site invadido

Mensagem por pchardnet »

Sim, é mais segura.
Sim, você tem um componente vulnerável.
Se você usar o mesmo componente vulnerável o problema será mantido.
http://www.hostphi.com- Hospedagem de sites e prestação de serviços em Joomla!

http://www.joomlaminas.org - meu blog sobre o Joomla!



---
Não tiro dúvidas por MP
n4tivo
Novato
Mensagens: 17
Registrado em: 18 Ago 2008, 10:59

Re: Site invadido

Mensagem por n4tivo »

bom então vou realmente atualizar. estive vendo e desde quando começou a dar esses problemas o componente que não foi retirado foi a galeria de fotos zoom media gallery. e também o calendario jcal pro
então trocarei meus componentes ou usarei versões que não tem nenhum relato de problema.
muito obrigado mesmo pchardnet e bigodines.
e caso precisem de alguma ajuda estamos ae, para algum projeto de tradução ou algo do tipo.
abraço e brigado mesmo
cambrasil
Usuário
Mensagens: 64
Registrado em: 26 Ago 2008, 16:19

Re: Site invadido

Mensagem por cambrasil »

olha ja muito disoso acontecer por ai.
uma das maneiras rapidas devc acertar isso e limpar td que este racker colocou vai ser retirando osite do ar provisoriamente.

assim

baixa o bacup de td qu eta no ar
depois apaga tudo zera o site no ar
no bacup vc faz a limpeza completa ou melhor ainda
refaz toda a instalaçao na rede colocando seu conteudo pelo bacup no ar novamente
um tanto trabalhoso eu sei mas isso seria cm formatar um pc entende?
nao esuqecendo de depois de zerar o servidor alterar todasas suas senhas
outra coisa que pode ajudar eh usar senhas diferentes, geralmente as pessoas usam uma unica senha pra tudo.
ok?
espero ter ajudado com a dica.
Avatar do usuário
rikaryo
Usuário
Mensagens: 56
Registrado em: 14 Jul 2008, 20:29
Contato:

Re: Site invadido

Mensagem por rikaryo »

oxente!!! Se o site foi invadido via hospedagem fica difícil de confiar que o site não seja invadido novamente a idéia é se existe um componente vulneravel...com certeza já deve ter a atualização de segurança..pq até onde sei o J! 1.0.15 está bem seguro e quase ninguém escuta falar de invasão...

Se o site foi invadido...volta o backup e reavalie se a hospedagem é que te deixou na mão...


vlw :)
------------------------------
Karlos Rikáryo
Joomla! Design
(88) 8809.9022
------------------------------
Avatar do usuário
supertechcomponentes
Novato
Mensagens: 15
Registrado em: 01 Out 2010, 16:09
Localização: São Paulo
Contato:

Re: Site invadido

Mensagem por supertechcomponentes »

No mínimo utilizou componentes nulled ..... :shock:
Supertech Componentes Eletrônicos & Circuito Integrado
Componentes eletrônicos. 70.000 componentes em estoque. novos, obsoletos e importação curto prazo.
Supertech Componentes Elétricos Sta.Ifigênia. http://www.supertech-comp.com.br
Responder