Invadido

Dúvidas e Comentários sobre o Conceito e Funcionamento do Mambo e Joomla! Atenção: Assuntos de Instalação, Componentes, Módulos, Mambots, Temas e Documentação usar os fóruns abaixo.
n4tivo
Novato
Mensagens: 17
Registrado em: 18 Ago 2008, 10:59

Invadido

Mensagem por n4tivo »

Bom dia pessoal!
o site que cuido esta sendo invadido por um hacker turco. eu sai da hospedagem internacional e fui para a locaweb. ele insere arquivos(virus) no ftp e coloca um cookie maldoso na minha inicial.
alguem ja enfrentou problemas com isso? e quais seriam os procedimentos. troca de senha deste ftp? a minha senha é bastante dificil e coloquei após retirar esse virus do site.

so para constar ele inseriu uma pasta "com_incd" em components e tb alguns arquivos em "media"
e agora na pagina inicial está com esse cookie pelo internet explorer:
Imagem
sendo que so posso apagar esse cookie apagando a tabela frontpage. acredito eu.
se eu desligar o register globals o site nao aparece.
Então oque eu faço?? qualquer ajuda é bem vinda.
desde já obrigado!
Eder Samaniego Villalba
Joomleiro
Mensagens: 436
Registrado em: 03 Mai 2004, 14:27
Contato:

Re: Invadido

Mensagem por Eder Samaniego Villalba »

Eu tmbm tive problrmas com uns turcos vagas que ficaram me sacaneando, tem um monte de coisas que vc precisa mudar, mas a principal é conferir os componentes que vc tm usado.
O site que estava sendo invadido estava com um componente que baixei do emule, pq ele tinha sido descontinuado. (tá bom eu sei que foi bestera) e que tinha um cavalo de tróia.

Depois de vc verificar os componentes. É bom outros processos, por exemplo, desligue os relatórios de erro, use um componente pra reescrever sua url, mude o lugar do arquivo configuration.php, entre outras coisas.

Valeu
Professor Eder Samaniego Villalba
Software Process Improvement Specialist
http://www.webguiabrasil.com.br/
Daniel Corrêa
Super Joomleiro
Mensagens: 2156
Registrado em: 24 Mai 2005, 13:30
Localização: Belo Horizonte
Contato:

Re: Invadido

Mensagem por Daniel Corrêa »

Rapaz, qual a versão do seu Joomla!?

Outra coisa, antes de ter enviado para o LocaWeb vc deveria ter dado uma revisão nos arquivos, pois se o arquivos que ele usa para invadir seu site continuar lá vc não resolveu nada, simplesmente mudou o problema de servidor.
www.pagseguro.com.br - Faça cobranças a partir do seu site
www.hostphi.com - Hospedagem Joomla!
www.joomlaminas.org - Tutoriais e Artigos sobre o Joomla!
n4tivo
Novato
Mensagens: 17
Registrado em: 18 Ago 2008, 10:59

Re: Invadido

Mensagem por n4tivo »

realmente tinha mudado o problema de lugar, isso a uns dois meses atrás.
na epoca consegui retirar o virus instalando a versão mais nova 1.0.15. achei os arquivos infectados e so tinha ficado com o problema do cookie (que depois tambem resolvi instalando do zero o joomla)

agora fui ver o codigo fonte e notei que o index.php do template estava com um codigo:

document.write(""); que gerava esse cookie acima

esse link não é igual ao que estava por razões de segurança


então retirei-o e dei permissão 444. agora acredito que retirar o virus consigo normalmente vendo pela data via FTP arquivos diferentes. o grande é problema é como fazer com que este hacker volte a atacar.
Eu tmbm tive problrmas com uns turcos vagas que ficaram me sacaneando, tem um monte de coisas que vc precisa mudar, mas a principal é conferir os componentes que vc tm usado.
O site que estava sendo invadido estava com um componente que baixei do emule, pq ele tinha sido descontinuado. (tá bom eu sei que foi bestera) e que tinha um cavalo de tróia.

Depois de vc verificar os componentes. É bom outros processos, por exemplo, desligue os relatórios de erro, use um componente pra reescrever sua url, mude o lugar do arquivo configuration.php, entre outras coisas.
eu retirei um componente com_playercenter pois ele esta na lista de vuneraveis http://www.milw0rm.com/exploits/5708 mas eu estava utilizando a ultima versão e acredito que este da lista é mais antigo
Rapaz, qual a versão do seu Joomla!?

Outra coisa, antes de ter enviado para o LocaWeb vc deveria ter dado uma revisão nos arquivos, pois se o arquivos que ele usa para invadir seu site continuar lá vc não resolveu nada, simplesmente mudou o problema de servidor.
é realmente devia ter começado do zero indo para locaweb, mas acabou q instalei o joomla 1.0.15 e so peguei o banco de dados e tal. agora como ele me invadiu novamente.. alem da index.php da template. nao sei como ele coloca arquivos em components e media

muito obrigado pela ajuda até agora. vou seguir alguns destes procedimentos
Editado pela última vez por n4tivo em 18 Ago 2008, 12:16, em um total de 1 vez.
Daniel Corrêa
Super Joomleiro
Mensagens: 2156
Registrado em: 24 Mai 2005, 13:30
Localização: Belo Horizonte
Contato:

Re: Invadido

Mensagem por Daniel Corrêa »

Veja se possui alguma dessas extensões
http://help.joomla.org/component/option ... temid,268/
www.pagseguro.com.br - Faça cobranças a partir do seu site
www.hostphi.com - Hospedagem Joomla!
www.joomlaminas.org - Tutoriais e Artigos sobre o Joomla!
n4tivo
Novato
Mensagens: 17
Registrado em: 18 Ago 2008, 10:59

Re: Invadido

Mensagem por n4tivo »

é dali so estou com o zoom gallery da ultima versão lançada
Avatar do usuário
Jorge Luis
Usuário
Mensagens: 103
Registrado em: 23 Nov 2007, 09:37
Localização: Rio de Janeiro
Contato:

Re: Invadido

Mensagem por Jorge Luis »

Deve ser um surto!!! Também tive meu site invadido onte ... Aparentemente deve ser falha de segurança em algum componente/módulo/plugin bem comum.... E que algum @*#&* descobriu...
Avatar do usuário
Willian Souza
Super Joomleiro
Mensagens: 869
Registrado em: 25 Mai 2006, 10:51
Localização: Jaguariúna - SP

Re: Invadido

Mensagem por Willian Souza »

Todos os sites com versão do Joomla 1.5 DEVEM ser corrigidos, senão problemas futuros estão previstos... Corrijam seus sites com o Patch de segurança para a última versão do Joomla 1.5.6.

Quem utiliza a versão 1.0.x, deve atualizar para a versão 1.0.15.
Avatar do usuário
André Franco
Usuário
Mensagens: 56
Registrado em: 30 Mar 2006, 00:51
Contato:

Re: Invadido

Mensagem por André Franco »

A versão 1.5.x realmente estava com um falha a qual foi explorada para conseguir acesso administrativo no site de vocês.

[mod edit] Qual a vantagem em publicar o método? Valorizar o trabalho dos moleques? [/edit]

Recomendo a todos a sempre acessar esse site aqui http://www.milw0rm.com/search.php e usar como pesquisa o nome joomla, pois esse site tem bastante exploits, sendo assim vamos saber se um componentes / modulo / plugin ou qualquer outro arquivo do joomla está vulnerável.

Atenção

Acesse esse link http://www.joomla.org/download.html para baixar a ultima versão do joomla.

Abraços e boa sorte
Editado pela última vez por Anonymous em 18 Ago 2008, 23:36, em um total de 1 vez.
Imagem
Responder