Invasão Joomla

sergio paschoal · Mensagem por **sergio paschoal** » 04 Jun 2007, 14:07

Olá pessoal,

Tive o meu site joomla invadido, vou tentar explicar da melhor forma possivel.

Utilizo o Joomla versão 1.0.12 que baixei no site FacilHost (colaborador na tradução do mesmo). www.facilhost.com.br

O invasor utilizou de algum metodo que fazia com que ele tinha acesso ao envio de arquivos.
O invasor enviou arquivos nos formatos .html .php que fazia referencia a outro site, os arquivos foram enviados para a pasta 'images' do joomla - Obs.: Estava com permissão 777, modifiquei as permissões.

A segunda tentativa ele enviou diversos arquivos maliciosos para a pasta 'media' do joomla, também estava com permissão 777 e modifiquei as permissões.

Também havia invadido através do componente extcalendar (baixado no site joomla.org.br). ficou na pasta upload.

Tirei o meu site do ar e estou enviando os arquivos novamente, pois na pasta media eu encontrei um arquivo em php que o meu antivirus logo detectou como virus e não abri.

Gostaria de alguns conselhos sobre segurança no joomla, se possivel me informarem as permissões que terei que colocar nas pastas e nos arquivos.

Também coloquei uma proteção em todos os novos arquivos contra sql injetion.

Obrigado mais uma vez.

sergio paschoal · Mensagem por **sergio paschoal** » 04 Jun 2007, 14:45

corrigindo, onde le-se sql injection corrija para php injection

sergio paschoal · Mensagem por **sergio paschoal** » 04 Jun 2007, 18:31

Pessoal,

Pesquisando aqui no forum descobri que um dos motivos foi ter utilizado o extcalendar sem as modificações necessárias.
O meu globals tá desligado!

Não encontrei aqui no forum nada sobre as permissões que tenho que deixar nas pastas e nos arquivos do joomla, alguém saberia?

Também não encontrei nada sobre o porque conseguiram também usar o php.injection na pasta 'media', a solução que encontrei foi alterar as permissões que antes estavam em 777.

sergio paschoal · Mensagem por **sergio paschoal** » 04 Jun 2007, 21:22

pessoal,

gostaria de apenas de uma resposta.

meu problema seria resolvido caso eu desinstalasse o extcalendar?

li alguns artigos sobre segurança e vi que eu teria que atualizar o extcalendar (prefiro trocar de componente) e li tb que o globals deveria estar desligado (sempre esteve desligado)

abraços

Daniel Corrêa · Mensagem por **Daniel Corrêa** » 05 Jun 2007, 16:59

O seu problema de segurança pode também estar relacionado ao seu servidor.

Pastas - 755
Arquivos - 644

Se o extcalendar é citado como um componente vulnerável é melhor não utilizá-lo.

sergio paschoal · Mensagem por **sergio paschoal** » 06 Jun 2007, 07:28

Daniel,

Obrigado, as pastas e arquivos estão com essas permissões.

A mensagem que está dando na administração do joomla é norma?

[hr][/hr]
As seguintes Configurações de Segurança do Servidor PHP não estão otimizadas para SEGURANÇA e é recomendado que as altere:

Configuração PHP - Registo de Globais (register_globals) está `Ligado` em vez de `Desligado`
Configuração Joomla no arquivo globals.php - Emulação Joomla do Registo de Globais (RG_EMULATION) está `Ligado` em vez de `Desligado`
Está `Ligado` por omissão mas apenas por questões de compatibilidade com algumas extensões.
[hr][/hr]

Obrigado mais uma vez

Diogo Magalhães · Mensagem por **Diogo Magalhães** » 06 Jun 2007, 09:50

É, normal. Tudo vai funcionar mas...
O site fica mais vulnerável assim como está. Não sei exatamente por quê. Por outro lado, fica mais flexível para receber complementos de terceiros (mais compatível). Se é um site novo, desabilite os trecos e pronto. Pelo que li e lembro, na versão 1.5 não vai ter essa de escolher se liga ou desliga: vai ser desligado e fim de papo! Os caras que desenvolvam os add ons compatíveis.

Veja abaixo como contornar isso:
http://www.joomlaminas.org/joomla/dicas ... obals.html

Fóruns do Joomla.com.br e JoomlaBrasil.org

Invasão Joomla

Invasão Joomla

Re: Invasão Joomla

Re: Invasão Joomla

Re: Invasão Joomla

Re: Invasão Joomla

Re: Invasão Joomla

Re: Invasão Joomla