Invadido
Invadido
Bom dia pessoal!
o site que cuido esta sendo invadido por um hacker turco. eu sai da hospedagem internacional e fui para a locaweb. ele insere arquivos(virus) no ftp e coloca um cookie maldoso na minha inicial.
alguem ja enfrentou problemas com isso? e quais seriam os procedimentos. troca de senha deste ftp? a minha senha é bastante dificil e coloquei após retirar esse virus do site.
so para constar ele inseriu uma pasta "com_incd" em components e tb alguns arquivos em "media"
e agora na pagina inicial está com esse cookie pelo internet explorer:
sendo que so posso apagar esse cookie apagando a tabela frontpage. acredito eu.
se eu desligar o register globals o site nao aparece.
Então oque eu faço?? qualquer ajuda é bem vinda.
desde já obrigado!
o site que cuido esta sendo invadido por um hacker turco. eu sai da hospedagem internacional e fui para a locaweb. ele insere arquivos(virus) no ftp e coloca um cookie maldoso na minha inicial.
alguem ja enfrentou problemas com isso? e quais seriam os procedimentos. troca de senha deste ftp? a minha senha é bastante dificil e coloquei após retirar esse virus do site.
so para constar ele inseriu uma pasta "com_incd" em components e tb alguns arquivos em "media"
e agora na pagina inicial está com esse cookie pelo internet explorer:
sendo que so posso apagar esse cookie apagando a tabela frontpage. acredito eu.
se eu desligar o register globals o site nao aparece.
Então oque eu faço?? qualquer ajuda é bem vinda.
desde já obrigado!
-
- Joomleiro
- Mensagens: 436
- Registrado em: 03 Mai 2004, 14:27
- Contato:
Re: Invadido
Eu tmbm tive problrmas com uns turcos vagas que ficaram me sacaneando, tem um monte de coisas que vc precisa mudar, mas a principal é conferir os componentes que vc tm usado.
O site que estava sendo invadido estava com um componente que baixei do emule, pq ele tinha sido descontinuado. (tá bom eu sei que foi bestera) e que tinha um cavalo de tróia.
Depois de vc verificar os componentes. É bom outros processos, por exemplo, desligue os relatórios de erro, use um componente pra reescrever sua url, mude o lugar do arquivo configuration.php, entre outras coisas.
Valeu
O site que estava sendo invadido estava com um componente que baixei do emule, pq ele tinha sido descontinuado. (tá bom eu sei que foi bestera) e que tinha um cavalo de tróia.
Depois de vc verificar os componentes. É bom outros processos, por exemplo, desligue os relatórios de erro, use um componente pra reescrever sua url, mude o lugar do arquivo configuration.php, entre outras coisas.
Valeu
Professor Eder Samaniego Villalba
Software Process Improvement Specialist
http://www.webguiabrasil.com.br/
Software Process Improvement Specialist
http://www.webguiabrasil.com.br/
-
- Super Joomleiro
- Mensagens: 2156
- Registrado em: 24 Mai 2005, 13:30
- Localização: Belo Horizonte
- Contato:
Re: Invadido
Rapaz, qual a versão do seu Joomla!?
Outra coisa, antes de ter enviado para o LocaWeb vc deveria ter dado uma revisão nos arquivos, pois se o arquivos que ele usa para invadir seu site continuar lá vc não resolveu nada, simplesmente mudou o problema de servidor.
Outra coisa, antes de ter enviado para o LocaWeb vc deveria ter dado uma revisão nos arquivos, pois se o arquivos que ele usa para invadir seu site continuar lá vc não resolveu nada, simplesmente mudou o problema de servidor.
www.pagseguro.com.br - Faça cobranças a partir do seu site
www.hostphi.com - Hospedagem Joomla!
www.joomlaminas.org - Tutoriais e Artigos sobre o Joomla!
www.hostphi.com - Hospedagem Joomla!
www.joomlaminas.org - Tutoriais e Artigos sobre o Joomla!
Re: Invadido
realmente tinha mudado o problema de lugar, isso a uns dois meses atrás.
na epoca consegui retirar o virus instalando a versão mais nova 1.0.15. achei os arquivos infectados e so tinha ficado com o problema do cookie (que depois tambem resolvi instalando do zero o joomla)
agora fui ver o codigo fonte e notei que o index.php do template estava com um codigo:
document.write(""); que gerava esse cookie acima
esse link não é igual ao que estava por razões de segurança
então retirei-o e dei permissão 444. agora acredito que retirar o virus consigo normalmente vendo pela data via FTP arquivos diferentes. o grande é problema é como fazer com que este hacker volte a atacar.
muito obrigado pela ajuda até agora. vou seguir alguns destes procedimentos
na epoca consegui retirar o virus instalando a versão mais nova 1.0.15. achei os arquivos infectados e so tinha ficado com o problema do cookie (que depois tambem resolvi instalando do zero o joomla)
agora fui ver o codigo fonte e notei que o index.php do template estava com um codigo:
document.write(""); que gerava esse cookie acima
esse link não é igual ao que estava por razões de segurança
então retirei-o e dei permissão 444. agora acredito que retirar o virus consigo normalmente vendo pela data via FTP arquivos diferentes. o grande é problema é como fazer com que este hacker volte a atacar.
eu retirei um componente com_playercenter pois ele esta na lista de vuneraveis http://www.milw0rm.com/exploits/5708 mas eu estava utilizando a ultima versão e acredito que este da lista é mais antigoEu tmbm tive problrmas com uns turcos vagas que ficaram me sacaneando, tem um monte de coisas que vc precisa mudar, mas a principal é conferir os componentes que vc tm usado.
O site que estava sendo invadido estava com um componente que baixei do emule, pq ele tinha sido descontinuado. (tá bom eu sei que foi bestera) e que tinha um cavalo de tróia.
Depois de vc verificar os componentes. É bom outros processos, por exemplo, desligue os relatórios de erro, use um componente pra reescrever sua url, mude o lugar do arquivo configuration.php, entre outras coisas.
é realmente devia ter começado do zero indo para locaweb, mas acabou q instalei o joomla 1.0.15 e so peguei o banco de dados e tal. agora como ele me invadiu novamente.. alem da index.php da template. nao sei como ele coloca arquivos em components e mediaRapaz, qual a versão do seu Joomla!?
Outra coisa, antes de ter enviado para o LocaWeb vc deveria ter dado uma revisão nos arquivos, pois se o arquivos que ele usa para invadir seu site continuar lá vc não resolveu nada, simplesmente mudou o problema de servidor.
muito obrigado pela ajuda até agora. vou seguir alguns destes procedimentos
Editado pela última vez por n4tivo em 18 Ago 2008, 12:16, em um total de 1 vez.
-
- Super Joomleiro
- Mensagens: 2156
- Registrado em: 24 Mai 2005, 13:30
- Localização: Belo Horizonte
- Contato:
Re: Invadido
Veja se possui alguma dessas extensões
http://help.joomla.org/component/option ... temid,268/
http://help.joomla.org/component/option ... temid,268/
www.pagseguro.com.br - Faça cobranças a partir do seu site
www.hostphi.com - Hospedagem Joomla!
www.joomlaminas.org - Tutoriais e Artigos sobre o Joomla!
www.hostphi.com - Hospedagem Joomla!
www.joomlaminas.org - Tutoriais e Artigos sobre o Joomla!
Re: Invadido
é dali so estou com o zoom gallery da ultima versão lançada
- Jorge Luis
- Usuário
- Mensagens: 103
- Registrado em: 23 Nov 2007, 09:37
- Localização: Rio de Janeiro
- Contato:
Re: Invadido
Deve ser um surto!!! Também tive meu site invadido onte ... Aparentemente deve ser falha de segurança em algum componente/módulo/plugin bem comum.... E que algum @*#&* descobriu...
- Willian Souza
- Super Joomleiro
- Mensagens: 869
- Registrado em: 25 Mai 2006, 10:51
- Localização: Jaguariúna - SP
Re: Invadido
Todos os sites com versão do Joomla 1.5 DEVEM ser corrigidos, senão problemas futuros estão previstos... Corrijam seus sites com o Patch de segurança para a última versão do Joomla 1.5.6.
Quem utiliza a versão 1.0.x, deve atualizar para a versão 1.0.15.
Quem utiliza a versão 1.0.x, deve atualizar para a versão 1.0.15.
- André Franco
- Usuário
- Mensagens: 56
- Registrado em: 30 Mar 2006, 00:51
- Contato:
Re: Invadido
A versão 1.5.x realmente estava com um falha a qual foi explorada para conseguir acesso administrativo no site de vocês.
[mod edit] Qual a vantagem em publicar o método? Valorizar o trabalho dos moleques? [/edit]
Recomendo a todos a sempre acessar esse site aqui http://www.milw0rm.com/search.php e usar como pesquisa o nome joomla, pois esse site tem bastante exploits, sendo assim vamos saber se um componentes / modulo / plugin ou qualquer outro arquivo do joomla está vulnerável.
Atenção
Acesse esse link http://www.joomla.org/download.html para baixar a ultima versão do joomla.
Abraços e boa sorte
[mod edit] Qual a vantagem em publicar o método? Valorizar o trabalho dos moleques? [/edit]
Recomendo a todos a sempre acessar esse site aqui http://www.milw0rm.com/search.php e usar como pesquisa o nome joomla, pois esse site tem bastante exploits, sendo assim vamos saber se um componentes / modulo / plugin ou qualquer outro arquivo do joomla está vulnerável.
Atenção
Acesse esse link http://www.joomla.org/download.html para baixar a ultima versão do joomla.
Abraços e boa sorte
Editado pela última vez por Anonymous em 18 Ago 2008, 23:36, em um total de 1 vez.