Site invadido

[n4tivo]

Bom dia pessoal!
o site que cuido esta sendo invadido por um hacker turco. eu sai da hospedagem internacional e fui para a locaweb. ele insere arquivos(virus) no ftp e coloca um cookie maldoso na minha inicial.
alguem ja enfrentou problemas com isso? e quais seriam os procedimentos. troca de senha deste ftp? a minha senha é bastante dificil e coloquei após retirar esse virus do site.

so para constar ele inseriu uma pasta "com_incd" em components e tb alguns arquivos em "media"
e agora na pagina inicial está com esse cookie pelo internet explorer:

sendo que so posso apagar esse cookie apagando a tabela frontpage. acredito eu.
se eu desligar o register globals o site nao aparece.
Então oque eu faço?? qualquer ajuda é bem vinda.
desde já obrigado!

[bigodines]

qual versão do joomla você está utilizando?

quais componentes extra ?

[n4tivo]

bigodines estou usando o 1.0.15
quanto a componentes estou usando o com_playercenter(pedidos de oração), jcal (calendário), zoom media gallery, jdownloads, xmap(mapa do site).
destes todos vi na parte de vuneráveis e vi que o player center estava nesta lista. (só não sei se era a versão que eu estava usando. mas mesmo assim retirei)
no meu joomla que esta hospedado pela locaweb esta com duas pendencias. o register globals e as citações magicas. neste ultima o servidor pediu para eu alterar a diretiva. este influencia na segurança?
minha grande dúvida é como este hacker consegue entrar. sei que existe o tal de sql injection e pode ter sido causado por um componente vunerável. e se for de outra forma é complicado de descobrir uma solução acredito eu.
obrigado!

[pchardnet]

Register Globals ON pode ser uma boa porta de entrada - http://br.php.net/register_globals

[n4tivo]

é o problema é a locaweb ter que fazer esse tipo de mudança, com o .htaacess da erro, com o arquivo de configuração.ini não funciona...
ontem novamente aconteceu deste hacker invadir, colocou um tal de com_incd e em administrator/in_cd e mecheu novamente no index.php do template
no caso as citacoes magicas estão desligadas tambem, li que com essas citações desta forma é uma porta aberta para sql_injection. se eu tirar mais um componente suspeito. há o risco de essa invasão acontecer novamente?
obrigado pela ajuda!

[n4tivo]

a eles falaram ainda que independente dessas configurações estarem dessa forma não influem nesses ataques. que eles são atribuídos a descobrimento da senha do ftp ou site vunerável. agora me digam se estas configurações estivem de maneira correta e se eu mesmo com um site com algum componente vunerável mas utilizando um SEF para esconder as urls eu seria atacado? eu acredito que não e voces? hehe

[pchardnet]

Sim, pode ser novamente atacado.

Quais são as chances de migrar para o Joomla! 1.5.6?

[n4tivo]

é realmente estava pensando nesta alternativa.
o suporte resolveu atender minhas solicitações e regularizou os meus pedidos. já é um bom recomeço.
estou pensando em mudar mesmo para a 1.56, no caso ela tem mais segurança que a 1.0.15? ou somente tem algumas coisas que na 1.0.15 não era possivel se fazer.
eu tenho bastante sites com a 1.0 que nunca foram atacados somente este, eu não entendo o critério que um hacker desses usa para achar o meu site. acredito que ainda devo ter um componente vunerável, só pode ser isso! se eu alterar este para a 1.56 esse caminho que este hacker entra seria fechado então... isso é muito bom!
lembrando que o hacker de tempo em tempo invade meu ftp e faz o seguinte
coloca com_inc em /components e administrator/components.
em /media coloca outro virus php.ini
entra no index.php e coloca um codigo malicioso que gera um um cookie com o nome de (googleanalystics) para retirar entra dentro do index.php e procurar por <script> com um link entranho

[pchardnet]

Sim, é mais segura.
Sim, você tem um componente vulnerável.
Se você usar o mesmo componente vulnerável o problema será mantido.

[n4tivo]

bom então vou realmente atualizar. estive vendo e desde quando começou a dar esses problemas o componente que não foi retirado foi a galeria de fotos zoom media gallery. e também o calendario jcal pro
então trocarei meus componentes ou usarei versões que não tem nenhum relato de problema.
muito obrigado mesmo pchardnet e bigodines.
e caso precisem de alguma ajuda estamos ae, para algum projeto de tradução ou algo do tipo.
abraço e brigado mesmo

[cambrasil]

olha ja muito disoso acontecer por ai.
uma das maneiras rapidas devc acertar isso e limpar td que este racker colocou vai ser retirando osite do ar provisoriamente.

assim

baixa o bacup de td qu eta no ar
depois apaga tudo zera o site no ar
no bacup vc faz a limpeza completa ou melhor ainda
refaz toda a instalaçao na rede colocando seu conteudo pelo bacup no ar novamente
um tanto trabalhoso eu sei mas isso seria cm formatar um pc entende?
nao esuqecendo de depois de zerar o servidor alterar todasas suas senhas
outra coisa que pode ajudar eh usar senhas diferentes, geralmente as pessoas usam uma unica senha pra tudo.
ok?
espero ter ajudado com a dica.

[rikaryo]

oxente!!! Se o site foi invadido via hospedagem fica difícil de confiar que o site não seja invadido novamente a idéia é se existe um componente vulneravel...com certeza já deve ter a atualização de segurança..pq até onde sei o J! 1.0.15 está bem seguro e quase ninguém escuta falar de invasão...

Se o site foi invadido...volta o backup e reavalie se a hospedagem é que te deixou na mão...


vlw

[supertechcomponentes]

No mínimo utilizou componentes nulled .....