Página 1 de 1
Invadido
Enviado: 18 Ago 2008, 10:38
por n4tivo
Bom dia pessoal!
o site que cuido esta sendo invadido por um hacker turco. eu sai da hospedagem internacional e fui para a locaweb. ele insere arquivos(virus) no ftp e coloca um cookie maldoso na minha inicial.
alguem ja enfrentou problemas com isso? e quais seriam os procedimentos. troca de senha deste ftp? a minha senha é bastante dificil e coloquei após retirar esse virus do site.
so para constar ele inseriu uma pasta "com_incd" em components e tb alguns arquivos em "media"
e agora na pagina inicial está com esse cookie pelo internet explorer:
sendo que so posso apagar esse cookie apagando a tabela frontpage. acredito eu.
se eu desligar o register globals o site nao aparece.
Então oque eu faço?? qualquer ajuda é bem vinda.
desde já obrigado!
Re: Invadido
Enviado: 18 Ago 2008, 11:04
por Eder Samaniego Villalba
Eu tmbm tive problrmas com uns turcos vagas que ficaram me sacaneando, tem um monte de coisas que vc precisa mudar, mas a principal é conferir os componentes que vc tm usado.
O site que estava sendo invadido estava com um componente que baixei do emule, pq ele tinha sido descontinuado. (tá bom eu sei que foi bestera) e que tinha um cavalo de tróia.
Depois de vc verificar os componentes. É bom outros processos, por exemplo, desligue os relatórios de erro, use um componente pra reescrever sua url, mude o lugar do arquivo configuration.php, entre outras coisas.
Valeu
Re: Invadido
Enviado: 18 Ago 2008, 11:47
por Daniel Corrêa
Rapaz, qual a versão do seu Joomla!?
Outra coisa, antes de ter enviado para o LocaWeb vc deveria ter dado uma revisão nos arquivos, pois se o arquivos que ele usa para invadir seu site continuar lá vc não resolveu nada, simplesmente mudou o problema de servidor.
Re: Invadido
Enviado: 18 Ago 2008, 12:01
por n4tivo
realmente tinha mudado o problema de lugar, isso a uns dois meses atrás.
na epoca consegui retirar o virus instalando a versão mais nova 1.0.15. achei os arquivos infectados e so tinha ficado com o problema do cookie (que depois tambem resolvi instalando do zero o joomla)
agora fui ver o codigo fonte e notei que o index.php do template estava com um codigo:
document.write(""); que gerava esse cookie acima
esse link não é igual ao que estava por razões de segurança
então retirei-o e dei permissão 444. agora acredito que retirar o virus consigo normalmente vendo pela data via FTP arquivos diferentes. o grande é problema é como fazer com que este hacker volte a atacar.
Eu tmbm tive problrmas com uns turcos vagas que ficaram me sacaneando, tem um monte de coisas que vc precisa mudar, mas a principal é conferir os componentes que vc tm usado.
O site que estava sendo invadido estava com um componente que baixei do emule, pq ele tinha sido descontinuado. (tá bom eu sei que foi bestera) e que tinha um cavalo de tróia.
Depois de vc verificar os componentes. É bom outros processos, por exemplo, desligue os relatórios de erro, use um componente pra reescrever sua url, mude o lugar do arquivo configuration.php, entre outras coisas.
eu retirei um componente com_playercenter pois ele esta na lista de vuneraveis
http://www.milw0rm.com/exploits/5708 mas eu estava utilizando a ultima versão e acredito que este da lista é mais antigo
Rapaz, qual a versão do seu Joomla!?
Outra coisa, antes de ter enviado para o LocaWeb vc deveria ter dado uma revisão nos arquivos, pois se o arquivos que ele usa para invadir seu site continuar lá vc não resolveu nada, simplesmente mudou o problema de servidor.
é realmente devia ter começado do zero indo para locaweb, mas acabou q instalei o joomla 1.0.15 e so peguei o banco de dados e tal. agora como ele me invadiu novamente.. alem da index.php da template. nao sei como ele coloca arquivos em components e media
muito obrigado pela ajuda até agora. vou seguir alguns destes procedimentos
Re: Invadido
Enviado: 18 Ago 2008, 16:14
por Daniel Corrêa
Re: Invadido
Enviado: 18 Ago 2008, 18:34
por n4tivo
é dali so estou com o zoom gallery da ultima versão lançada
Re: Invadido
Enviado: 18 Ago 2008, 20:36
por Jorge Luis
Deve ser um surto!!! Também tive meu site invadido onte ... Aparentemente deve ser falha de segurança em algum componente/módulo/plugin bem comum.... E que algum @*#&* descobriu...
Re: Invadido
Enviado: 18 Ago 2008, 21:56
por Willian Souza
Todos os sites com versão do Joomla 1.5 DEVEM ser corrigidos, senão problemas futuros estão previstos... Corrijam seus sites com o Patch de segurança para a última versão do Joomla 1.5.6.
Quem utiliza a versão 1.0.x, deve atualizar para a versão 1.0.15.
Re: Invadido
Enviado: 18 Ago 2008, 22:23
por André Franco
A versão 1.5.x realmente estava com um falha a qual foi explorada para conseguir acesso administrativo no site de vocês.
[mod edit] Qual a vantagem em publicar o método? Valorizar o trabalho dos moleques? [/edit]
Recomendo a todos a sempre acessar esse site aqui
http://www.milw0rm.com/search.php e usar como pesquisa o nome
joomla, pois esse site tem bastante exploits, sendo assim vamos saber se um componentes / modulo / plugin ou qualquer outro arquivo do joomla está vulnerável.
Atenção
Acesse esse link
http://www.joomla.org/download.html para baixar a ultima versão do joomla.
Abraços e boa sorte