Ayuda... Me están hackeando el sitio... PARA EXPERTOS.

[avizquel]

Saludos amigos de la comunidad Joomla...

Mi nombre es Alexander y trabajo para una empresa pública en Venezuela. Alguien por motivos políticos o de otra índole se ha estado dando a la tarea de hackearme mi sitio joomla. He probado con mil cosas distintas, estableciendo regulaciones en el php.ini y en las configuraciones del Apache. Mi servidor está en Debian y luego de un mapeo de los puertos a excepción del 80 no los tengo abierto.

Cambie la permisología de todo mi sitio y tan solo el dueño de las carpetas puede modificar y con todo eso el carajo se mete. Cambié las claves del usuario apache y de los demás incluyendo root a claves dificiles de descifrar por sus combinaciones. Tengo actualizado todos mis componentes a la última versión entre ellos Comunity Builder, Zoom Gallery, DocMan, Ext-Calendar. SI HAY UNA LISTA COMPROBADA DE COMPONENTES INSEGUROS O EXPERIENCIAS EN ÉSTE SENTIDO POR FAVOR INFORMARME DE ELLOS.

Cualquier ayuda es bien recibida, por mi parte haré otras consideraciones como montar el mod_security en apache y otras CONSIDERACIONES ADICIONALES.

Saludos y espero su colaboración.

Atte,

Alex

[mkm]

Saludos amigos de la comunidad Joomla...

Mi nombre es Alexander Vizquel y trabajo para una empresa pública en Venezuela. Alguien por motivos políticos o de otra índole se ha estado dando a la tarea de hackearme mi sitio joomla (http://www.inces.gob.ve/). He probado con mil cosas distintas, estableciendo regulaciones en el php.ini y en las configuraciones del Apache. Mi servidor está en Debian y luego de un mapeo de los puertos a excepción del 80 no los tengo abierto.

Cambie la permisología de todo mi sitio y tan solo el dueño de las carpetas puede modificar y con todo eso el carajo se mete. Cambié las claves del usuario apache y de los demás incluyendo root a claves dificiles de descifrar por sus combinaciones. Tengo actualizado todos mis componentes a la última versión entre ellos Comunity Builder, Zoom Gallery, DocMan, Ext-Calendar. SI HAY UNA LISTA COMPROBADA DE COMPONENTES INSEGUROS O EXPERIENCIAS EN ÉSTE SENTIDO POR FAVOR INFORMARME DE ELLOS.

Cualquier ayuda es bien recibida, por mi parte haré otras consideraciones como montar el mod_security en apache y otras CONSIDERACIONES ADICIONALES.

Saludos y espero su colaboración.

Atte,

Alex

Hola

Lo que puedo decirte es que a mi me jackearon un sitio que tenia de un cliente y segun el administrador del hosting me dijo que entraron desde Ext-Calendar.
Siempre uso componentes y modulos que estan probados y que tienen buena reputacion pero los que se dedican a molestar a otros se las ingenian.

Espero puedas solucionarlo

[merolhack]

Y por que no empiezas a hacer un sitio web sin componentes? o sea solo los que trae Joomla por defecto jeje

[pernikote]

¿Qué componentes tienes instalados?. Sería importante saberlo.

[avizquel]

Y por que no empiezas a hacer un sitio web sin componentes? o sea solo los que trae Joomla por defecto jeje

No se si tomar tu respuesta como una ingenuidad o como una argumentación de mal gusto. Igual ambas me parecen hechas sin un sentido exacto del tema que se está tratando. Estamos tratando un tema muy serio, ya que el Joomla por defecto necesita estructurar funciones anexas, de ahí su maravilla y alcance y de ahí su debilidad, por tanto los de la comunidad debemos unirnos pra fortalecer la herramienta, siendo parte del esquema del CORE o de los elementos adicionales.

Logré solventar el problema. A través de la ultima versión del expose, El Cracker subio un exploit programado en PHP exactamente un malaware PHP/C99Shell.BI ubicado en la siguiente ruta com_expose\expose\img\c99b17.php. Para ello uso el uploadimg.php de éste componente. Eso me mostro varias vulnerabilidades que a groso modo comento para otros compañeros que verdaderamente estén dispuesto a hablar de funcionalidades, seguridad, etc.

a) Los metodos de control de exploit a través del .htaccess y de los niveles de accesos a las carpetas críticas.
b) Reafirme los controles del php.ini y http.conf con nuevas estructuras de control. mode_safe, base_dir, mod_security, etc.
c) límite los usuarios por encima de register y probé un sniffer en mi página para ver la asignación de las entradas.
d) actualice todos los componentes a la última versión... y tuve esperanza en Dios en que ningún otro mal intencionado se proyectara a la página, cosa que hicieron como reto y no pudieron (observado en mis logs)
e) bloquié las Ip's pero eso de nada servirá, solo les hara una molestia temporal.

Concluyo diciendo que siempre habrá alguien con la mala intención de destruir una página y que la propia comunidad es quien debe establecer el apoyo y no esperar argumentaciones sacadas de lugar o sin sentido.

Surte para los demás.

Atte,

Alex

P.D. En éste link de la comunidad podrán observar en mayor detalle el problema. Gracias a los amigos del Joomla de la habla inglesa.
http://forum.joomla.org/index.php/topic,192172.0.html

[enkacom]

avizquel una respuesta excelente en todos los sentidos.........en alguna ocasion he pensado que se ganan puntos que luego cambias por camisetas o chupa chups segun el numero de respuestas que publicas...........pero no consigo encontrar donde se canjean...para ver si los premios valen la pena y asi empezar a publicar cualquier cosa y me llevo el viaje al caribe.

En tu respuesta has echo varias observaciones interesantes:

a) Los metodos de control de exploit a través del .htaccess y de los niveles de accesos a las carpetas críticas.
c) límite los usuarios por encima de register y probé un sniffer en mi página para ver la asignación de las entradas.

Te importaria mostrar el codigo de la primera y comentar la segunda

Gracias

[avizquel]

Saludos y disculpa el retraso pero en mis obligaciones actuales es muy poco el tiempo libre que tengo, pero honraré mi compromiso de ser parte de ésta comunidad... 

avizquel una respuesta excelente en todos los sentidos.........

* Gracias...

en alguna ocasion he pensado que se ganan puntos que luego cambias por camisetas o chupa chups segun el numero de respuestas que publicas...........pero no consigo encontrar donde se canjean...para ver si los premios valen la pena y asi empezar a publicar cualquier cosa y me llevo el viaje al caribe.

* A veces una persona que recibe una información que le ayuda a mejorar personal y profesionalmente, se siente tan agradecida que es capaz de canjear premios por esa colaboración, pero lo bueno del software libre y de las [spam] que se establecen en éste sentido es que la colaboración muchas veces no tiene más costo que el de la satisfacción de ayudar a un similar (en sueños y esperanzas de logros) por lo que se considera suficiente recompensa éste hecho en si mismo... Gracias a todos los que me han ayudado!.

a) Los metodos de control de exploit a través del .htaccess y de los niveles de accesos a las carpetas críticas.
c) límite los usuarios por encima de register y probé un sniffer en mi página para ver la asignación de las entradas.

Te importaria mostrar el codigo de la primera y comentar la segunda

Ok.. trataré de explicarlo lo mejor posible:

1.-  En la carpeta origen de tu sitio al cual se accede publicamente crea el archivo .htaccess de acuerdo a la configuración del apache. De éste documento para los amigos que no tienen mucho conocimiento hay información bastante en la red que les permitirá configurar las opciones básicas (el joomla trae el archivo htaccess.txt, puedes empezar renombrando éste archivo al nombre anteriormente descrito)

2.- Verifica que el modulo rewriteEngine este en uso mediante el comando "RewriteEngine On". Te permite trabajar con URL Friendly (google y demás buscadores tienen información bastante extensa sobre éste tópico) y otras considaderaciones del llamado de la URL.

3.- Este codigo viene con el htaccess.txt del Joomla. Si tienes URL Firendly  SEF (Search Engine Friendly) de terceros recuerda descomentar el primero y activar el segundo (para las personas con poco conocimiento simplemente se usa el numeral '#' como elemento para comentar o no.

CODIGO:
########## Begin - Joomla! core SEF Section.
##  Use this section if using ONLY Joomla! core SEF
##  ALL (RewriteCond) lines in this section are only required if you actually
##  have directories named 'content' or 'component' on your server
##  If you do not have directories with these names, comment them out.
##########
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
#RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
RewriteCond %{REQUEST_URI} (/|\.htm|\.php|\.html|/[^.]*)$  [NC]
RewriteRule ^(content/|component/) index.php
#
########## End - Joomla! core SEF Section

**** en caso de url friendly de terceros

########## Begin - 3rd Party SEF Section
## Use this section if you are using a 3rd party (Non Joomla! core) SEF extension - e.g. OpenSEF, 404_SEF, 404SEFx, SEF Advance, etc
#
#RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
#RewriteCond %{REQUEST_URI} (/|\.htm|\.php|\.html|/[^.]*)$  [NC]
#RewriteCond %{REQUEST_FILENAME} !-f
#RewriteCond %{REQUEST_FILENAME} !-d
#RewriteRule (.*) index.php
#
########## End - 3rd Party SEF Section

4.- Estas las llame mis reglas y te protege de librerías capaces de fomentar el uso de exploits y otros métodos. Este es una de las protecciones que active. Puedes copiar y pegar según tu gusto:

### Reglas de protección avizquel ###
RewriteCond %{THE_REQUEST} cmd=cd [NC]
RewriteCond %{THE_REQUEST} perl
RewriteRule ^(.*)$ http://tu_dirección_ip/ [R=301,L]

SetEnvIfNoCase User-Agent "^libwww-perl" no_perl
SetEnvIfNoCase User-Agent "^wget" no_wget


  Order Allow,Deny
  Allow from all
  Deny from env=no_perl
  Deny from env=no_wget


# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a tag in URL
RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]

### Fin de las reglas ###

Aquí concluye la primera protección....

SEGUNDA PARTE

En las carpetas de tu servidor (en linux) puede usar el .htaccess para autentificar una clave. Puedes usar autentificación contra tu LDAP con las librerías adecuadas de tu php o mucho más sencillo, crea un archivo con la clave de tu usuario en el servidor encriptado con el Crypt de linux (hay páginas en internet que lo hacen por ti). Ejemplo: usuario es poderoso y clave QuErY@123987_l017 que encriptada según el método puede darte símbolos aún mas extraños como \8yfewf$#%)"#"#$% (sería tu clave encriptada).

Este archivo debe estar escrito de la siguiente manera:
poderoso:\8yfewf$#%)"#"#$%

Lo puedes llamar .clavedeentrada y lo guardas fuera de tu sitio público en donde sea que el usuario poderoso pueda escribir pero siempre cuidando que sea fuera del sitio público "/var/www/como_se_llame_tu_sitio" (por encima de www).

Luego creas el .htacces en la carpeta que quieras proteger... Ejemplo la de ADMINISTRATOR... Cómo?... de la siguiente manera.

Escribe en tu .htaccess de la carpeta administrator la siguientes líneas:
###
AuthUserFile /tmp/trata_si_puedes/.clavedeentrada
AuthName "Autentificación"
AuthType Basic
require user poderoso
###

De ésta manera solo el usuario poderoso podrá acceder a esa página desde una URL.

Espero haber sido lo suficientemente claro....

En cuanto a lo segundo no me aventuro a dar mucha información ya que hay gente que podría usar los sniffer de forma maliciosa. En el mucndo hacker hay mucha información y en verdad no comparto ese pensamiento de destruir para posicionar que tienen mucho de los hackers a nivel nacional y esta información es pública.

Cualquier cosa estamos a la orden.

Atte,

Alex





[/quote]

[bt-t]

Avizquel muchisimas gracias por los consejos. Hay un hacker metido en la web de uno de mis clientes que me esta amargando la vida... aun no he podido solucionarlo pero tus consejos me estan siendo de granayuda... la verdad es que no se como lo hacen pero entrab en donde menos te lo esperan y te dificultan muchisimo el trabajo. Gracias de verdad por tus posts, haces que el foro se mantenga interesante.

Un saludo :-)

[NTIC]

Sin duda alguna muy buena e interesante información la que has publicado avizquel. Te aseguro que llevo cerca de 3 semanas (no totales) empezando a trabajar y conocer Joomla, y no he visto ni un sólo post incluso oficial, en el que se detalle de forma tan simple y clara un punto clave de la vulnerabilidad de Joomla.

Personalmente a mi, me has ayudado bastante con este comentario y te estoy eternamente agradecido. En otros foros abunda ver cafres que van a su egoismo preguntando de forma compulsiva, y una vez que obtienen ayuda no tienen ni tan siquiera la conciencia y amabilidad de dar simplemente las gracias.

Si se crean publicaciones "Sticky" en esta comunidad, tu post sin duda alguna lo merece.

Gracias nuevamente por compartir tu conocimiento y experiencia.

Un saludo.

[electrorama]

Saludos amigos de la comunidad Joomla...

Mi nombre es Alexander y trabajo para una empresa pública en Venezuela. Alguien por motivos políticos o de otra índole se ha estado dando a la tarea de hackearme mi sitio joomla. He probado con mil cosas distintas, estableciendo regulaciones en el php.ini y en las configuraciones del Apache. Mi servidor está en Debian y luego de un mapeo de los puertos a excepción del 80 no los tengo abierto.

Cambie la permisología de todo mi sitio y tan solo el dueño de las carpetas puede modificar y con todo eso el carajo se mete. Cambié las claves del usuario apache y de los demás incluyendo root a claves dificiles de descifrar por sus combinaciones. Tengo actualizado todos mis componentes a la última versión entre ellos Comunity Builder, Zoom Gallery, DocMan, Ext-Calendar. SI HAY UNA LISTA COMPROBADA DE COMPONENTES INSEGUROS O EXPERIENCIAS EN ÉSTE SENTIDO POR FAVOR INFORMARME DE ELLOS.

Cualquier ayuda es bien recibida, por mi parte haré otras consideraciones como montar el mod_security en apache y otras CONSIDERACIONES ADICIONALES.

Saludos y espero su colaboración.

Atte,

Alex

Hola tengo un par de direcciones con instrucciones muy efectivas, y a la que le debes agregar una de seguimiento a través de las últimas 300 visitas para tratar de dar con la IP o el rango IP desde donde te están atacando para degar la entrada. Lee muy bien estos enlaces:

http://ayuda.joomlaspanish.org/content/view/212/94/
http://forum.joomla.org/viewtopic.php?f=432&t=391251

Ojalá te sirva...

Saludos!