1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Meu portal "hackado"

Discussão em 'Web Development' iniciada por nipnip, 1 de Janeiro de 2008. (Respostas: 19; Visualizações: 10579)

  1. nipnip

    nipnip Power Member

    ora bem eu tenho/tinha um pequeno portal com cerca de 200 users registados... nada de extraordinário portanto
    ora qual não é a minha admiração quando de um momento para o outro fico sem conseguir fazer login...
    entretanto a net cai e como eu tava a cair de sono fui dormir... ora quando acordo deparo-me com isto
    de qualquer modo eu estava a pensar deixar o joomla e mudar-me para outra plataforma e isto provavelmente só me vai dar o empurrãozinho que faltava... mas já agora se alguém tivesse alguma ideia gostava de perceber como poderia colocar o portal na normalidade (instalação nova com a base de dados já existente?) e claro mais importante que isto como evitar estas situações no futuro...
     
  2. fr0st

    fr0st Power Member

    Deve-te ter feito sql injection e a partir daí tirar os dados que quiser.
    Solução? Tenta repor o backup q tenhas, e actualiza todo o software, base de dados, apache...
     
  3. Sumerset

    Sumerset Power Member

    Se foi por sql injection o melhor a fazer é colocares algo a verificar as querys do site feitas pelo user... Algo do estilo o server a com codigo ajax do lado do server a verificar.
     
  4. nipnip

    nipnip Power Member

    pergunta talvez estúpida... estando o joomla em bridge com SMF não afectaria as duas plataformas caso houvesse alterações na base de dados?
     
  5. SuperTostaEmPo

    SuperTostaEmPo What is folding?

    concordo plenamente com o fr0st muitas vezes é por falta de manutenção da parte do administrador que isto acontece.

    procura fazer update e se existe algum patch a parte para evitar isso.
     
  6. nipnip

    nipnip Power Member

    eu faço sempre as actualizações de segurança quer do SMF quer do joomla...
    o alojamento é partilhado e já tratei de enviar mail a Godaddy para que averiguem o que se passou ao que me responderam que o caso estava entregue ao departamento técnico e que em breve me informavam
     
  7. spastikman

    spastikman Banido

    usavas extensões do joomla ?

    Ultimas falhas conhecidas para joomla:

    Joomla Component mosDirectory 2.3.2 Remote File Inclusion Vuln
    Mambo/Joomla Component rsgallery <= 2.0b5 (catid) SQL Injection Vuln
    Joomla Component JUser 1.0.14 Remote File Inclusion Vulnerability
    Joomla Component Carousel Flash Image Gallery RFI Vulnerability
    Joomla Component com_colorlab 1.0 Remote File Inclusion Vulnerability
    Joomla Flash uploader 2.5.1 Remote File Inclusion Vulnerabilities
    Joomla Component JContentSubscription 1.5.8 Multiple RFI Vulns
    Joomla Component MP3 Allopass 1.0 Remote File Inclusion Vulnerability
    Joomla component MOSMediaLite451 Remote File Inclusion Vulnerability
    Joomla Component wmtportfolio 1.0 Remote File Inclusion Vulnerability
    Joomla Flash Image Gallery Component RFI Vulnerability
     
    Última edição: 1 de Janeiro de 2008
  8. Santo38

    Santo38 Power Member

    Dúvido que tenha sido SQL injection.. Parece mais acesso e upload de ficheiro... O index.php foi modificado apenas.. Eu diria falha de segurança ou a nivel do host ou a nivel do Joomla.. Pega nos logs e verifica o que aconteceu. Pede ajuda ao teu HSP para tentar detectar como entraram.

    Saudações
     
  9. fr0st

    fr0st Power Member

    Eu continuo com a minha opinião. Talvez talvez.
     
  10. nipnip

    nipnip Power Member

    não usava nenhuma dessas extensões para o joomla...
    de qualquer modo a goddady diz que a minha base de dados parece estar comprometida desde maio deste ano...

    a resposta deles completa foi:
    "[FONT=&quot]You contacted us regarding an inquiry as to how your hosting account, therostrum.net, was compromised. It appears that your hosting account has a vulnerable index page that an attacker exploited to upload malicious files to the site. It also appears that your MySQL database has been compromised since 7/5/07. Due to the nature of this compromise, we strongly advise you to re-upload your website content, and remove any unwanted Registered and Super Administrator account from your MySQL database.
    "

    enviei mail a pedir mais esclarecimentos... é que definitivamente não tenho nenhum membro registado (muito menos como super administrador) na base de dados e tb não encontro nenhum ficheiro no hosting que não devesse lá estar... ainda não tive tempo para verificar se algum foi alterado (o index.php não foi alterado... está igual ao de "origem" isso foi a primeira coisa que verifiquei)
    [/FONT]
     
  11. spastikman

    spastikman Banido

    pede uma resposta técnica, porque isso da Bd estar "comprometida" e o index.php estar "vulnerável" é demasiado genérico.
     
  12. nipnip

    nipnip Power Member

    foi isso que pedi
     
  13. anjo2

    anjo2 Power Member

    Parece ter a ver com as permissões...
     
  14. spastikman

    spastikman Banido

    Mas isso não é especifico.

    Já se sabe que se tem um index.php com 777 que qualquer user pode alterar o ficheiro. Mas se o ataque foi mesmo externo, não é o facto de ser 777 que afecta a segurança. Teve de ser outra falha.
     
  15. Simao!

    Simao! Power Member

    Entrei agora no site e parece já estar funcional.

    Cumps
     
  16. nipnip

    nipnip Power Member

    sim está... para desenrascar porque depois disto vou mesmo mudar de plataforma...

    contudo continuo a espera de detalhes por parte da godaddy

    PS.: não tenho nenhum index.html... index.php pu afins com 777 tão todos com 644
     
    Última edição: 2 de Janeiro de 2008
  17. anjo2

    anjo2 Power Member

  18. nipnip

    nipnip Power Member

    755

    não tenho nenhuma com 777
     
  19. fr0st

    fr0st Power Member

    Tens que estar sempre,sempre a par, actualizar é a melhor forma de proteger, para não acontecer o mesmo.
     
  20. nipnip

    nipnip Power Member

    o software estava actualizado...
     

Partilhar esta Página