Meu portal "hackado"

N

nipnip

Power Member
ora bem eu tenho/tinha um pequeno portal com cerca de 200 users registados... nada de extraordinário portanto
ora qual não é a minha admiração quando de um momento para o outro fico sem conseguir fazer login...
entretanto a net cai e como eu tava a cair de sono fui dormir... ora quando acordo deparo-me com isto
de qualquer modo eu estava a pensar deixar o joomla e mudar-me para outra plataforma e isto provavelmente só me vai dar o empurrãozinho que faltava... mas já agora se alguém tivesse alguma ideia gostava de perceber como poderia colocar o portal na normalidade (instalação nova com a base de dados já existente?) e claro mais importante que isto como evitar estas situações no futuro...
 
Deve-te ter feito sql injection e a partir daí tirar os dados que quiser.
Solução? Tenta repor o backup q tenhas, e actualiza todo o software, base de dados, apache...
 
Se foi por sql injection o melhor a fazer é colocares algo a verificar as querys do site feitas pelo user... Algo do estilo o server a com codigo ajax do lado do server a verificar.
 
pergunta talvez estúpida... estando o joomla em bridge com SMF não afectaria as duas plataformas caso houvesse alterações na base de dados?
 
fr0st disse:
Deve-te ter feito sql injection e a partir daí tirar os dados que quiser.
Solução? Tenta repor o backup q tenhas, e actualiza todo o software, base de dados, apache...
Clicar para expandir...

concordo plenamente com o fr0st muitas vezes é por falta de manutenção da parte do administrador que isto acontece.

procura fazer update e se existe algum patch a parte para evitar isso.
 
SuperTostaEmPo disse:
concordo plenamente com o fr0st muitas vezes é por falta de manutenção da parte do administrador que isto acontece.

procura fazer update e se existe algum patch a parte para evitar isso.
Clicar para expandir...

eu faço sempre as actualizações de segurança quer do SMF quer do joomla...
o alojamento é partilhado e já tratei de enviar mail a Godaddy para que averiguem o que se passou ao que me responderam que o caso estava entregue ao departamento técnico e que em breve me informavam
 
usavas extensões do joomla ?

Ultimas falhas conhecidas para joomla:

Joomla Component mosDirectory 2.3.2 Remote File Inclusion Vuln
Mambo/Joomla Component rsgallery <= 2.0b5 (catid) SQL Injection Vuln
Joomla Component JUser 1.0.14 Remote File Inclusion Vulnerability
Joomla Component Carousel Flash Image Gallery RFI Vulnerability
Joomla Component com_colorlab 1.0 Remote File Inclusion Vulnerability
Joomla Flash uploader 2.5.1 Remote File Inclusion Vulnerabilities
Joomla Component JContentSubscription 1.5.8 Multiple RFI Vulns
Joomla Component MP3 Allopass 1.0 Remote File Inclusion Vulnerability
Joomla component MOSMediaLite451 Remote File Inclusion Vulnerability
Joomla Component wmtportfolio 1.0 Remote File Inclusion Vulnerability
Joomla Flash Image Gallery Component RFI Vulnerability
 
Última edição:
Dúvido que tenha sido SQL injection.. Parece mais acesso e upload de ficheiro... O index.php foi modificado apenas.. Eu diria falha de segurança ou a nivel do host ou a nivel do Joomla.. Pega nos logs e verifica o que aconteceu. Pede ajuda ao teu HSP para tentar detectar como entraram.

Saudações
 
spastikman disse:
usavas extensões do joomla ?

Ultimas falhas conhecidas para joomla:

Joomla Component mosDirectory 2.3.2 Remote File Inclusion Vuln
Mambo/Joomla Component rsgallery <= 2.0b5 (catid) SQL Injection Vuln
Joomla Component JUser 1.0.14 Remote File Inclusion Vulnerability
Joomla Component Carousel Flash Image Gallery RFI Vulnerability
Joomla Component com_colorlab 1.0 Remote File Inclusion Vulnerability
Joomla Flash uploader 2.5.1 Remote File Inclusion Vulnerabilities
Joomla Component JContentSubscription 1.5.8 Multiple RFI Vulns
Joomla Component MP3 Allopass 1.0 Remote File Inclusion Vulnerability
Joomla component MOSMediaLite451 Remote File Inclusion Vulnerability
Joomla Component wmtportfolio 1.0 Remote File Inclusion Vulnerability
Joomla Flash Image Gallery Component RFI Vulnerability
Clicar para expandir...
Eu continuo com a minha opinião. Talvez talvez.
 
não usava nenhuma dessas extensões para o joomla...
de qualquer modo a goddady diz que a minha base de dados parece estar comprometida desde maio deste ano...

a resposta deles completa foi:
"[FONT=&quot]You contacted us regarding an inquiry as to how your hosting account, therostrum.net, was compromised. It appears that your hosting account has a vulnerable index page that an attacker exploited to upload malicious files to the site. It also appears that your MySQL database has been compromised since 7/5/07. Due to the nature of this compromise, we strongly advise you to re-upload your website content, and remove any unwanted Registered and Super Administrator account from your MySQL database.
"

enviei mail a pedir mais esclarecimentos... é que definitivamente não tenho nenhum membro registado (muito menos como super administrador) na base de dados e tb não encontro nenhum ficheiro no hosting que não devesse lá estar... ainda não tive tempo para verificar se algum foi alterado (o index.php não foi alterado... está igual ao de "origem" isso foi a primeira coisa que verifiquei)
[/FONT]
 
Simao! disse:
Entrei agora no site e parece já estar funcional.

Cumps
Clicar para expandir...

sim está... para desenrascar porque depois disto vou mesmo mudar de plataforma...

contudo continuo a espera de detalhes por parte da godaddy

PS.: não tenho nenhum index.html... index.php pu afins com 777 tão todos com 644
 
Última edição:
Inicie sessão ou registe-se para poder participar.
Back
Topo