Bienvenido, Invitado
Nombre de Usuario: Contraseña:
  • Página:
  • 1
  • 2

TEMA: ayuda con pagina que cada cierto tiempo la botan!

ayuda con pagina que cada cierto tiempo la botan! 5 años 1 mes antes #5851

  • hagencito
  • Avatar de hagencito
  • Fuera de línea
  • Junior Boarder
  • Mensajes: 37
  • Gracias recibidas 1
  • Karma: 0
Primero que nada saludar a la comunidad joomla.cl hace tiempo que no entraba al foro, paso a detallarles el problema que tengo con una pagina que hice hace un tiempo.

la pagina es www.munipuqueldon.cl seguí todos los pasos de seguridad del htacces, los permisos de las carpetas en el ftp e instalar componentes - módulos - plugins en su ultima versión.. funciono bien por unos meses ningún problema.. hasta que empezaron a hackearmela en abril de este año y han seguido haciéndolo constantemente, por ejemplo pasan 1 o 2 meses y la botan ponen mensaje típico " hacked by ..... siempre son como del medio oriente nose, tunez, libia, etc o nombres ".

ZCompany Hacking Crew
www.facebook.com/ZCompany.Hacking.Crew.ZHC ----> estos son jeje me tienen chato

asi que le pido al hosting que me suban un respaldo y he safodo de estos últimos ataques pero esa no es la gracia.. por ejemplo este lunes borraron los 2 admin del joomla e hicieron uno nuevo.. asi que tuve que entrar al phpadmin y cambiar la password.

hoy en la mañana me di cuenta y tira el siguiente error :

Parse error: syntax error, unexpected '>' in /home/msegovia/public_html/index.php on line 1

entre al ftp y revise el index.php y lo modificaron..

tambien encontre 2 carpetas nuevas una con el nombre de un numero 1 la cual tenia un archivo php
llamado configs3.php y otra llamada r00t.. (estos archivos los adjunte en un .rar para que los vean)

viendo los tutoriales de seguridad esta la inyeccion sql por medio de componente o modulos no actualizado revise el error_log y ahi me salen errores continuos justo desde la fecha que empezaron a botar la web mas seguido onda desde abril a la fecha.

asi que elimine el componente jomtube, foro kunena y un sw menupro que ya no usaba que estaban instalados pensando que por ahi entraron inyectaron algun shell que les de acceso a modificarme los datos y botarme la pagina cuando quieran.

ahora aplique el parche de seguridad de 1.5.23 al 1.5.24 y estoy esperando en un rato mas que me suban un respaldo para que vuelva la pagina... pero no se si me seguiran botando la pagina, etc. que otras medidas podría tomar si alguien podría hecharle un vistazo no tengo ningún problema para ver por donde estoy fallando con esto que ya me tiene con canas verdes cada cierto tiempo.

en un rar subí todos los archivos index,error_log,etc. y las 2 carpetas raras que aparecieron hace poco.

www.megaupload.com/?d=0MWFQEXS <
archivos, tuve que subirlos ahi

estaría muy agradecido por cualquier ayuda.. de antemano muchas gracias.

Saludos
Última Edición: 5 años 1 mes antes por hagencito.
El administrador ha desactivado la escritura pública.

Re: ayuda con pagina que cada cierto tiempo la botan! 5 años 1 mes antes #5863

  • willin
  • Avatar de willin
  • Fuera de línea
  • Administrator
  • Cuidado! Ya no estoy solo...
  • Mensajes: 1897
  • Gracias recibidas 44
  • Karma: 67
Hola hagencito!

Colega, tanto tiempo sin verlo por estos lados, que alegría que esté de vuelta :)

Curioso lo que nos comentas, no estamos muy acostumbrados a saber de ese tipo de ataques... Te comento que en Joomla! tenemos un listado de Extensiones que presentan Vulnerabilidades, dería importante que la vieras y revisaras, puedes acceder directamente desde este link.

Ahora bien... Tratándose de ataques tan reiterativos me surgen algunas dudas... Está tu hosting realmente preparado para soportar sitios Joomla!?, en realidad ni siquiera Joomla!, sino que son medidas que aplican generalmente a todos los CMS.

Otra pregunta que debo hacer... Son todas las extensiones originales? eso incluye Artisteer por supuesto ;)

Eso te lo pregunto, pues el archivo que nos adjuntaste a través de megaupload tiene más comportamiento de troyano que de otra cosa...

Por último... Joomla! al igual que todos los cms está lleno de huellas digitales, es decir, rastros que lo identifican como tal, generalmente tratamos de eliminarlos, pero aún así algunas cosas se escapan, tu sitio en abril fue identificado como Joomla! a través del template beez, de esa forma, identificado el cms se procede al ataque... Eso no quiere decir que sea el template vulnerable, sino que al estar ahí, es una huella digital que permite identificar al sitio como Joomla! propiamente tal...

Luego, revisar la lista de extensiones vulnerables, chequear que no tengamos ninguna instalada que esté en esa lista... Bloquear siempre el acceso a la carpeta administrator, utilizar solo extensiones originales y eliminar aquellas huellas digitales que están pero no usamos, como por ejemplo, el template Beez.

Ahora bien... Si tu sitio definitivamente tiene algún archivo infectado, existe una solución un poco radical que debiera funcionar... Toda tu info está en la base de datos y se supone que como buen usuario de Joomla! has siempre utilizado los template overrides para las modificaciones en lugar de meterle mano directamente al código, estoy en lo cierto, si? ;)

Entonces, de ser así, te recomiendo hacer un respaldo por si acaso el proceso falla y luego... Descargar la última versión de Joomla!, en caso, la 1.5.24 y descomprimirla, eliminas el htaccss.txt y la carpeta installation y subes todo al root de tu Joomla!, de esa forma sobreescribirás y reemplazarás todas las carpetas y ficheros que puedan estar alterados por carpetas y ficheros limpios de una instalación nueva.

Como te señalo, es una medida un tanto radical, te recomendaría encarecidamente que lo hagas primero en local y pruebes todos los posibles errores y los vamos comentando en el foro, de esa forma, cuando tengas certeza que el proceso funciona correctamente y teniendo respaldado tu sitio por cualquier eventualidad, realizamos la operación.

Atento a tus comentarios, recibe un cordial saludo,
Guillermo Bravo
Administrador
Foro Joomla Chile
El administrador ha desactivado la escritura pública.




Re: ayuda con pagina que cada cierto tiempo la botan! 5 años 1 mes antes #5870

  • AvatarNeo
  • Avatar de AvatarNeo
  • Fuera de línea
  • Senior Boarder
  • Mensajes: 57
  • Karma: 0
es delicado el tema .... creo que si ya te tiene de casero el hack no lo estan aciendo por joomla ... pueden tener un bot instalado o tiene access al las bd ...

mira alomejor no es la mejor forma pero te recomiendo acer una auditoria completa al server .. chequeo de estructura y las bd

cualkier duda contactanos vere si puedo contactarme con alguien de ese team para ver de ke forma esta aciendo los atakes
El administrador ha desactivado la escritura pública.




Re: ayuda con pagina que cada cierto tiempo la botan! 5 años 1 mes antes #5874

  • hagencito
  • Avatar de hagencito
  • Fuera de línea
  • Junior Boarder
  • Mensajes: 37
  • Gracias recibidas 1
  • Karma: 0
:( jeje duro 2 días el respaldo que subieron y la volvieron a botar... www.munipuqueldon.cl/ H4CK3D BY 3N3A 1NJ3CT10N ~~ Fuck Serbia , Grecce and Russia

hola willin, si el template lo cree en artisteer 3 el cual lo baje de chilecomparte, tengo creada otra pagina y aplique templates hechos con artisteer y no he tenido problemas.. y en el mismo hosting

entre al ftp y me fije en templates en la carpeta beez y claro ahí están varios archivos raros

adjunto la carpeta entera la subí para que puedan observarla..
www.megaupload.com/?d=CMAL1OGS

acá están los archivos que tengo en componente modulo plugin y public html

i195.photobucket.com/albums/z14/Hagencmg_2007/public_html.jpg

i195.photobucket.com/albums/z14/Hagencmg_2007/componentes.jpg

i195.photobucket.com/albums/z14/Hagencmg_2007/modulos.jpg

i195.photobucket.com/albums/z14/Hagencmg_2007/plugins1.jpg

i195.photobucket.com/albums/z14/Hagencmg_2007/plugins2.jpg

igual penca la situación porque cuando uno crea pagina son como hijos, que aunque uno los deje de lado por tiempo.. por ejemplo acá a mi no me pagan ningún peso ya que no doy soporte a esta municipalidad solo la hice hace unos años y a principio de este año actualice el template y algunos detalles.. siempre he tratado de seguir todas las guías y tips.. primera vez que me pasa esto.

pero como uno no quiere perder prestigio o perder futuros clientes tengo que tratar de poder solucionar esto que esta afectando a este sitio.. al final todo lo que uno hace anexo ni lo valoran.. solo personas como ustedes que ven y ayudan a principiantes en esto del armado de web..
por eso les vuelvo agradecer su ayuda.-

en caso que alguien quisiera entrar al ftp y hecharle un vistazo para ver donde esta fallando que por lo visto inyectaron algo y esto les da acceso a que boten y cambien pass etc.. me dice nomas y vía msn Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. podría darle acceso..

por el momento volveré a pedir que suban un respaldo y que me revisen la seguridad en el hosting.. también haré un respaldo para mi por si acaso pasa algo mas grave..

saludos y gracias :)
El administrador ha desactivado la escritura pública.

Re: ayuda con pagina que cada cierto tiempo la botan! 5 años 1 mes antes #5876

  • willin
  • Avatar de willin
  • Fuera de línea
  • Administrator
  • Cuidado! Ya no estoy solo...
  • Mensajes: 1897
  • Gracias recibidas 44
  • Karma: 67
Hola Hagencito!

Colega, ya te tienen de casero, desde tu gestor de extensiones desinstala todos los templates que no estés usando y luego, desde tu ftp, borra toda la basura que te haya quedado en las carpetas de esos templates, incluyendo la carpeta misma.

Hazme caso con la sugerencia que te dí, es una solución que viene de muy buena mano, específicamente de Claire Mandeville y ella es realmente entendida en el tema, por lo que su tip es más que recomendable.

Por último, de acuerdo a experiencias de otros usuarios, cuidado con esa copia del artisteer, hay una versión que está circulando que trae los troyanos por defecto... Desarrollas el template, lo instalas y listo, template + troyano en el acto.

Atento a tus comentarios, recibe un cordial saludo,
Guillermo Bravo
Administrador
Foro Joomla Chile
El administrador ha desactivado la escritura pública.

Re: ayuda con pagina que cada cierto tiempo la botan! 5 años 1 mes antes #5898

  • anita04
  • Avatar de anita04
  • Fuera de línea
  • Expert Boarder
  • Mensajes: 81
  • Gracias recibidas 8
  • Karma: 3
Hagencito, si bien acá fomentan los productos que son gratuitos.. te recomiendo que bajes e inviertas en Rsfirewall. Yo tenía tu mismo problema, y con este programa se me desaparecieron los ataque.
Si tienes muchos sitios, compra la licencia de multisitio.. y listo.

saludos!
El administrador ha desactivado la escritura pública.
  • Página:
  • 1
  • 2
Moderadores: FeDoo, willin
Tiempo de carga de la página: 0.233 segundos
Gracias a Foro Kunena