Atacado por turcos

Esta sexta-feira acordei com uma notícia interessante: um dos sítios que mantenho “estava esquisito e não entrava”.

Pois bem, fui alvo de um ataque por parte de um grupo de activistas turco que se aproveitou de uma falha qualquer minha ou do Joomla para atacar o servidor e substituir a página principal.

Veloprof atacado

Ao que percebi, foi usado um método qualquer de “PHP Injection”, ou seja, conseguiram alterar o código PHP e através de um Script alteraram depois o index.php da página. Para já, limitei-me  mudar as palavras-passe e a fazer pequenas validações, mas não estou descansado.. Alguém já passou pelo mesmo?

, ,

6 comentários no artigo Atacado por turcos

  1. Nuno Job 15 Dezembro, 2008 at 3:18 #

    o google lancou um security guideline para web apps. mas encontras bue cena por ai sobre o assunto. talves passe a ser um foco de interesse novo para ti que te traga oportunidades futuras em termos profissionais 🙂

  2. Marco Rodrigues 15 Dezembro, 2008 at 11:34 #

    Convem ver se tens a máquina actualizada, o PHP, o MySQL, o Apache, o Joomla, … e por aí fora.

  3. Edgar 15 Dezembro, 2008 at 12:31 #

    Apesar de ter alguns sites a correr com joomla, nunca me aconteceu tal situação (Felizmente). Habitualmente consulto o forum oficial do joomla e verifico novos hacks e vulnerabilidades em algumas extensões.

    Tenta consultar isto e comparar com os componentes que usas, http://docs.joomla.org/Vulnerable_Extensions_List

    A lista de tópicos de pessoal que foi hackado nos últimos dias é enorme, alguns portugueses por acaso, http://forum.joomla.org/viewforum.php?f=432&sid=724f9fa782892a9db16acb7b1ce25f7f

    Por ultimo verifica se tas a correr a ultima versão do joomla, dado que foram encontrados alguns bugs de segurança numa das ultimas versões.

    Cumps

  4. Luís Miguel Silva 15 Dezembro, 2008 at 17:04 #

    Ve os logs e procura por ips fora de Portugal (naquela altura).

    Dai deverás conseguir identificar que paginas foram utilizadas para o deface.

    Hugz,
    Luís

  5. Ricardo Moreira de Carvalho 15 Dezembro, 2008 at 23:29 #

    Obrigado a todos pelas dicas 😉 Vou investigar sobre o assunto. (Entretanto vou fazendo backups diários!)

    Abraços,
    Ricardo

  6. Rui 17 Dezembro, 2008 at 13:16 #

    Já tive esse problema num site que mantinha em Joomla.
    O problema certamente é de uma extension que utilizas. Se tiveres os logs do dia consegues facilmente descobrir a porta de entrada.
    Normalmente não estragam nada, apenas mudam a página inicial, basta repor o index.php.
    Descobrires a extension é importante senão o problema vai se repetir várias vezes.

Deixe uma resposta

Escreva apenas comentários relacionados com este artigo.
Isto ajudará a manter os artigos organizados. Obrigado!

This site uses Akismet to reduce spam. Learn how your comment data is processed.