Esta sexta-feira acordei com uma notícia interessante: um dos sítios que mantenho “estava esquisito e não entrava”.
Pois bem, fui alvo de um ataque por parte de um grupo de activistas turco que se aproveitou de uma falha qualquer minha ou do Joomla para atacar o servidor e substituir a página principal.
Ao que percebi, foi usado um método qualquer de “PHP Injection”, ou seja, conseguiram alterar o código PHP e através de um Script alteraram depois o index.php da página. Para já, limitei-me mudar as palavras-passe e a fazer pequenas validações, mas não estou descansado.. Alguém já passou pelo mesmo?
o google lancou um security guideline para web apps. mas encontras bue cena por ai sobre o assunto. talves passe a ser um foco de interesse novo para ti que te traga oportunidades futuras em termos profissionais 🙂
Convem ver se tens a máquina actualizada, o PHP, o MySQL, o Apache, o Joomla, … e por aí fora.
Apesar de ter alguns sites a correr com joomla, nunca me aconteceu tal situação (Felizmente). Habitualmente consulto o forum oficial do joomla e verifico novos hacks e vulnerabilidades em algumas extensões.
Tenta consultar isto e comparar com os componentes que usas, http://docs.joomla.org/Vulnerable_Extensions_List
A lista de tópicos de pessoal que foi hackado nos últimos dias é enorme, alguns portugueses por acaso, http://forum.joomla.org/viewforum.php?f=432&sid=724f9fa782892a9db16acb7b1ce25f7f
Por ultimo verifica se tas a correr a ultima versão do joomla, dado que foram encontrados alguns bugs de segurança numa das ultimas versões.
Cumps
Ve os logs e procura por ips fora de Portugal (naquela altura).
Dai deverás conseguir identificar que paginas foram utilizadas para o deface.
Hugz,
Luís
Obrigado a todos pelas dicas 😉 Vou investigar sobre o assunto. (Entretanto vou fazendo backups diários!)
Abraços,
Ricardo
Já tive esse problema num site que mantinha em Joomla.
O problema certamente é de uma extension que utilizas. Se tiveres os logs do dia consegues facilmente descobrir a porta de entrada.
Normalmente não estragam nada, apenas mudam a página inicial, basta repor o index.php.
Descobrires a extension é importante senão o problema vai se repetir várias vezes.