¿me han hackeado la web?

elijo_otro · #1 (**permalink**) 03/05/2009, 12:56

Hola, pues bueno, os cuento, me he metido hoy en mi web (hecha con joomla) y me ha salido el aviso del avast de que intenta meterme un troyano, concretamente este: JS:Redirector-H [Trj].
Y bueno, no tenía ninguna copia de seguridad reciente...pero es que es mas, cuando he intentado meterme via ftp, me habían cambiado la contraseña...le tube que poner una nueva y ya pude entrar, he leido por ahi, y parece ser que ha pasado a mas gente, peeeeeeeero claro, si ahora me bajo los archivos resulta que estan infectados, y no para de saltar el antivirus.

¿la solución? Hablar con el hosting para que restauren una copia de seguridad anterior, pero digo yo, ¿como evito que vuelva a suceder?

Un saludo.

Kristhoff · #2 (**permalink**) 03/05/2009, 13:20

Con que tipo de permisos tenias tus archivos?
al terminar la instalacion y configuracion del sitioi lo mejor es cambiar los permisos a restringir todo.

elijo_otro · #3 (**permalink**) 03/05/2009, 13:34

puff, pues estaban con permiso de ejecución seguro, para instalar nuevas cosas joomla, como menus y eso...alguna solución a parte de la de restaurar copia de seguridad??

Un saludo, y gracias.

Kristhoff · #4 (**permalink**) 03/05/2009, 13:39

Ya viste la integridad de tu base de datos?
creo que si aun esta bien la DB puedes crear un backup de esta y luego solo reinstalas usando comandos sql para reusar los datos anteriores, esto en el menu de instalacion de joomla. Los componentes, modulos o plug ins que hayas tenido te toca volverlos a subir pero con la info de la db deberian quedar configurados.

elijo_otro · #5 (**permalink**) 03/05/2009, 13:42

siiii!! que gran idea, esa no la había tenido!! la base de datos parece estar bien!! =) Voy a bajarla YA xD y a probar eso que comentas!! =)

Saludos.

Kristhoff · #6 (**permalink**) 03/05/2009, 13:43

ok te deseo suert, cualquier cosa posteas.

elijo_otro · #7 (**permalink**) 03/05/2009, 13:57

vaya hombre, como tenía instalado el swMenuFree, pues me da error al instalar puesto que no viene este complemento instalado con el joomla original...mmmm a ver si lo soluciono de algún modo. No hay alguna forma de importar los datos despues de instalado joomla??

salu2.

Bueno, estoy limpiandolo a mano, y poquito a poco va la cosa para adelante...entonces, ¿como evito que vuelva a suceder?

bueno, me doi por tonto, he limpiado todos los .html y .js, pero hay archivos .php infectaos que no sabe el antivirus que lo estan...asi que a ver como wevos los arreglo...voy quitandolo de todos los que veo, pero uno por uno...es imposible no saltarse alguno.

GikaJavi · #8 (**permalink**) 04/05/2009, 12:37

Hola, me ha ocurrido lo mismo recientemente, pero en un portal que no usa joomla. En mi caso, no sé si ayudará, el portal se infectó vía FTP. Lo he podido comprobar analizando los logs de transferencia y conexión del servidor (que en este caso es dedicado y tengo acceso total). Aparecía una IP cuya resolución inversa apuntaba a cierto dominio en Hugría. Según creo, algún proceso, probablemente automatizado, habría descubierto la contraseña de FTP (que era relativamente débil) y habría procedido a descargar buena parte de los ficheros htm, html, js, php e incluso algunos cgi de perl, para acto seguido inyectar el códio PHP y JS malicioso de este troyano y subirlos de nuevo por FTP. En mi caso, la solución pasa por limpiar todo el código y utilizar una clave de FTP más robusta que deberá cambiarse periódicamente. Una buena medida también puede ser restringir el acceso por FTP, aunque en mi caso particular eso no es posible.

Saludos

Kristhoff · #9 (**permalink**) 04/05/2009, 12:41

Hola, vas por buen camino he?
pues por seguridad comparto con GikaJavi lo de una buena contraseña, tanto en tu base de datos, ftp, smtp (si lo usas) y en el escritorio del server. Ademas no esta de mas recordar los permisos de los archivos dentro del server asi podras estar un poco mas seguro, aunque en este mundo no hay nada seguro.

elijo_otro · #10 (**permalink**) 04/05/2009, 13:24

pufff no consigo desinfectarlo del todooo, como os comento los .html y .js si que los he limpiado (o eso creo) ya que el antivirus los detectaba e ido uno por uno quitando el código raro, pero es que con los php no puedo, hay millonees, y estan infectados "aleatoriamente" con que a poco que me deje uno ya me salta el avasta al intentar acceder a la web...que desesperación!!! :(

Saludos, y gracias por la ayuda, ya he puesto una 2323m_ee54sds54ac__on98traseñas

GikaJavi · #11 (**permalink**) 04/05/2009, 13:44

Te recomiendo que crees un script (de PHP por ejemplo) que recorra el árbol de carpetas recursivamente y abra los archivos .php. Entonces Buscas la cadena inyectada (que creo que es siempre la misma. Si no, seguro que puedes utilizar preg (o ereg)) y la reemplazas por cadena vacía para luego volcar de nuevo el archivo a disco. Asegúrate de que el usuario que ejecuta el apache puede modificar estos archivos (si no, cambias los permisos por ftp o el método que utilices para subirlos). Antes de hacer todo esto es recomendable que hagas una copia de respaldo de la web entera. Todo esto, claro, si no te supone mucho problema reinstalar el joomla completamente.

Por otra parte, si tienes acceso al log del ftp estaría bien que analizarás si ha habido movimientos en los archivos de esta web, para ver si la intrusión ha venido también por aquí como en mi caso. Por supuesto, todo lo dicho acerca de mantener joomla y los plugins actualizados resulta de máxima importancia.

elijo_otro · #12 (**permalink**) 04/05/2009, 14:07

sip, voy a probar lo del script a ver...un abrazo!

dios, son tantos los archivos que todos los editores se bloquean y no dan para abrir mas!!! xDD

GikaJavi · #13 (**permalink**) 04/05/2009, 15:02

¿De qué editores hablas?

Yo me refería a que crearas un script parecido a éste:

Código PHP:

  <?php

define(CAD_INYECTADA, '<la_cadena_maliciosa_inyectada');

function desinfectar_dir($dir) {
    if (is_dir($dir)) {
        chdir($dir);
        $gd = opendir($dir);
        while (($archivo = readdir($gd)) !== false) {            
            if (is_dir(getcwd().'/'.$archivo)) {
                if ($archivo != '.' && $archivo != '..') {
                    desinfectar_dir(getcwd().'/'.$archivo);
                }
            }                
            else {
                if (ereg(".php", $archivo)) {
                    $contenido = file_get_contents($archivo);
                    if (ereg(CAD_INYECTADA, $contenido)) {
                        $contenido = str_ireplace(CAD_INYECTADA, '', $contenido);
                        file_put_contents($archivo, $contenido);
                        echo "Archivo desinfectado: " . getcwd() . '/' . $archivo . "<br/>";
                    }                        
                }
            }
        }
        closedir($gd);
    }
}

desinfectar_dir($_SERVER['DOCUMENT_ROOT']);

?>

Lo subieras al servidor y lo ejecutaras desde un navegador. Cuidado, porque no lo he probado y puede que algo no sea correcto. Estoy suponiendo que los scripts PHP infectados contienen ".php" en alguna parte de su nombre. Además, como ya hemos comentado, el usuario que ejecuta el servidor web (posiblemente apache) debe tener permiso de escritura sobre tale archivos. No olvides hacer una copia de seguridad antes de intentarlo!. Suerte...

elijo_otro · #14 (**permalink**) 04/05/2009, 15:41

aaaaah vale vale, entendí mal, yo es que lo estoy arreglando en local, y lo que hacia era abrir todos los php, para posteiormente usar la opcion "buscar y reemplazar", voy a probar algo parecido a lo que tu dices a ver.

Un saludo y gracias de nuevo!

elijo_otro · #15 (**permalink**) 11/05/2009, 09:32

hola de nuevo, al final conseguí limpiar todos los archivos, en parte, gracias a vuestras ideas, así que lo primero es dar las gracias!! =)

Kristhoff · #16 (**permalink**) 11/05/2009, 11:52

Bien pues felicitaciones, en http://extensions.joomla.org encontraras algunos componentes antitroyanos, personalemtne no los he probado pero me surge la duda para evitar casos como el tuyo.

elijo_otro · #17 (**permalink**) 11/05/2009, 13:22

Pues si, algo hay que hacer...aparte de sacar una copia de seguridad cada vez que se haga algún cambio, cambiar los permisos de escritura, y poner una tocho35contra53seña22enorme para evitar tonterias. Voy a informarme sobre el tema.

Un saludo, y gracias de nuevo a todos.