Gplavui

facebook linkedin  

Pharma hack on Joomla

Hola,

No se si alguno ha tenido problemas con las metadescriptions de vuestras webs en Google.

Alli donde deberia haber vuestro contenido estan anunciados Cialis, Viagra, etc..

Si es asi.. probablemente habeis sufrido una inserción de código. Os daremos unas directrices para eliminarlo, pero no sin antes decir que ---

.. es un infierno !!!

Se puede eliminar, pero es realmente complicado y lento.

por otro lado, la mayoria de la gente tiene sus webs en servidores compartidos, ya que no tiene mucho sentido pagar un servidor dedicado para una sola web, por lo que no servira de nada limpiar una web si no se limpian absolutamente todas las del servidor donde esta alojada la web.

Normalmente entran por componentes o módulos que permiten comentarios o bien por una mala gestión de seguridad.

Bueno al tema..

Si tenemos un backup de hace tiempo y que no esta infectado y nos sirve .., es decir no ha habido muchos cambios, pues es la mejor opción.

Si no tenemos que buscar por el código las lineas insertadas. Estas normalmente estan ofuscadas, asi que hay que buscar por :

  • eval(base64_decode
  • eval(gzinflate(base64_decode(
  • eval(base64_decode(rawurldecod
  • 'ba'.'se6'.'4_dec'.'ode';eval(
  • base64_decode
  • eval(gzuncompress(base64_decode(
  • eval(gzinflate(str_rot13(base64_decode(

Como lo hacemos?

grep -r 'base64_decode' * > resultado.txt

Probablemente encontraremos código con este aspecto:

libraries/joomla/session/phpcache.php:<?php eval(base64_decode(rawurldecode('JHNob2dvID0gMTsKLy9raWtpawovL3JlCmVycm.....

....'))); ?>

Acostumbran a ser lineas larguisimas.

En el caso de que veamos que todo el archivo es el que contiene la linea, es decir un archivo de una sola linea:

debemos borrar el archivo y debemos borrar el include a ese archivo, que seguramente estara en includes/defines.php

En el caso de que este una linea insertada en un archivo ya existente, deberemos borrar esa línea.

NOTA1: Es evidente que antes de borrar nada hay que hacer una copia de seguridad, no? :)

 Una vez ya no veais mas archivos de este tipo,

INVESTIGAR

Buscar palabras como Viagra, Cialies,

Repasar los archivos 

includes/defines.php, /configuration.php, index.php, index2.php,

changelog.php, LICENSES.php, gdform.php, framework.php, y credits.php

tmp/thumbs.php, cache/thumbs.php, images/stories/thumbs.php, logs/thumbs.php, plugins/system/ping.php

SEGURIDAD:

Hay muchisimos turoriales de seguridad, pasos, etc .. Seguro que si los seguis mejor .. pero

pero lo mínimo que deberiais tener es esto:

find . -type f -exec chmod 644 {} \;
find . -type d -exec chmod 755 {} \;
chmod 444 configuration.php;
chown -R wwwrun.www *; // En el caso de que funcione bajo el usuario apache

NOTA2: Haced backups !

Por último, a través de Webmaster tools, pedir a Google que os reindexe !

SUERTE ..

Comentarios (0)

500 caracteres restantes

Cancel or

Está aquí: Home Blog Pharma hack on Joomla