INYECCION DE CODIGO HTML

Más
9 años 2 meses antes - 9 años 2 meses antes #544 por Annerneimmume
COM_KUNENA_MESSAGE_CREATED_NEW
Hola chicos, me han inyectado cógido html en "uno" de mis sitios web con Joomla. Estoy investigando los demás. :(

El código que han introducido genera una web en html para descargas de archivos en rapidshare. Que linces!!

El caso es que sabía que podía ocurrir y necesito de algún consejo. La versión de Joomla donde me han colado el invento es la 1.5.18.

Lo que he investigado me dice que han introducido el material a través del componente facileform, de hecho las webs html se creaban en: http://midominio.com/components/com_facileform/mipaginawebrapidshare.html

No recuerdo tener ese componente instalado en mi joomla, con lo cual me hace pensar que han entrado hasta en la cocina o más, por lo que he tirado el sitio web abajo y a empezar de nuevo. Espero que alguna copia de seguridad esté limpia... :S

Menos mal que no me han colado un phishing de un banco!! que lo he visto en algún sitio.

Y hoy me ha tocado a mi, pero sabed que estas cosas pasan...

¿¿Alguna idea que queráis aportar??

Actualización:

Aquí os dejo parte del cógido introducido para propósitos de investigación.

<div id='mlk' class='menu' style='position:absolute;top:-10000px;left:-10000px;'><a href="/components/com_facileforms/freedom-house-cia-p-311.html" title="freedom house cia">freedom house cia</a> | <a href="/components/com_facileforms/refurbished-desktops-uk-p-1254.html" title="refurbished desktops uk">refurbished desktops uk</a> | <a href="/components/com_facileforms/colegio-holy-cross-p-1673.html" title="colegio holy cross">colegio holy cross</a> | <a href="/components/com_facileforms/costa-blanca-shoe-p-658.html" title="costa blanca shoe">costa blanca shoe</a> | <a href="/components/com_facileforms/wal-mart-summary-p-2322.html" title="wal mart summary">wal mart summary</a> | <a href="/components/com_facileforms/2005-texas-longhorn-football-roster-p-1390.html" title="2005 texas longhorn football roster">2005 texas longhorn football roster</a> | <a href="/components/com_facileforms/plains-commerce-bank-visa-online-p-35.html" title="plains commerce bank visa online">plains commerce bank visa online</a> | <a href="/components/com_facileforms/beaches-chapel-school-p-873.html" title="beaches chapel school">beaches chapel school</a> | <a href="/components/com_facileforms/portuguese-last-names-p-970.html" title="portuguese last names">portuguese last names</a> | <a href="/components/com_facileforms/identical-twins-have-identical-fingerprints-p-761.html" title="identical twins have identical fingerprints">identical twins have identical fingerprints</a> | <a href="/components/com_facileforms/quinny-dreami-in-p-924.html" title="quinny dreami in">quinny dreami in</a> | <a href="/components/com_facileforms/synoptic-charts-archive-p-290.html" title="synoptic charts archive">synoptic charts archive</a> | <a href="/components/com_facileforms/walking-tall-stars-p-1942.html" title="walking tall stars">walking tall stars</a> | <a href="/components/com_facileforms/gundam-seed-episode-21-english-dub-p-885.html" title="gundam seed episode 21 english dub">gundam seed episode 21 english dub</a> | <a href="/components/com_facileforms/loja-de-eletronico-p-1009.html" title="loja de eletronico">loja de eletronico</a> | <a href="/components/com_facileforms/nguyen-ngoc-binh-p-520.html" title="nguyen ngoc binh">nguyen ngoc binh</a> | <a href="/components/com_facileforms/kel-tec-trigger-p-2055.html" title="kel tec trigger">kel tec trigger</a> | <a href="/components/com_facileforms/blackberry-curve-8900-upgrade-p-1764.html" title="blackberry curve 8900 upgrade">blackberry curve 8900 upgrade</a> | <a href="/components/com_facileforms/hannah-montana-season-6-p-271.html" title="hannah montana season 6">hannah montana season 6</a> | <a href="/components/com_facileforms/hyatt-place-columbus-north-p-2381.html" title="hyatt place columbus north">hyatt place columbus north</a> | <a href="/components/com_facileforms/part-time-jobs-in-pampanga-p-1505.html" title="part time jobs in pampanga">part time jobs in pampanga</a> | <a href="/components/com_facileforms/buddhism-beliefs-after-death-p-260.html" title="buddhism beliefs after death">buddhism beliefs after death</a></div>

Entusiasta de la tecnología | Amd Phenom II 955 x4 BE | Gigabyte GA-MA785GT-UD3H | 6GB OCZ DDR3 Platinum | Xigmatek HDT-S1284 Achilles | Western Digital Caviar SE16 640GB | Seagate 1,5 Teras LP
Seagate 320 Gigas | OCZ Fatal1ty 550W | Entertaiment Desktop 8000
Last edit: 9 años 2 meses antes by Annerneimmume.

Por favor, Identificarse o Crear cuenta para unirse a la conversación.

  • alejandro
  • Invitado
  • Invitado
9 años 2 meses antes #545 por alejandro
COM_KUNENA_MESSAGE_REPLIED_NEW
Ostras! menuda putada!

Es bueno tener copias de seguridad para estas cosas. A mi me metieron un defacement una vez en un Joomla desactualizado xD

Lo que yo haría en esta situación sería:
- Restaurar copia de seguridad
- Averiguar por donde han entrado ( un joomla sin actualizar con bugs de seguridad, una extension vulnerable, etc)
- Actualizar a la última versión (incluso ya que nos ponemos actualizaría todo)

En caso de no tener copia de seguridad de Joomla haría lo mismo e intentaría limpiar el contenido basura que han introducido. En tu caso como dices que no utilizas facile_forms... pues eliminalo!

Y en cualquiera de los dos casos ¡Cambia las contraseñas! y verifica que no existen más administradores de los que deberían.

Por favor, Identificarse o Crear cuenta para unirse a la conversación.

Gracias a Foro Kunena