cookieOptions = {msg}; Onda de ataques prejudica usuários do CMS Joomla ~ Bit Autônomo

01 fevereiro, 2013

Onda de ataques prejudica usuários do CMS Joomla



Usuários do CMS Joomla, notadamente aqueles que ainda usam a versão 1.5 (já não mais suportada) , estão sendo vítimas de uma onda de ataques por crackers e defacers. No site http://br.zone-h.org/ há uma relação de sites pixados. Nos endereços http://br.zone-h.org/archive/notifier=Hmei7/page=1 e http://br.zone-h.org/archive/notifier=Sejeal/page=1 inclusive há endereços de sites já invadidos hoje, 01/02/13.
Aparentemente os crackers estão explorando vulnerabilidade do Joomla, particularmente do editor JCE.
Há casos em que só colocam uma imagem no public_html (sejeal.jpg), permitindo o acesso público desta e em outros colocam arquivos de texto com os dizeres “hacked by Hmei7”.
Os ataques podem privar o usuário do uso do administrator do Joomla, apagar arquivos e até mesmo desfigurar o front end do site. Há sites hospedados em servidores Linux e Windows.
Notei que muitos dos administradores dos sites que foram vítimas, ainda não perceberam a invasão ou não conseguiram remover os códigos maliciosos, permitindo ao cracker voltar e/ou manter o controle. 
Como recomendação básica para prevenir-se, sugiro a atualização do Joomla para a versão 2.5 ou posterior e a atualização do JCE para a última versão, que aparentemente não está mais vulnerável. Em casos extremos, deve-se desinstalá-lo e usar outro editor, como o Tiny editor (TinyMCE).
Deve-se também manter o configuration.php com permissão 444, checar arquivos estranhos como sejeal.jpg, 1.txt, x.txt, susu.php etc.
Desnecessário falar sobre a necessidade de manter um backup pronto para a restauração e ter a preocupação com plugins, módulos e complementos, principalmente se trabalham com formulários e dão acesso ao banco de dados.
Também sugiro a remoção das metatags com a palavra “Joomla”.
Sobre a motivação, além da molecagem, esta é dúbia. A imagem sejeal.jpg faz alusão a “Memorial of Gaza Martys”, não ficando claro, no entanto, se defendem a causa palestina ou israelense. Em qualquer caso, é injustificável. Mas não dá para confiar nisso, pois não seria a primeira vez que crackers usam aparente motivação ideológica para outros fins. A colocação de imagens e textos pode ser somente uma cobertura para algo mais. Rastreamento de IP's mostram que parte dos ataques parece provir da Indonésia, mas isso também é incerto.
Sugiro fortemente a leitura dos artigos abaixo, que em parte me serviram de fonte e a divulgação destas informações.
http://www.joshpate.com/2013/01/how-to-fix-hacked-by-hmei7-on-joomla-web-site/


Complemento (acrescentado nos dias 03 e 04/02/13)

Hoje, eu e o programador web, Ribamar Ferreira,  gravaremos um quadro na TV O Povo tratando destas questões. Desde o dia 1º, vários outros sites foram invadidos, dentre eles, alguns da Universidade Federal do Pará (UFPA), sendo que um deles (http://lpcn.ufpa.br/) teve seu frontend desfigurado, como pode se ver na imagem abaixo. Vários sites da Universidade Federal do Ceará (UFC) também continuam prejudicados, como é o caso do http://www.portaldenoticias.ufc.br/images/.


Um extrato deste artigo foi publicado no BR Linux (
http://br-linux.org/2013/onda-de-ataques-contra-sites-com-versao-desatualizada-do-cms-joomla/) e o jornalista Ebenezer Fontenele (Diário do Nordeste) publicou matéria sobre o assunto, citando inclusive o blog como fonte (
http://blogs.diariodonordeste.com.br/narede/sem-categoria/onda-de-ataques-atinge-paginas-da-ufc/).

Posto abaixo excelente artigo do Ribamar Ferreira que trata da segurança no Joomla.


Melhorando a Segurança de Sites


  • Faça uma boa seleção da hospedagem. Consulte um amigo e/ou pesquise em forums especializados. Contrate por um curto período para experiência no início. Veja isso:
  • Cuide muito bem do computador que usa para enviar os arquivos para o servidor: de preferência use um SO seguro como Linux. Se no Windows use um bom antivirus e deixe com atualizações automáticas. Use senhas fortes e tome outros cuidados. Acessar a Internet dentro de uma máquina virtual reforça a segurança.
  • Esconda seus arquivos sensíveis como o que guarda senhas. Coloque numa paste fora do alcance pela web.
  • Proteja como somente leitura alguns arquivos importantes como o index.php do frontend e do backend entre outros.
  • Esconda e proteja o acesso ao seu administrator. Sugestão: ChangeAdmin
  • Esta é muito importante: use uma ferramenta para backup que faça backup de todos os arquivos e de todo o banco. E faça backup sempre que alterar o site, guarde várias versões do backup e faça teste local de restauração. Se o site for invadido basta fechar as brechar e restaurar o backup. Se detectar que a brecha é no servidor mude de servidor. Sugestão:
  • Seja muito cuidadoso com atualizações. Receba as notificações de atualização automaticamente em seu e-mail ou via RSS ou outra forma. Então proceda a atualização. No Joomla basta um ou dois cliques para atualizar. Quanto às extensões de terceiros, algumas já contam com este ótimo recurso e as demais você deve visitar o site do criador frquentemente para atualizar. Uma providência importante sempre antes de instalar uma extensão de terceiro é visitar o site da equipe que mostra as vulnerabilidades descobertas nas extensões para Joomla: http://docs.joomla.org/Vulnerable_Extensions_List . Nunca use uma versão que a equipe já não corrige os bugs, pois ela é agora muito visada pelos criminosos virtuais (crachers).
  • Evite mudar o código do core do software. Prefira criar módulos para isso e quando criar atente para boas práticas de segurança.
  • Zele pela parte mais preciosa do seu software que é o banco de dados. Use senhas fortes, esconda o arquivo que contém as senhas e atente para as melhores práticas na criação e gerenciamento do banco. Lembre com carinho do backup.
  • Nunca pense que a segurança é de inteira responsabilidade do servidor de hospedagem. Você é o principal responsável e pode ser seu maior defensor.

2 comentários:

Haroldo Barbosa disse...

Gostaria de destacar, principalmente para leigos, que cracker e hacker são conceitos bem diferentes.

ribafs disse...

Hacker - termo genérico, serve para designar o cara que invade sites e somputadores e também para designar quem trabalha do outro lado, defendendo sites, servidores, etc.

Cracker - o hacker do mau.

Postar um comentário

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | coupon codes