Usuários do CMS
Joomla, notadamente aqueles que ainda usam a versão 1.5 (já não
mais suportada) , estão sendo vítimas de uma onda de ataques por
crackers e defacers. No site http://br.zone-h.org/
há uma relação de sites pixados. Nos endereços
http://br.zone-h.org/archive/notifier=Hmei7/page=1
e http://br.zone-h.org/archive/notifier=Sejeal/page=1
inclusive há endereços de sites já invadidos hoje, 01/02/13.
Aparentemente os
crackers estão explorando vulnerabilidade do Joomla, particularmente
do editor JCE.
Há casos em que só
colocam uma imagem no public_html (sejeal.jpg), permitindo o acesso
público desta e em outros colocam arquivos de texto com os dizeres
“hacked
by Hmei7”.
Os
ataques podem privar o usuário do uso do administrator do Joomla,
apagar arquivos e até mesmo desfigurar o front end do site. Há sites hospedados em servidores Linux e Windows.
Notei
que muitos dos administradores dos sites que foram vítimas, ainda
não perceberam a invasão ou não conseguiram remover os códigos
maliciosos, permitindo ao cracker voltar e/ou manter o controle.
Como
recomendação básica para prevenir-se, sugiro a atualização do
Joomla para a versão 2.5 ou posterior e a atualização do JCE para
a última versão, que aparentemente não está mais vulnerável. Em
casos extremos, deve-se desinstalá-lo e usar outro editor, como o
Tiny editor (TinyMCE).
Deve-se
também manter o configuration.php com permissão 444, checar
arquivos estranhos como sejeal.jpg, 1.txt, x.txt, susu.php etc.
Desnecessário
falar sobre a necessidade de manter um backup pronto para a
restauração e ter a preocupação com plugins, módulos e
complementos, principalmente se trabalham com formulários e dão
acesso ao banco de dados.
Também
sugiro a remoção das metatags com a palavra “Joomla”.
Sobre
a motivação, além da molecagem, esta é dúbia. A imagem
sejeal.jpg faz alusão a “Memorial of Gaza Martys”, não ficando
claro, no entanto, se defendem a causa palestina ou israelense. Em
qualquer caso, é injustificável. Mas não dá para confiar nisso,
pois não seria a primeira vez que crackers usam aparente motivação
ideológica para outros fins. A colocação de imagens e textos pode
ser somente uma cobertura para algo mais. Rastreamento de IP's mostram
que parte dos ataques parece provir da Indonésia, mas isso também é
incerto.
Sugiro
fortemente a leitura dos artigos abaixo, que em parte me serviram de
fonte e a divulgação destas informações.
http://www.joshpate.com/2013/01/how-to-fix-hacked-by-hmei7-on-joomla-web-site/
Um extrato deste artigo foi publicado no BR Linux (
http://br-linux.org/2013/onda-de-ataques-contra-sites-com-versao-desatualizada-do-cms-joomla/) e o jornalista Ebenezer Fontenele (Diário do Nordeste) publicou matéria sobre o assunto, citando inclusive o blog como fonte (http://blogs.diariodonordeste.com.br/narede/sem-categoria/onda-de-ataques-atinge-paginas-da-ufc/).
Posto abaixo excelente artigo do Ribamar Ferreira que trata da segurança no Joomla.
Complemento (acrescentado nos dias 03 e 04/02/13)
Hoje, eu e o programador web, Ribamar Ferreira, gravaremos um quadro na TV O Povo tratando destas questões. Desde o dia 1º, vários outros sites foram invadidos, dentre eles, alguns da Universidade Federal do Pará (UFPA), sendo que um deles (http://lpcn.ufpa.br/) teve seu frontend desfigurado, como pode se ver na imagem abaixo. Vários sites da Universidade Federal do Ceará (UFC) também continuam prejudicados, como é o caso do http://www.portaldenoticias.ufc.br/images/.http://br-linux.org/2013/onda-de-ataques-contra-sites-com-versao-desatualizada-do-cms-joomla/) e o jornalista Ebenezer Fontenele (Diário do Nordeste) publicou matéria sobre o assunto, citando inclusive o blog como fonte (http://blogs.diariodonordeste.com.br/narede/sem-categoria/onda-de-ataques-atinge-paginas-da-ufc/).
Posto abaixo excelente artigo do Ribamar Ferreira que trata da segurança no Joomla.
Melhorando a Segurança de Sites
- Faça uma boa seleção da hospedagem. Consulte um amigo e/ou pesquise em forums especializados. Contrate por um curto período para experiência no início. Veja isso:
- Cuide muito bem do computador que usa para enviar os arquivos para o servidor: de preferência use um SO seguro como Linux. Se no Windows use um bom antivirus e deixe com atualizações automáticas. Use senhas fortes e tome outros cuidados. Acessar a Internet dentro de uma máquina virtual reforça a segurança.
- Esconda seus arquivos sensíveis como o que guarda senhas. Coloque numa paste fora do alcance pela web.
- Proteja como somente leitura alguns arquivos importantes como o index.php do frontend e do backend entre outros.
- Esconda e proteja o acesso ao seu administrator. Sugestão: ChangeAdmin
- Esta é muito importante: use uma ferramenta para backup que faça backup de todos os arquivos e de todo o banco. E faça backup sempre que alterar o site, guarde várias versões do backup e faça teste local de restauração. Se o site for invadido basta fechar as brechar e restaurar o backup. Se detectar que a brecha é no servidor mude de servidor. Sugestão:Simple Joomla Backup - http://ribafs.org/portal/joomla/componentes/simple-joomla-backup
- Seja muito cuidadoso com atualizações. Receba as notificações de atualização automaticamente em seu e-mail ou via RSS ou outra forma. Então proceda a atualização. No Joomla basta um ou dois cliques para atualizar. Quanto às extensões de terceiros, algumas já contam com este ótimo recurso e as demais você deve visitar o site do criador frquentemente para atualizar. Uma providência importante sempre antes de instalar uma extensão de terceiro é visitar o site da equipe que mostra as vulnerabilidades descobertas nas extensões para Joomla: http://docs.joomla.org/Vulnerable_Extensions_List . Nunca use uma versão que a equipe já não corrige os bugs, pois ela é agora muito visada pelos criminosos virtuais (crachers).
- Evite mudar o código do core do software. Prefira criar módulos para isso e quando criar atente para boas práticas de segurança.
- Zele pela parte mais preciosa do seu software que é o banco de dados. Use senhas fortes, esconda o arquivo que contém as senhas e atente para as melhores práticas na criação e gerenciamento do banco. Lembre com carinho do backup.
- Nunca pense que a segurança é de inteira responsabilidade do servidor de hospedagem. Você é o principal responsável e pode ser seu maior defensor.
Posted in: joomla hacker cracker jce
2 comentários:
Gostaria de destacar, principalmente para leigos, que cracker e hacker são conceitos bem diferentes.
Hacker - termo genérico, serve para designar o cara que invade sites e somputadores e também para designar quem trabalha do outro lado, defendendo sites, servidores, etc.
Cracker - o hacker do mau.
Postar um comentário