Aparentemente os
crackers estão explorando vulnerabilidade do Joomla, particularmente
do editor JCE.
Há casos em que só
colocam uma imagem no public_html (sejeal.jpg), permitindo o acesso
público desta e em outros colocam arquivos de texto com os dizeres
“hacked
by Hmei7”.
Os
ataques podem privar o usuário do uso do administrator do Joomla,
apagar arquivos e até mesmo desfigurar o front end do site. Há sites hospedados em servidores Linux e Windows.
Notei
que muitos dos administradores dos sites que foram vítimas, ainda
não perceberam a invasão ou não conseguiram remover os códigos
maliciosos, permitindo ao cracker voltar e/ou manter o controle.
Como
recomendação básica para prevenir-se, sugiro a atualização do
Joomla para a versão 2.5 ou posterior e a atualização do JCE para
a última versão, que aparentemente não está mais vulnerável. Em
casos extremos, deve-se desinstalá-lo e usar outro editor, como o
Tiny editor (TinyMCE).
Deve-se
também manter o configuration.php com permissão 444, checar
arquivos estranhos como sejeal.jpg, 1.txt, x.txt, susu.php etc.
Desnecessário
falar sobre a necessidade de manter um backup pronto para a
restauração e ter a preocupação com plugins, módulos e
complementos, principalmente se trabalham com formulários e dão
acesso ao banco de dados.
Também
sugiro a remoção das metatags com a palavra “Joomla”.
Sobre
a motivação, além da molecagem, esta é dúbia. A imagem
sejeal.jpg faz alusão a “Memorial of Gaza Martys”, não ficando
claro, no entanto, se defendem a causa palestina ou israelense. Em
qualquer caso, é injustificável. Mas não dá para confiar nisso,
pois não seria a primeira vez que crackers usam aparente motivação
ideológica para outros fins. A colocação de imagens e textos pode
ser somente uma cobertura para algo mais. Rastreamento de IP's mostram
que parte dos ataques parece provir da Indonésia, mas isso também é
incerto.
Sugiro
fortemente a leitura dos artigos abaixo, que em parte me serviram de
fonte e a divulgação destas informações.
http://www.joshpate.com/2013/01/how-to-fix-hacked-by-hmei7-on-joomla-web-site/
Complemento (acrescentado nos dias 03 e 04/02/13)
Hoje, eu e o programador web, Ribamar Ferreira, gravaremos um quadro na TV O Povo tratando destas questões. Desde o dia 1º, vários outros sites foram invadidos, dentre eles, alguns da Universidade Federal do Pará (UFPA), sendo que um deles (http://lpcn.ufpa.br/) teve seu frontend desfigurado, como pode se ver na imagem abaixo. Vários sites da Universidade Federal do Ceará (UFC) também continuam prejudicados, como é o caso do http://www.portaldenoticias.ufc.br/images/.
Um extrato deste artigo foi publicado no BR Linux (
http://br-linux.org/2013/onda-de-ataques-contra-sites-com-versao-desatualizada-do-cms-joomla/) e o jornalista Ebenezer Fontenele (Diário do Nordeste) publicou matéria sobre o assunto, citando inclusive o blog como fonte (http://blogs.diariodonordeste.com.br/narede/sem-categoria/onda-de-ataques-atinge-paginas-da-ufc/).
Posto abaixo excelente artigo do Ribamar Ferreira que trata da segurança no Joomla.
Melhorando
a Segurança de Sites
Faça uma boa
seleção da hospedagem. Consulte um amigo e/ou pesquise em forums
especializados. Contrate por um curto período para experiência no
início. Veja isso:
Cuide muito bem do
computador que usa para enviar os arquivos para o servidor: de
preferência use um SO seguro como Linux. Se no Windows use um bom
antivirus e deixe com atualizações automáticas. Use senhas fortes
e tome outros cuidados. Acessar a Internet dentro de uma máquina
virtual reforça a segurança.
Esconda seus
arquivos sensíveis como o que guarda senhas. Coloque numa paste
fora do alcance pela web.
Proteja como
somente leitura alguns arquivos importantes como o index.php do
frontend e do backend entre outros.
Esconda e proteja
o acesso ao seu administrator. Sugestão: ChangeAdmin
Esta é muito
importante: use uma ferramenta para backup que faça backup de todos
os arquivos e de todo o banco. E faça backup sempre que alterar o
site, guarde várias versões do backup e faça teste local de
restauração. Se o site for invadido basta fechar as brechar e
restaurar o backup. Se detectar que a brecha é no servidor mude de
servidor. Sugestão:
Seja muito
cuidadoso com atualizações. Receba as notificações de
atualização automaticamente em seu e-mail ou via RSS ou outra
forma. Então proceda a atualização. No Joomla basta um ou dois
cliques para atualizar. Quanto às extensões de terceiros, algumas
já contam com este ótimo recurso e as demais você deve visitar o
site do criador frquentemente para atualizar. Uma providência
importante sempre antes de instalar uma extensão de terceiro é
visitar o site da equipe que mostra as vulnerabilidades descobertas
nas extensões para Joomla:
http://docs.joomla.org/Vulnerable_Extensions_List
. Nunca use uma versão que a equipe já não corrige os bugs, pois
ela é agora muito visada pelos criminosos virtuais (crachers).
Evite mudar o
código do core do software. Prefira criar módulos para isso e
quando criar atente para boas práticas de segurança.
Zele pela parte
mais preciosa do seu software que é o banco de dados. Use senhas
fortes, esconda o arquivo que contém as senhas e atente para as
melhores práticas na criação e gerenciamento do banco. Lembre com
carinho do backup.
Nunca pense que a
segurança é de inteira responsabilidade do servidor de hospedagem.
Você é o principal responsável e pode ser seu maior defensor.