Avisos
Vaciar todo
Hace un par de meses os comentaba que a bastantes usuarios la web les advierte de virus al entrar: https://www.webempresa.com/foro/29-VirtueMart-10---11x/74276-web-hackeada.html y me recomendabais actualizar a una version 2.X de joomla ya que actualmente tengo instalada la 1.5 + vm 1.9.
Ahora hace unos días desde soporte me avisan de que la web ha sido hackeada y me recomiendan contratar el servicio de securización PEEERO también me indican que es preferible securizar después de haber realizado la actualización.
El problema es que estoy trabajando con la zeolite y veo que no la hay para joomla 2.X. No me asusta demasiado cambiar a otra plantilla, con un poco de tiempo y paciencia y ayuda vuestra se adapta. Pero son unas fechas muy malas para hacerlo por la cercanía de las navidades, ya que tendría que estar la tienda a todo meter.
Así que las preguntas son:
- Si securizo ahora, con la version 1.5, ¿se eliminaría definitivamente ese problema de los virus, que continúan saltando, especialmente con el Avast? (Normalmente lo que se detecta es el Blacole o Javascript Ofuscation. Y a la gente le da miedo comprar y meter la visa). Están siendo más perjudiciales para la tienda estos avisos de virus que el hackeo.
- Ese problema de los virus, ¿es culpa de la versión? Es decir ¿se eliminaría el problema simplemente actualizando?
- Y una pregunta tonta: si instalo un nuevo pack, ya actualizado al 2.5, ¿se puede simplemente enganchar a una copia de la base de datos de la tienda original, o habría que hacer algo más (aparte de adaptar la plantilla)?
Gracias!
URL del sitio: Contenido solo visible a usuarios registrados
Respondido : 28/11/2012 12:03 pm
Hola Internautis, te cometo..
Si tienes el Virus BlackHole en tu web, lo más seguro es que te hayan robado las contraseñas de FTP o cPanel y se hayan bajado toda la web, la hayan infectado con unas llamadas a unos ficheros Javascript o i-frames y la hayan vuelto a subir... eso es lo habitual... y estos hackeos suelen ocurrir debido a que alguien ha accedido a su FTP o cPanel desde un ordenador que ya tenía un troyano o virus y le han robado las contraseñas por ahí...
Así que lo primero que haría sería revisar tus máquinas desde las que accedes al FTP, CPanel y Joomla y dejarlas 100% limpias de cualquier posibilidad de malware o virus o troyano...
Evita tener software instalado que te hayas bajado de pa´ginas piratas , warez y similar...
Después, cuando estés seguro de que estás limpio... cambia password de tu cPanel y cuentas de FTP y admin de Joomla...
Y después, trata de limpiar tu web de malware (hay que limpiar los ficheros de la web) y si no sabes como puedes tratar de contratar el servicio de limpieza y securización... pero antes asegúrate de estar limpio tú, por que si te vuelven a robar las claves, te volveran a hackear...
Si haces estos pasos, no sería necesario plantear una migración a J2.5 + VM 2.0, con un Joomla 1.5.26 y VirtueMart actualizado a su última versión de la rama 1.1... no deberías de tener tantos problemas de seguridad..
Saludos
Respondido : 28/11/2012 1:54 pm
Gracias David, sí, el tema me ha desbordado bastante ya que afecta a mi cliente y su modo de ganarse la vida. El ftp es imposible que me hayan birlado el pass porque ni lo tenía configurado; el cpanel puede ser... pero ya están limpias todas las máquinas, limpias limpias.
En este segundo caso, que hayan entrado a través del cpanel e infectado los ficheros,
- ¿qué puedo hacer?
- ¿Si actualizo (ya estoy en pruebas para hacerlo el finde), la infección persistirá después de la migración?
- ¿Y si esos ficheros los cargo nuevos desde una instalación limpia?
- Ah... y "falta por responder" si se puede simplemente instalar desde el instalatron un joomla 2.x y engancharlo a la base de datos original... es algo que probaré, pero cuando tenga tiempo; si me decís algo fruto de la experiencia, pues mejor 😉
Supongo que la solución es contratar profesionales... pero me gusta aprender david, gracias!!!
Respondido : 28/11/2012 2:39 pm
Hola Internautis,
No se si utilizas Contenido solo visible a usuarios registrados componnete para segurizar mejor el backend y de paso recibir alertas en caso de intrusiones (intentos).
Si no lo tienes, envía un ticket a soporte y pide que te lo instales, cita este post para que lo tengan presente los técnicos.
Saludos
Respondido : 28/11/2012 2:49 pm
Gracias Luis, ahora les paso la petición. A veces me han alertado desde soporte de los intentos pero mejor así.
Pero tengo más dudas:
-La alerta de virus no sale siempre, sólo muy ocasionalmente, estimo que puede ser un 5% de las visitas, y siempre al entrar. Si esto fuese un malware, ¿estaría en el index necesariamente? Y sobre todo, ¿porqué no salta la alerta siempre, sólo muy a veces?
-La segunda es más graciosa. Me he bajado la web entera y le he pasado el antivirus (avg), que fue uno de los primeros consejos de Jhon Marreros. Y me encuentra lo siguiente:
maileurodetection.cominfo.Junkcur1352566599.H70599P587919.cp50.webempresa.eu,S=696682_2,";"Troyano PSW.Generic10.AICS";"Infectado"
maileurodetection.cominfo.Junkcur1352566599.H70599P587919.cp50.webempresa.eu,S=696682_2,:product_evaluator.msi";"Troyano PSW.Generic10.AICS";"Infectado"
maileurodetection.cominfo.Junkcur1352566599.H70599P587919.cp50.webempresa.eu,S=696682_2,:product_evaluator.msi:Binary._D7D112F049BA1A655B5D9A1D0702DEE5";"Troyano PSW.Generic10.AICS";"Infectado"
¿Pueden haber sido estas tres mierdillas las causantes de tanto trastorno?
Ahora le estoy pasando el malwarebytes, pero parece que está todo limpio.
Gracias por vuestro apoyo e información, estais evitando que me arranque los pelos!
Respondido : 29/11/2012 11:25 am
Hola Internautis,
No tienen porque estar lo ficheros infectados necesariamente en el index.php de Joomla! o de la plantilla.
Perfecto que hayas realizado un antivirus. No te puedo indicar a ciencia cierta si esos son los archivos causantes de todo, puesto que no se si pueden haber más, y en esos habría que comprobar si son un falso positivo del virus o realmente están infectados.
Indicarte que los ficheros con extensión .msi son instaladores de Windows.
Puede solicitar a través de ticket una scanner de tu cuenta de hosting.
Nos alegra que te guste nuestro servicio.
Normalmente solicitamos testimonios para colocar en nuestra página y ayudar a otros posibles clientes a decidirse: https://www.webempresa.com/testimonios.html
Si nos quieres enviar tu testimonio podemos colgarlo en nuestra página con un link hacia la tuya que siempre te ayudará a posicionarse porque nuestra página tiene un Page Rank de Google alto.
En este artículo de nuestro blog se explica como dar de alta un testimonio:
Saludos
Respondido : 29/11/2012 11:33 am
No sé si lo habré enviado dos veces... pero prometido, en cuanto esta cosa me deje un minuto!
Qué hago, borro directamente esos ficheros del server? ¿No se rompe nada si los borro?
Respondido : 29/11/2012 11:49 am
Hola Internautis,
Disculpa que al revisar más profundamente, veo que los ficheros están en la carpeta de los emails maileurodetection.cominfo por lo que no tienen incidencia en el sitio web.
Lo que tienes que analizar es la carpeta public_html
No se si has solicitado un scanner de la cuenta de hosting a través de ticket, y el resultado del mismo.
Saludos
Respondido : 29/11/2012 11:56 am
Perfecto, ahora mismo los borro y pido el scanner, si es de pago me lo tendrá que autorizar el cliente. Pero he analizado todo y no salta nada más.
Respondido : 29/11/2012 12:03 pm
OK, te recomiendo que sigas tratando el tema vía ticket... para no liarnos, además desde ticket tenemos más datos que vía foro..
Saludos!
Respondido : 29/11/2012 1:38 pm
Perfecto, tema cerrado y solucionado, un montón de gracias a todos!
Respondido : 29/11/2012 4:01 pm
