← Desenvolvimento

Malware no Joomla

Lida 4054 vezes

Offline

RM7 
Membro
Mensagens 127 Gostos 1
Feedback +3

Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

Boas, quando se acede através de um link para o meu portal, os visitantes são reencaminhados para este url: http://numcad.com/includes/PEAR/PEAR.php

Já verifiquei que é um malware, alguém sabe como posso resolver?

Obrigado.
Offline

baixinho 
Membro
Mensagens 337 Gostos 17
Feedback +2

Troféus totais: 20
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts 10 Posts

Queres explicar um pouco melhor?

Só quando é através desse link é que são redireccionados? esse link é do teu site? é de outro site que é teu?

Estás a usar o joomla 1.5.26?
Offline

RM7 
Membro
Mensagens 127 Gostos 1
Feedback +3

Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

Queres explicar um pouco melhor?

Só quando é através desse link é que são redireccionados? esse link é do teu site? é de outro site que é teu?

Estás a usar o joomla 1.5.26?

Experimenta clicar no link através do post no facebook: https://www.facebook.com/Contra.Ataque.Forum/posts/500703676666781

Se escrever directamente no browser ele entra sem problemas. A versão é Joomla! 1.5.25 Stable pt-PT.
Offline

Tjda 
Membro
Mensagens 690 Gostos 9
Troféus totais: 31
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3

É altamente recomendável que atualizes para a versão do Joomla mais recente. Quando tinha o meu site nessa versão tb tive problemas de segurança.
Offline

RM7 
Membro
Mensagens 127 Gostos 1
Feedback +3

Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

Ao que parece também acontece com o fórum, mas apenas a algumas pessoas...
Offline

bayoo 
Membro
Mensagens 408 Gostos 75
Troféus totais: 24
Trófeus: (Ver todos)
Eighth year Anniversary Search Level 5 Seventh year Anniversary Windows User Super Combination Combination Topic Starter Level 4 Level 3

O site está limpo, esse problema não parece ter nada a ver com o site.
Offline

Viriatu 
Membro
Mensagens 154 Gostos 1
Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

É altamente recomendável que atualizes para a versão do Joomla mais recente. Quando tinha o meu site nessa versão tb tive problemas de segurança.

Pode acontecer ser impossivel actualizar o cms.... no meu caso é assim mesmo e passo raramente um mês que não seja atacado. Aderir ao honeypotproject pode ajudar.

O site parece limpo visto daqui.
Offline

bayoo 
Membro
Mensagens 408 Gostos 75
Troféus totais: 24
Trófeus: (Ver todos)
Eighth year Anniversary Search Level 5 Seventh year Anniversary Windows User Super Combination Combination Topic Starter Level 4 Level 3

Afinal após analisar algo melhor o site, penso que o problema está mesmo no site, mas como o redireccionamento é feito tão depressa que só pode ser no uma RewriteRule no ficheiro .htaccess
Verifique se tem lá essa RewriteRule a apontar para esse domínio.
Caso não saiba, para editar o ficheiro .htaccess o ideal é entrar no servidor por FTP, fazer download do ficheiro, alterar e voltar a fazer upload.

Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Verifica o .htaccess que o problema esta certamente la.
Offline

RM7 
Membro
Mensagens 127 Gostos 1
Feedback +3

Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

É isto que aparece.

Código: [Seleccione]
RewriteEngine on
##
# @version $Id: htaccess.txt 9975 2008-01-30 17:02:11Z ircmaxell $
# @package Joomla
# @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##

#####################################################
#  READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
#
#####################################################

##  Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

#
#  mod_rewrite in use

RewriteEngine Off

#  Uncomment following line if your webserver's URL
#  is not directly related to physical file paths.
#  Update Your Joomla! Directory (just / for root)

# RewriteBase /

########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$  [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
#AuthType Basic
#AuthName "Manutenção"
#AuthUserFile "/home/contra/.htpasswds/public_html/passwd"
#require valid-user[/quote]
Offline

RM7 
Membro
Mensagens 127 Gostos 1
Feedback +3

Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

Alguém consegue descobrir o problema?
Offline

RM7 
Membro
Mensagens 127 Gostos 1
Feedback +3

Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

Ninguém? :s
Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Esta limpo por isso esta em algum ficheiro. Substitui todos os ficheiros do Joomla.
Offline

cjseven 
Administrador
Mensagens 1809 Gostos 26
Feedback +3

Troféus totais: 28
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 1000 Posts

ou na base de dados
Offline

RM7 
Membro
Mensagens 127 Gostos 1
Feedback +3

Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts

Consegui resolver! Visto que pode ser útil para alguém no futuro, eram vários ficheiros .php que estavam infectados, pelo que tive que eliminar o código. Finalmente está tudo bem!