[Hackeado] Phising en joomla

Me he montado una plataforma de monitorización y respuesta automática a incidentes basada en una implementación propia de varios software libres, decir, haciendo que varios programas se manden comandos entre ellos para que si por ejemplo cae un servidor me mande una alerta o ponga un ticket de soporte quejandose xD, ahora estoy probando que pase el antivirus o el chrookit conectandose automaticamente por ssh y lanzando los comandos de arranque (lo que viene siendo trabajar lo menos posible). Si tienes curiosidad mandame un email o añademe al msn y te enseño la parte del desarrollo que esta en producción.

MIL GRACIAS por la información ya me he orientado de nuevo y ya estoy subsanando el problema de manera temporal.

Gracias a todos los que respondieron.

Esa versión del joomla es la última. Seguramente estén entrando por un bug en alguno de los componentes, y por lo que dices es posible que sea el com_sef (que creo que era el ARTIO JoomSEF). Mírate si tiene las últimas versiones de todos los componentes/módulos, sobre todo esos dos, el com_sef y el mambot de smoothgallery.

Si no es mucho pedir
¿Qué sistemas son esos de los que hablas?

Edito: pásate por aquí http://docs.joomla.org/Vulnerable_Extensions_List que hay una lista de todas las extensiones con vulnerabilidades conocidas, y échale un vistazo al foro por si te pueden echar una mano si averiguas qué extensión te está dando problemas.

el problema es que de la version 1.0.15 pasa directamente a la 1.5 sufriendo bastantes cambios significativos y no seria tan simple de "arreglar".

Yo informaria a joomla.com pues tal vez no seas el unico afectado.

Yo pienso que están entrando a través de un bug de seguridad de joomla. Trata de conseguirte en la web de joomla o donde corresponda los cambios de código que hay de la versión que tú tienes a la última y los haces a mano y con cuidado de no machacar el sitio de tu cliente, al menos los cambios que tengan que ver con la seguridad...

Claro que este problema lo vas a tener siempre, si no actualizas nunca el Joomla, puedes solucionarlo esta vez pero si descubren nuevos fallos vuelve el problema (es lo malo de usar un prefabricado tan conocido)

Saludos

No es ninguna tontería, es lo que debería hacer, pero estamos en lo de siempre es un cliente y su sitio web tiene problemas de compatibilidad con la ultima versión.

Me gustaría tener alguna idea de como hacer una chapuza que me aguante unos días para poder repararlo con tranquilidad.

Gracias por la respuesta.

Si tu mismo dices que no entran ni por ftp ni por root.... Igual es un poco tonto lo que voy a decir, pero has probado a actualizar a la última versión de Joomla? A ver si ese bug está ya solucionado...

cabe la posibilidad de que lo suban mediante algún script?

Yo miraría los permisos de esas carpetas si ya has revisado los logs de ftp, ssh y no has visto nada extraño.


P.D: Hablo desde el desconocimiento.

URL´s atacadas:

/mambots/content/smoothgallery/cache/
/mambots/content/smoothgallery/css/
/includes/
/components/com_sef/

Solo atacan componentes de joomla, el resto del apache ni lo miran.

Buenas,

Tengo un problema con unos de los servidores, me lo han hackeado, no han penetrado totalmente pero lo justo para usar mis recursos.

En un joomla (creo que version 1.0.15) han conseguido meter en la carpeta /components/com_sef/ paginas html con temas de phising, mis sistemas cada 24 horas los detectan y los limpian, pero me los vuelven a subir.

Necesito alguna idea de como cojones lo hacen o como parchearlo, no entran de root ni por ftp ni por desbordamiento ni nada por el estilo...