hackearon mi sitio joomla!  

Hola Dark Icaro,

Imagino que no tienes acceso al backend porque habrán modificado tus datos de usuario y/o contraseña que es lo habitual. Pero ¿tienes acceso a phpMyAdmin?.

Si la respuesta es SI, revisa este vídeo para modificar tus credenciales de acceso al backend:

- https://www.webempresa.com/videos/recuperar_pass/recuperar_pass.html

Saludos

Ya puedo ingresar al backend modificando la tabla jos_users y cambiando la contraseña, pero como restauro la página principal?

Hola Dark Icaro,

Pregunta básica: ¿haces copias de seguridad regularmente?, ¿utilizas extensiones como Akeeba Backup?, ¿tienes algun respaldo de días anteriores?.

Estas y otras preguntas son de manual y hacen que tu trabajo de desarrollo de meses con la web de Joomla! no se pierda por un Hackeo o lo que sea.

Si no tienes cópia de seguridad se me ocurre que para medir el alcance del "hackeo" desde tu cPanel o lo que uses, vayas a tu administrador de archivos y empaquetes el Joomla! que tengas en /public_html y te lo bajes y analices con uno o dos antivirus para ver como esta y luego te bajes un pack originald de Joomla! de tu misma versión en uso y hagas una comparación (Beyond Compare) de archivos para ver como de "modificado" esta todo lo relativo al core.

Lo normal es que te hayan cambiado los index.html, algún index.php, principalmente el de /templates/tu_plantilla y el de /public_html.

Revisa bien a fondo a ver si en /tmp u otras carpetas han introducido alguna shell para tener el control de tu sitio o del servidor donde te alojes.

Saludos

Saludos Gnumax,

Gracias por valiosa colaboración, el archivo afectado fué index.php en el template que utilizo, al cambiarlo por el del backup se solucionó el problema.

Lo último que quiero es que esta situación se presente de nuevo por lo cual revisaré a fondo la seguridad de mi sitio, lo actualizaré a la última versión y como siempre akeeba backups cada vez que se haga un cambio.

De nuevo gracias y hasta pronto.

Att

Dark Icaro

Hola Dark Icaro,

También puedes implementar extensiones como JSecure o RSFirewall para mejorar el nivel de seguridad de tu backend, aunque sin duda la mejor prevención es la seguridad pasiva (actualizaciones constantes de "todo") y la proactiva (vigilancia y control de accesos) y el uso de extensiones fiables, seguras y con un timeline de actualizaciones alto.

- JSecure: http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12254
- RSFirewall!: http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/8968

Saludos

Saludos Gnumax,

Voy a explorar las extensiones que me comentas, muchas gracias por todo.

Att

Dark Icaro

Hola,

Te adjunto la info que solemos dar a las personas que se ponen en contacto
con nosotros cuando tienen un problema de hackeo por si te sirve:

En el caso que le hayan hackeado su web le explicamos los motivos por
los cuales puede haberle sucedido esto para que pueda entender mejor
las posibles soluciones, motivos por los cuales le han podido hackear
y medidas que tiene que tener en cuenta para el futuro:

Para empezar comentarle que cuando nos referimos a que le han hackeado
la página queremos decir que alguien o un programa han modificado su
web, debido a un fallo de seguridad, normalmente los hackeos se
producen de forma automática rastreando posibles fallos de seguridad
(exploits) de su página, los hackeos no suelen ser realizados
expresamente a una web si no que los hackers construyen pequeños
programas que buscan determinados fallos y cuando los encuentran
intentan penetrar a través de ese fallo en su web y instalar algún
código malicioso para que su web muestre determinado contenido como
por ejemplo la venta de productos tipo viagra o bien intentan colar un
virus o troyano para infectar a los usuarios que visitan su web.

El motivo principal que tienen los hackers que intentan infectar webs
de manera indiscriminada es hacer publicidad de algo que les interesa
vender o bien conseguir acceder a su espacio web para colocar en él
ficheros que puedan así distribuir sin tener que pagar ellos espacio
web y ancho de banda, etc.

También hay hackeos con intención de hacer pishing (suplantación de
identidad) que les permita incluir dentro de su hosting páginas
ficticias simulando por ejemplo ser un banco, enviar emails desde su
hosting a miles de usuarios e intentar así que estos accedan a una
página web dentro de su hosting, que parezca la página web de un banco
para ver si los usuarios introducen su login y password del banco, por
ejemplo, etc.

El caso es que como está viendo tener una página web implica tener que
vigilar la seguridad de la misma y tomar las medidas adecuadas para
que su web no sea vulnerable, para ponerle una comparación más
habitual es como tener un coche, si usted conduce un coche tiene que
tener ciertas medidas de seguridad actualizadas en el tiempo como las
ruedas en buen estado, frenos en buen estado, aceite, etc y aun así
puede usted tener un accidente, tener un coche y no querer saber nada
de mantenimiento o de accidentes, no es viable, con una web pasa lo
mismo.

En el caso concreto de Joomla pasamos a explicarle brevemente aspectos
básicos de seguridad para que entienda los posibles motivos del
hackeo:

Joomla es un software Open Source que está en constante evolución,
como cualquier software tiene fallos y algunos de ellos pueden afectar
a la seguridad, otros solamente afectan por ejemplo a la
funcionalidad, por ese motivo se van sacando nuevas versiones, para
sacar mejoras, nuevas opciones y también para corregir fallos, entre
ellos los de seguridad, por este motivo es importante mantener su
joomla actualizado para evitar que se quede obsoleta la versión que
utiliza de Joomla y para evitar que se convierta en una versión
insegura al no estar actualizada.

Joomla es bastante seguro de por si, el problema fundamental que tiene
joomla respecto a la seguridad son las Extensiones ya que algunas, las
menos habituales, han sido escritas por programadores no expertos y no
cumplen todas las medidas de seguridad que deberían. Para ello es
importante revisar antes de instalar una extensión que no aparezca en
la lista de extensiones que se conocen como vulnerables:

http://docs.joomla.org/Vulnerable_Extensions_List

El caso es que si usted usa extensiones adicionales en su joomla
tendrá que asegurarse que no aparezcan en la lista de extensiones
vulnerables y actualizarlas periódicamente para evitar intrusiones a
través de una extensión.

Luego está la seguridad del servidor, los servidores que usted
contrata para su hosting pueden tener más o menos medidas de seguridad
para intentar evitar este tipo de problema que comentamos como el
hackeo.

Hay una serie de medidas que son básicas para que su Joomla funcione
en un entorno más seguro, tendría que asegurarse que su hosting cumple
estas medidas, pregúntele a su empresa de hosting para que le indiquen
si su cuenta de hosting las cumple:

Apache 2.2.x o superior
PHP 5.2.x o Superior
SUPHP
Suhosin
Mod_Security

A nivel de configuración de php:
Noexec
Register Globals OFF
allow_url_fopen OFF
magic_gpc_quotes OFF

Nuestros servidores cumplen estas especificaciones y muchas más para
intentar así evitar en la medida de lo posible los hackeos que podamos
evitar de manera automatizada, sin embargo no podemos garantirzarle
que su web no será hackeada ni siquiera en nuestros servidores ya que
si su joomla o extensiones no están actualizadas no podemos evitar
cualquier intrusión ya que muchas de las opciones con las que
podríamos intentar evitar este posible hackeo harían que no le
funcionasen determinadas opciones necesarias para usar joomla de
manera óptima como podría ser subir ficheros a su joomla, etc.

Para evitar futuros problemas mantenga su joomla y extensiones
actualizadas, también hay medidas adicionales que puede realizar como
instalar un firewall para joomla, comparar el joomla que tiene en su
hosting con una copia anterior que sepa que está limpia, etc.

Nosotros en nuestros servidores como medidas adicionales realizamos
copias de seguridad diaria y tenemos otras medidas que no podemos
explicarle por seguridad con las que en el caso que detectemos
troyanos, virus, intentos de intrusión, etc, nuestros sistemas
automáticos bloquean al usuario o ip que intenta dichas acciones,
entre las medidas que tenemos y las copias de seguridad que realizamos
conseguimos un equilibrio razonable entre seguridad y funcionalidad
para evitar la mayoría de ataques y por otro lado en el caso que su
sitio se vea comprometido poder ayudarle a recuperar el estado
anterior y posteriormente securizar su sitio o bien realizar un
análisis de la intrusión, etc.

Luego semanalmente realizamos un escaneo de todos los sitios de cada
uno de nuestros servidores para buscar cadenas sospechosas, código
encriptado, troyanos, virus, hacks, ficheros sospechosos, backdoors,
shells, etc, en el caso que detectemos posibles fallos o ficheros
infectados en su joomla nuestro soporte técnico le avisaría, no
podemos garantizar que localicemos el 100% de los posibles hackeos ya
que es un proceso de actualización constante en el que la lucha entre
los Administradores de Sistemas y los Hackers hace que se creen nuevos
sistemas constantemente pero en el 99% de los casos solemos localizar
la intrusión en muy breve tiempo.

Nuestros servidores también tienen medidas especiales para evitar que
usen su hosting para enviar correos de spam y en el caso que
detectemos más movimiento del habitual en su hosting a nivel de
correos un técnico estará revisando si es un envío no solicitado de
spam o están ustedes haciendo una envío masivo de correos, tenga en
cuenta que tenemos limitado el nº de emails por hora que pueden enviar
entre otras cosas para evitar que así puedan realizar envíos masivos
desde una cuenta suya comprometida y para vigilar por el rendimiento
del servidor.

Nuestros técnicos de sistemas están 24 horas revisando el
funcionamiento de los servidores y cuando detectan un uso excesivo en
cualquier cuenta de hosting están analizando que ocurre con esa cuenta
para evitar posibles intentos de hackeo o bien intentos de denegación
de servicio para los cuales también tenemos medidas adicionales.

Esperamos que con esta explicación tenga una ida más clara de lo que
significa tener una web hospedada en un servicio de hosting y que le
permita tomar las medidas adecuadas en el futuro.

Le adjuntamos información sobre el servicio de Mantenimiento que le
permitirá acceder a nuestros técnicos para que le ayuden en estas
tareas que entendemos que en la mayoría de los casos no son tareas que
un cliente pueda o quiera realizar por falta de tiempo o conocimientos
https://www.webempresa.com/web-empresa-joomla-servicios/soporte-joomla.html

Aqui tiene más información sobre conceptos de seguridad para Joomla:

http://ayuda.joomlaspanish.org/content/view/205/94/

http://developer.joomla.org/security.html (en inglés)