Site Joomla hackeado – Como resolver um site invadido?

10/04/2014   Wesley Silva | | Gostou?
*****2
thumb-joomla-hackeado

Você acaba de acessar o seu site e percebe que ele foi hackeado. Um frio acaba de subir por sua espinha e o desespero começa a acelerar o seu coração.

Calma, relaxa e confira o nosso artigo que preparamos para você.

Mude as senhas agora

A primeira coisa a se fazer é mudar as senhas do FTP, Painel de Controle do Servidor e a senha do Banco de Dados. Assim evitamos que o invasor tenha facilidade de acesso ao site novamente.

Para mudar as senhas, você terá que ter acesso ao Painel de Controle do Servidor.

Backup

Você tem um backup do seu site? NÃO? Então vamos ter um pouco mais de trabalho. Caso já tenha o backup pule para o próximo tópico.

Geralmente as empresas de hospedagem dispõe aos seus clientes, várias ferramentas e uma delas é o backup. Algumas geram backup direto pelo painel e outras exigem que se abra uma chamada para o serviço.

Verifique também se o serviço será cobrado e quanto custará, evite sustos na fatura.

Backup em mãos, vamos arrumar o Front-end!

Tudo certo, temos o backup! Agora é simples, acesse o FTP e vá direto para a pasta template > seutema. Na pasta do seu tema verifique o arquivo index.php.

Olhe o código para ver se ele não foi alterado, é muito provável que sim.

Caso ele foi alterado, suba o arquivo correspondente do backup via FTP.

Pronto agora você já deve ter a sua página de volta, mas não acabamos ainda.

Administrator

É provável que o Back-end (página administrativa) também esteja mostrando o deface, para corrigirmos isso você deverá acessar via FTP a pasta: administrator > templates > seutema. Na pasta do seu tema você deverá verificar oindex.php. Como no passo anterior você deverá analisar se o código foi alterado, se sim, terá que substituir pelo backup correspondente. Feito os dois passos corretamente, você já terá o site e a administração funcionando, mas ainda assim não estamos seguros.

Remover usuários no Administrator

Geralmente, os invasores criam usuários com permissões administrativas para o seu site. Garantindo assim um Usuário e Senha para que eles futuramente acessem novamente o seu site. Para isso você deve acessar o Back-end e verificar os usuários cadastrados, caso existam, exclua-os.

Voltando ao FTP

Não pense que você já esta livre do problema, temos que fazer uma varredura nas pastas e arquivos para ver se ainda temos arquivos nocivos.

Vou listar abaixo as pastas e arquivos que temos que procurar e verificar.

.htaccess – Muito provável que ele esteja em branco ou com poucas linhas de código, substitua pelo backup.

shell.php e os arquivos como os ilustrados na imagem abaixo, localizados na pasta administrator, não são do Joomla, e geralmente são inseridos pelos invasores, apague-os, se você não se sente a vontade de apagar, baixe-os para o computador e depois remova-os do FTP. Teste o Site e o Administrator para ver se ainda estão estáveis.

shell

Verifique os arquivos index.php de todos as pastas a seguir:

administrator > index.php

administrator > templates > Verificar todas as pastas! IMPORTANTE > index.php

cache > index.php

components > index.php

images > index.php

language > index.php

logs > index.php

media > index.php

module > index.php

plugins > index.php

templates > index.php

tmp > index.php

Comparando os arquivos com os arquivos que você tem backup, notará que tem pastas que não necessitam do index.php, neste caso é só apagar.

Arquivo THA.php

Acessando a pasta: administrator > templates > system > html, encontraremos o arquivo THA.php. Apague-o!

A título de curiosidade, se abrirmos o arquivo, você vai se deparar com um código codificado em base64.

Algo parecido com isto:

<?php eval(“?>”.base64_decode(“PD9waHAgD…w0KPz4=“)); ?>

Para descodificar base64 é simples. Copie o código que está entre as aspas (no exmplo tudo que esta em vermelho), acesse este link, cole o código no primeiro campo e clique em <decode>. No campo abaixo aparece o código descodificado, agora é só estudar o código.

Aliás esta não será a única codificação encontrada. Os arquivos index.php que você substituiu no passo anterior, também estão codificados, neste caso em unescape. Podendo ser descodificado acessando este link. Copie e cole o código na segunda caixa de texto do site e clique em decode.

Permissões de Pastas e Arquivos

Agora que já nos livramos desta ameaça, precisamos verificar as permissões chmod dos arquivos e pastas.

Aplique a permissão 0774 para as pastas e 0644 para arquivos.

Prefira aplicar a permissão 0444 para todos os arquivos index.php e também para o arquivo configuration.php.

Se você estiver utilizando o FileZilla, é só clicar no arquivo ou pasta com o botão direito do mouse e selecionar “file permissions…”

Feito, agora estamos mais seguros!

Bloquear acesso FTP

Alguns servidores nos disponibiliza a opção de bloquear o acesso FTP via painel de controle, verifique se esta opção esta disponível para você e bloqueie! Só libere acesso quando você precisar alterar algum arquivo, alterado, bloqueie novamente.

Espero que tenha gostado. Curta e Compartilhe conhecimento!

Compartilhe:
Share on FacebookTweet about this on TwitterShare on LinkedInPin on PinterestGoogle+Email to someone

Wesley Silva

Formado em Análise e Desenvolvimento de Sistemas pela ESAMC Sorocaba. Estreou no mundo em 1987 e conheceu o universo da Informática em 1994. Fez datilografia! É apaixonado pelas interações humanas e adora ouvir as histórias de cada pessoa. Photoshop e Internet é hobby, mas as pessoas chamam de trabalho. Se diverte com desafios e se inspira observando e interagindo com pessoas interessantes! É Programador Front-End na EagleX Marketing Digital

Deixe um comentário!