Invasão, portal misteriosantigos.com

  • Identifique-se para criar novos tópicos neste fórum
  • Visitantes anônimos não podem postar neste fórum
Luciana  Ocasional De: Rio de Janeiro - Brasil  Postagens: 34

...oi pessoal.

Uso o XOOPS 2.0.13.1, tenho instalado os módulos para artigos Smartsection, soapbox, News 1.44, xt-conteúdo (o qual me trouxe o problema)...e mais alguns que não recordo agora.

Infelizmente...ontem meu portal (MisteriosAntigos.Com) foi invadido e usaram o xt-conteúdo para enviarem milhares de e-mail...NÃO ME PERGUNTEM COMO! Dentro da pasta content do módulo criaram um arquivo send.php e estavam utilizando o meu domínio para enviar spam e vírus e mais outras coisas.

Alguém pode me ajudar, estou desesperada e não sei o que vou ou posso fazer para amenizar esse tipo de ataque.

Se soubessem o quanto trabalho (+ de 12 hs por dia) para manter esse portal no ar e sozinha, creio que pelo lado humano não fariam isso comigo, o portal está no ar há 10 anos e vou dizer que não é fácil administrá-lo, os amigos aqui bem sabem disso, estou no meu limite...mas é apenas um desabafo.

Tive um problema sério com o pessoal do meu servidor...porquê até provar que não era eu que estava enviando os e-mails...não foi fácil. Hoje a tarde (23-05-07) descobrimos o que estava acontecendo.

Existe uma maneira de evitar isso ou amenizar? Já uso o arquivo .htaccess no diretório do meu XOOPS...será que eu pode fazer isso com todos os módulos?

Me desculpem o pedido de socorro...mas desde ontem estou desorientada sem saber o que fazer...e por isso estou postando essa mensagem aqui pela segunda vez em curto intervalo de tempo. Se hou ver uma alma que possa me dar algumas dicas ou me ajudar de alguma forma, serei eternamente grata.

Abraços e obrigada.
Luciana.
Misteriosantigos.com

Gislaine  Ocasional   Postagens: 36

Já temos conhecimento deste tipo de invasão usando o módulo xt-conteudo. Ainda não dá para dizer que foi pelo módulo em si, mas que ele foi utilizado para fazer isto.

Estamos com um módulo em desenvolvimento que deverá tomar conta ou tentar minimizar estes problemas de alterações de arquivos PHP sem a autorização do proprietário.

O ideal seria criar um clone deste portal em outro local e fazer uma grande atualização para a versão 2.0.15 ou até mesmo a 2.0.16. Existe uma falha no session que pode permitir abusos.

Se montar o clone para testar tudo e depois move-lo para o seu endereço principal, pode tentar fazer este trabalho abaixo mas que irá conter grande risco ao seu site.

Neste momento o que pode falar era para desabilitar o módulo temporariamente. Realizar um grande backup de dados físicos via FTP e também de todo banco de dados.

Limpar fisicamente os diretórios não deixando nada.
Montar em localhost um clone com todos os dados, mas usando uma versão nova já atualizando tudo. como você está com uma versão até que recente, não deverá ter grandes problemas.
Mas tenha em mente que problemas poderão ocorrer.

Seria interessante primeiro tentar criar um clone local, de dados e arquivos físicos. Fazer a atualização da versão, etc..., etc.

Vá passando o andamento aqui para galera.

wilson  Iniciante   Postagens: 0


Não diretamente com relação ao XOOPSConteúdo, mas sim ao TinyD, existe também uma brecha que aproveita fopen de uma classe do spawn, estando o editor sendo usado ou não.

Em um portal antigo que era hospedado na locaweb, aconteceu a mesma coisa. Foram enviados mais de 12.000 spams

Na época, como não utilizava o spawn, simplesmente eliminei-o do server.

Luciana  Ocasional De: Rio de Janeiro - Brasil  Postagens: 34

Oi Gisa_Iagami, poxa...muito obrigada! Na verdade, eles não alteraram o nome do arquivo. Eles criaram mais um arquivo na pasta. Vou tentar transferir os artigos que estão no xt-conteúdo para outro módulo que ainda não sei qual...e desabilitá-lo para amenizar como você falou.

Vou lhe fazer algumas perguntas, porque estou um pouco ou totalmente perdida.

Vou tentar seguir todos esses passos, o que demanda tempo...mas vou fazer de tudo. Que versão você realmente me aconselharia "versão 2.0.15 ou a versão 2.0.16?

Posso fazer download dessas versões aqui?

Com relação a falha no session, posso a princípio resolver isso por enquanto? Como você conseguiu saber dessa falha?

Quanto ao backup físico via FTP...tudo bem. Mas com relação ao banco de dados, você pode me dar uma ajuda por aqui?

Vou falar com o pessoal do meu servidor e pedir esse local para o clone...estarei postando aqui mesmo todos os passos dessa atualização e seus possíveis erros...espero não tê-los e postar aqui que foi um sucesso. Vamos ver.

Obrigada mesmo de coração.
Luciana

Luciana  Ocasional De: Rio de Janeiro - Brasil  Postagens: 34

Oi Wilson,

Você fala dos editores que ficam dentro da pasta class/xoopseditor. Isso?

Tenho lá a pasta "spaw" e o "tinyeditor" e outros.

Ainda não me liguei se utilizo esses editores em algum módulo...mas vou verificar agora. Caso seja isso mesmo e eu não precise deles...posso deletá-los manualmente pelo FTP?

Qualquer coisa que eu possa fazer para amenizar esse problema, farei certamente. Obrigada pelo retorno viu, não tenho outra forma para agradecê-lo.

Abraços,
Luciana

Rmarx  Iniciante   Postagens: 0

Luciana, faça o seguinte, na dúvida se você usa ou não esses editores, renomeie o mesmo e veja se afeta em algo, se não afetar nada pode remove-los.

Atualmente utilizo o módulo Msstop Publish, ele tem seu prórpio editor.

Baixe aqui

Instale o módulo Protector!

E faça como a Gisa_Iagami sugeriu, upgrade para o XOOPS 15 ou 16!

Luix  Iniciante   Postagens: 1

olá Luciana,

Que versão você realmente me aconselharia "versão 2.0.15 ou a versão 2.0.16?

- recomendo a versão 2.0.16, mais nova e mais atualizada... os módulos tb, escolha os mais novos, porque geralmente eles vem atualizados também na questão da segurança.

Posso fazer download dessas versões aqui?

- recomendo descarregar do xoops.org e baixar a tradução mais recente que tiver no fórum de traduções.

- há também a opção da versão do México (xoops-mexico.net) que tem a área administrativa com novo visual... (tradução para o português disponível também no fórum de traduções)

Mas com relação ao banco de dados, você pode me dar uma ajuda por aqui?

- se o seu servidor usa o cPanel para a administração da conta, basta clicar em Banco de Dados MySQL, nesta página você vai encontrar dados do usuário do banco de dados e do banco de dados, opções de gerenciamento de permissões, etc, no final da página terá um endereço bem discreto phpMyAdmin, clique nele, vai abrir em outra janela, e você terá acesso visual ao banco de dados e às tabelas... no frame principal da tela, terá um menu horizontal (com aparência de abas) em que uma das opções será exportar, clicando nela você terá muitas opções para escolher a forma de exportar seu banco de dados... e vòila.

Dica: se o seu banco de dados for muito grande, exporte as tabelas maiores em separado (para ficar mais rápido) e a opção de compressão com gzip também ajuda.

é isso

FrodoBR  Iniciante   Postagens: 1

Outra coisa que aprendi aq também foi de não deixar mods que não usa dentro do portal. Se não usa um mod, desisntalar ele e apagar pelo FTP não deixar nada.

Também veja se no diretório de uploads não tem arquivos de PHP se tiver apague.

Gislaine  Ocasional   Postagens: 36

by lrboc em 24/05/2007 16:20:07

Oi Gisa_Iagami, poxa...muito obrigada! Na verdade, eles não alteraram o nome do arquivo. Eles criaram mais um arquivo na pasta. Vou tentar transferir os artigos que estão no xt-conteúdo para outro módulo que ainda não sei qual...e desabilitá-lo para amenizar como você falou.

Mas é isto mesmo, devem ter lançado um arquivo de php. Em geral acontece no uploads, pelo menos o que andamos vendo.

Vou tentar seguir todos esses passos, o que demanda tempo...mas vou fazer de tudo. Que versão você realmente me aconselharia "versão 2.0.15 ou a versão 2.0.16?

Já respondido pelo Luix corretamente no meu entendimento.

Posso fazer download dessas versões aqui?

O meu conselho é sempre baixar as versões dos locais oficiais e depois pegar as traduções.
Se versão xoops.org, pegue diretamente no xoops.org, se versão XOOPS méxico, pegue diretamente no XOOPS méxico.
Dá um trabalhinho para juntar a tradução, mas é melhor para a sua segurança.

Com relação a falha no session, posso a princípio resolver isso por enquanto? Como você conseguiu saber dessa falha?

Em vários locais no xoops.org e em especial outros detalhes veja neste excelente tutorial.

Attention - hackers en balade

Quanto ao backup físico via FTP...tudo bem. Mas com relação ao banco de dados, você pode me dar uma ajuda por aqui?

Também já respondido pelo LuiX.

Vou falar com o pessoal do meu servidor e pedir esse local para o clone...estarei postando aqui mesmo todos os passos dessa atualização e seus possíveis erros...espero não tê-los e postar aqui que foi um sucesso. Vamos ver...

Vá mandando aqui o que for acontecendo. Mas é muito importante atualizar a versão. Eu sei que tem locais onde o portal tem grande banco de dados e fica muito difícil fazer isto, ex: O nosso caso aqui, muito complicado, estamos com o mesmo problema que você. Mas siga o que foi falado aqui sobre pegar o backup de dados via phpmyadmin por partes que deverá dar certo até você conseguir montar o seu clone.

Não use nenhum arquivo físico desta versão antiga do XOOPS de preferencia. Procure limpar tudo que tu tenha no uploads e só deixe mesmo as imagens.

Apague todo o conteúdo da pasta cache, e se puder apague ela fisicamente e recrie de novo com as permissões 770
Depois que acessar o portal pela primeira vez via admin, mude as permissões para 644 e se der pau, 755 no arquivo adminmenu.php

No templates_c, procure sempre apagar tudo e deixar apenas o index.heml. É importante utilizar algum módulo que faça esta limpeza para você regularmente, tipo uma vez por semana.

  Pesquisa avançada






Entrada

Codinome:


Senha:





Perdeu a senha?  |Cadastre-se!


Quem nos visita
Há 49 visitantes neste momento... (24 na seção Fóruns)

Associados: 0
Anônimos: 49

outros...

Banner XOOPS Cube