No paran de hackear mi web

Hola forerxs,


estoy hasta los co****, con perdón, de los hackers. Han hackeado mi web más de 20 veces. Solo por el hecho de ser una página de temática gay.


La página en cuestión es www.gaymaroc.net, un portal en francés, que ofrece información y intenta ayudar a los jóvenes homosexuales marroquíes a no sentirse solos. La tasa de suicidio entre la población homosexual en ese país es enorme, solo por dar una justificación de la existencia de este medio.

Salimos a menudo en prensa, y tenemos muchas visitas. Por eso somos objetivo de los hackers. Que intentan sin parar taparnos la boca.

Hace un par de días la empresa donde hospedamos la web nos envió el siguiente mensaje:


Hola,

En un análisis rutinario de seguridad hemos detectado archivos maliciosos en su hospedaje, los cuales comprometen principalmente la seguridad de su web y pueden llegar a afectar al normal funcionamiento del servidor donde usted se encuentra alojado.

Por esto motivo hemos procedido a eliminar/reparar inmediatamente los ficheros comprometidos.
Esto es solo un primer paso y para resolver efectivamente este problema necesitamos de su colaboración, es de vital importancia que realice los siguientes pasos en este orden:

- Revise la seguridad de los equipos con los que realiza el mantenimiento de su web. Puede hacerlo con las siguientes herramientas:

http://www.osi.es/Protegete/Protege_tu_PC/Utiles_Gratuitos/

- Actualice a la última versión el CMS y/o los módulos, templates, etc. que este usando actualmente en su web.

- Es esencial que cambie sus contraseñas de FTP y Correo.

Le facilitamos una lista de ficheros comprometidos detectados:

{MD5}php.nested.base64.5524 : /home/domains/gaymaroc.net/public_html/images/stories/food/index2.php
{HEX}php.cmdshell.Err0R.221 : /home/domains/gaymaroc.net/public_html/images/stories/q.php
{HEX}perl.shell.cgitelnet.175 : /home/domains/gaymaroc.net/public_html/images/M_images/index.pl
{HEX}perl.shell.cgitelnet.175 : /home/domains/gaymaroc.net/public_html/images/M_images/index.ps
{HEX}php.cmdshell.Err0R.221 : /home/domains/gaymaroc.net/public_html/images/M_images/q.php
{HEX}perl.shell.cgitelnet.175 : /home/domains/gaymaroc.net/public_html/cgi-bin/config.ps


Es probable, que existan más ficheros infectados en su hospedaje además de los que le acabamos de notificar, por lo que por favor, realice una comprobación minuciosa de todos los ficheros alojados en su hospedaje.

Muchas gracias.

Un saludo, atentamente

Departamento de Seguridad HyD





Es la 2º vez que nos envían este mensaje. El año pasado tuvieron que darnos de baja por la cantidad de ataques que recibíamos ya que eso comprometía la seguridad de todo el hospedaje de esa empresa.



Qué podemos hacer? algún consejo por favor?


Esto no es nada justo.

aca te doy un link que me parece muy bueno para leer:
http://edu.jccm.es/joomla15/index.php/seguridad-en-joomla/108-algunos-consejos-para-hacer-seguro-tu-joomla.html

tambien te recomiendo que uses el plugin jsecure.
http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12254

es lo que yo te puedo decir, ojala te den mejores respuestas que las mias ;)
saludos

Hola colegas,

Siento deciros que también mis webs fueron víctimas de ataques, y que durante unos 6 meses, recibí varios correos de mi hosting, al estilo del tuyo, así como de google y diversos bancos, ya que estaban utilizando varios agujeros para actividades de phishing.

Está claro que, inicialmente somos responsables directos del mantenimiento "saludable" de nuestros sitios, pero más allá de nuestro trabajo, la "casa" debe estar bien blindada, o lo suficientemente como para permitir seguir abiertos al exterior y no dejar puertas abiertas.

Para que no pierdas el tiempo, (que ya lo perdí yo), ahí van mis consejos:

1º Bloquea el sitio de todas las formas posible (si no lo hizo tu hosting), añade un archivo index.html diciendo que estás realizando operaciones de mantenimiento, por ejemplo. Cambia las claves y usuarios, de todo, repito, de todo.

2º Busca un buen Hosting, no uno cualquiera. Ahorrar unos euros al año, te puede suponer invertir cientos de horas en recuperar los destrozos de hackers. Te aseguro que durante años, hice caso omiso a este consejo, y al final, lo mio me ha costado.
Por propia experiencia, te aconsejo www.cyberneticos.com , pero hay muchos más, claro, y si tu bolsillo lo permite, contrata un VPS administrado. Y traslada el sitio.

3º Comprueba la vulnerabilidad de tus módulos, componentes, plugins, temas, y asegúrate de que están actualizados, así como el propio joomla, y que el equipo de joomla aprueba su uso sin riesgos, desde aquí : http://docs.joomla.org/Vulnerable_Extensions_List
También, dedica un rato a la lectura de: http://docs.joomla.org/Category:Security_Checklist

4º Si permites el registro de usuarios, bloquealo también mientras solucionas todo esto, y antes de volver a activarlo, instala un plugin captcha.

..... aún con todo, ten por seguro que si quieren volver a entrar, lo harán, pero cuanto más difícil lo pongas, menos caso te harán, y pasarán al siguiente...

Bueno, básicamente es lo que desde mi breve experiencia te puedo aportar. Espero que te sirva, y estaré atento a cualquier comentario que me corrija o aporte información.

Suerte y un saludo.

Primer consejo, debeis mantener actualizado tu joomla y las extensiones del mismo, no useis demasiadas extensiones o plugins, esto incrementa la posibilidad de hackeos, cambia el password ftp de tu cuenta y establece una nueva con un alto nivel de complejidad, revisa que tu pc no esté infectado con algún troyano porque posiblemente este envíe el password que has colocado a algún grupo de hackers.

Muchísimas gracias por tan valiosa información. Ya empieza a dar resultado.


alguno sabe donde si puede descargar el jsecure? es gratuito este programa?


saludos

Hola mar6, ya comienzo a entender el tema de hacking etico de algunas victimas de Sitios Web, por dar un ejemplo Hydroaysen fue atacada por Anonymus comoprotesta de no construir su represa, que afectaria el medioambiente.

Por seguridad maxima o escalable, te recomiendo que te pases a iWeb, ellos te ofrecen servidores administrados y gestion de Firewall.

En Softwares te podria aconsejar que instales RSFirewall, esta semana vi no se en que sitio una comparativa que firewall para joomla, yo lo uso y es uno de los mejores que vienen, al nivel de software.

saludos

mandame tu e-mail por privado y te mando el plugin

creo que ya no es gratuito, pero yo tengo el plugin que lo era!

saludos!

HOla, Hay alguna extensión que me permita que la url de administrador no se /administrator... sino una personalizada?
Gracias

http://extensions.joomla.org/extensi...otection/12254

te recomiendo amazon ec2 no hosting normal te recomiendo que uses ec2 que le pongas un keypair y no lo guardes en ninguna nube guardalo en aun pendrive y escondelo en una caja fuerte tambien te recomiendo que no uses ftp tambien te recomiendo que elimines despues de un tiempo la carpeta administrator de joomla o le pongas un nombre extraño al que ellos no se le pueda hacer facil acedder tambien te recomiendo que usas cosas como cloudflare
tambien te recomiendo que la base de datos este en la nube en amazon y contrastes el servicio de backup de amazon y que el correo de la cuenta amazon tenga una contraceña especial que no tenga ni el nombre de tu madre.

y que sobretodo tengas el puerto 80 abierto solo ese y nada mas... :D

tambien si tienes paypal o alguna otra cosa guardada en el administrador de joomla como tu correo cierralo elimina todas las suscripciones a sitios web . tampoco que uses la misma contraceña para la base de datos en el administrador y para el correo. tambien te recomiendo que si tienes paypal le cambies el correo y tambien cualquier cosa que tengas guardada en el hosting como tus datos personales usa datos falsos desde la direccion hasta el numero de telefono.

usa linux e instala el software recomendado de ubuntu y sobretodo no uses chrome elimina el 99% de las extensiones (solo deja las que deverdad sean indispensables)

tambien borra las cookies

tambien borra todo los datos que tengas en tu cuenta google primero descargalo

elimina tus marcadores

y sobretodo no te registres en todas las paginas que veas

salte de facebook

salte de google pluss

salte de ebay

salte de dropbox

si tienes telefono simplemente no lo uses porque si por alli accedes al admin de joomla puedes estar jodido (porque hay apps que te piden permisos si esos mismos permisos que si permiso de red permiso para la agenda de contacto ademas estas apps se actualizan solas nadie sabe lo que viene en esas actualizaciones)

tambien que tu programador no sea indu busca un programador de confianza al que le puedas ver la cara

sobretodo no le des mas informacion al sistema de internet porque entre mas le des mas sabran de ti

se que todo esto te suena raro y pero entre menos contacto tengas con la droga electronica mejor

asi nunca jamas te hackearan pero sobretodo usa amazon ec2

Hola, si te tienen algun spyware o algo así en tu pc windows, de nada te sirve cambiar claves, te recomiendo que pases a usar linux, cualquiera de sus distribuciones, ubuntu sino manejas ningun linux. Con eso evitas los virus. Luego cierra puertos, y busca vulnerabilidades de tu version de joomla de acuerdo a ataque que te realicen.