Mod noticias bloque de hielo Joomla Hosting

El problema

¡Hola!
Necesito ayuda para conseguir mi servidor.
Se aloja varios sitios web que utilizan tanto Moodle y Joomla.

Los atacantes cargar archivos maliciosos a mi Webroot servidor.
Estos archivos van desde el clásico de .php a .zip
Ellos pueden descomprimir los archivos .zip y ejecutar los scripts php.

Me referiré a la Webroot como / var / www (mina es ligeramente diferente).
Dentro del directorio / var / www son carpetas de sitios web, la carpeta y la carpeta moodledata VirtueMart:

Mod bloque de hielo de noticias Joomla hosting que puede sonar duro

  • example.com - sitio web de Moodle
  • special.com - sitio web Joomla
  • sub.special.com - Una carpeta vacía, que estaba destinado para un subdominio.
  • datos - contiene moodledata
  • vmfiles - carpeta virtumart

Los archivos maliciosos se cargan en todas las carpetas, excepto para los datos y vmfiles.

Mi servidor se utiliza como un robot de spam.

Los recursos del servidor se utilizan a veces todo el camino hasta el 100%.
A veces caen sitios web, pero pueden ser devueltos mediante el reinicio de php5-pies por minuto.

Los cambios en la configuración del servidor web tienen que ser hechas a través del panel ISPmanager.
Por favor, encontrar el archivo de configuración de nginx para el sitio web de Moodle en los archivos adjuntos.

He hecho un montón de google, pero nada ha ayudado a resolver este problema.

Tengo acceso de root - dedicado, un servidor alquilado.

Cualquier consejo y / o solución serán appriciated.
¡Gracias!

Para hacer esto en su propia será un poco de trabajo y requiere un poco de conocimiento especializado - si vas y lo hace usted mismo que es posible que acaba de terminar en el mismo lugar de nuevo.

Yo probablemente configurar un nuevo servidor e instalar las últimas versiones de Moodle / Joomla, Virtumart (asegúrese de que no instala las versiones antiguas es probable que esté utilizando) - También me gustaría tener la tentación de aislar las aplicaciones más 3 en servidores separados - por lo que si te hackeado de nuevo, es probable que sólo uno de esos sistemas que se verán afectados.

Si ha instalado ningún tercero partido add-ons / plugins a Moodle / Joomla / Virtumart me gustaría comprobar para asegurarse de que ninguno de los que se sabe que tienen problemas de seguridad - hay una gran advertencia acerca de las versiones anteriores de VirtueMart aquí:
https://blog.sucuri.net/2014/09/security-advisory-virtuemart-for-joomla.html

Entonces me aseguraría de los principales permisos de archivo Webroot se establecen en el nuevo servidor para ser de sólo lectura.

A continuación, después de instalar / nuevas copias nuevas de los sitios que yo usaría copia de seguridad de las herramientas / restaurar las instalaciones de transferencia de datos desde el sistema hackeado al sistema más nuevo - pero sugeriría ser mucho cuidado con esto porque es posible que el código en su sitio actual ha sido modificado para incluir la basura extra en los archivos de copia de seguridad.

Si todo esto es un poco demasiado para usted puede ser que sea mejor empezar copiar / pegar texto / contenido fresco y justo en su nuevo sitio actualizado.

Mod noticias hielo en bloque de alojamiento Joomla intento, editar el

Средняя оценка: Útil (1)

Re: Servidor violada front-end - cargar archivos maliciosos

Четверг, 30 Июнь 2016, 07:15

+1 a lo que dijo Dan.

Estoy seguro de concentrarse sólo en el servidor web y por medio de los paneles / herramientas que tiene a su disposición esa ruta no va a funcionar muy bien. Para 'limpiar' requiere asegurándose de que las versiones de las aplicaciones son más altas / más segura y que de complementos / plugins que tiene son también más alta / más segura. Además, la búsqueda y la erradicación de los archivos maliciosos. muchos de los cuales probablemente 'look' que pertenecen, pero no lo hacen, es una tarea mejor manejado a través de línea de comandos en un shell bash.

Ejemplo: un fgrep comprobar el access_log del servidor web en busca de todas las entradas de registro que 'post' a un directorio (como la de la comunidad de Joomla).

fgrep "POST /" $ 1 / var / log / httpd / access_log | más

y después de inspeccionar cualquier archivo php que parece fuera de lugar. lo que significa que uno tiene que saber qué archivos vienen con Joomla.

Lo que quiero decir. \

Moodle es generalmente segura, incluso si se ejecuta fuera del núcleo de la fecha. Joomla es una historia diferente.

Tengo que preguntar esto: ¿cuál es la versión de Joomla?

Es el registro de globales en PHP? A su vez que fuera! Se puede ver que en php información de Moodle.

'Espíritu de compartir', Ken

Lo tanto, Ken y Dan han dicho que están en el dinero, pero mi paranoia me hace tomar un paso más allá. El acceso al servidor de todo el mundo tiene que ser detenido de inmediato; utilizando el construido en el servidor de seguridad de acceso a todos los servicios (web y Shell), a partir de su dirección IP SOLO restringir para que pueda obtener el acceso y la copia de seguridad de los datos necesarios para restaurar a un nuevo servidor.

Nada en el servidor existente se puede confiar por más tiempo, sobre todo de base de datos y el contenido de la web-directorio - lo que significa que tendrá que ser muy cuidadoso cuando se restaura. Asegúrese de que se inicia desde conocido buenas fuentes de los vendedores, y comprobar todo. A mí me suena como si alguien tenía (pero probablemente todavía tiene) acceso a una consola; lo que significa que probablemente han establecido persistencia e incluso si se actualiza el software en el servidor existente a las versiones que no son vulnerables a los ataques externos, esto significa que seguirán teniendo acceso a voluntad. Esto podría ser a través de un archivo .php instalado en el sistema en una de las máquinas virtuales (probablemente no en un lugar obvio), o por medio de un sistema binario backdoored en el sistema.

A través de las vulnerabilidades de escalada de privilegios locales los atacantes probablemente tendrán acceso a la raíz.

Teniendo en cuenta que usted ha tenido los atacantes en el sistema, esto significa todas las contraseñas en el sistema están comprometidas - incluyendo todos sus usuarios de Moodle, todos los nombres de usuario / contraseñas almacenadas en Joomla y VirtueMart y si tenían root o sudo acceso a sus cuentas SSH / corteza local son todo comprometido, también. No use ninguna de las mismas contraseñas en el nuevo servidor.

Usted debe aconsejar a los usuarios que sus datos lo antes posible ha sido comprometida para que puedan tomar medidas para cambiar sus contraseñas y para protegerse a sí mismos. Si acepta pagos con tarjeta de crédito puede ser adicional, requerida legalmente, pasos que deberá llevar a cabo por lo que el cumplimiento de PCI va (no estoy seguro acerca de las leyes en la que son, sin embargo).

Dependiendo del tamaño de su organización, y si realmente quiere saber cómo entraron y lo que hicieron, usted podría contratar una empresa de seguridad que ver la respuesta a incidentes - pero si has eliminado archivos ya que podría ser demasiado tarde para eso .

Buena suerte. No es una cosa agradable para ir a través.

Re: Servidor violada front-end - cargar archivos maliciosos

Четверг, 30 Июнь 2016, 23:12

Después de haber pasado por esto varias veces, te puedo decir que no es divertido para limpiar. En mi caso, a veces era el software de aplicación o plugins, pero cuando se Moodle ser atacado era porque PHP tenía agujeros de seguridad en el mismo. Mi anfitrión de la tela era tan poco servicial, me informa que si necesitaba una versión diferente de PHP, que tendría que instalar yo mismo. Desde entonces he trasladó a servidores de la nube en la que controlar las versiones de todo y se puede actualizar de forma rápida cuando hay de CVE en varios componentes del servidor.

Por lo tanto, ya que estás en un servidor dedicado, asegúrese de comprobar las versiones de los componentes del servidor, además del software de aplicación. Si los componentes de servidor tienen agujeros, es posible que haya nada que la aplicación va a ser capaz de hacer para evitar la piratería.

Re: Servidor violada front-end - cargar archivos maliciosos

Пятница, 1 Июль 2016, doce y treinta y cinco

Ok, esto puede tardar mucho trabajo, pero. SI el material malicioso es un robot de spam (que es lo que ayudó a limpiar en un servidor de alojamiento WordPresses y Joomla de en septiembre de este año). esos no son cerca de ese mal. Los archivos php acaba de distribuir spam. no inyectar cualquier dato en DB.

Si golpeado por uno de esos. apagar / bloquear el puerto de salida 25 durante un tiempo (SMTP) - que es un / Sendmail / FireWall Thang PostFix).

Tenía la ayuda de SBL. que tenían un vínculo previo aviso y por correo electrónico bloqueados con un enlace al archivo spambot malicioso. Inspeccionar el archivo encontró que no formaban parte de ninguno de los códigos de Joomla, pero un archivo se dejó caer en lugares al azar y utiliza los nombres de tal manera que uno busca en los archivos podría pensar tal archivo php debe pertenecer allí. Así que la cremallera (localmente) un paquete de Joomla y luego crea una referencia de archivos .txt de todos los archivos en él contenidos (ls -lR ./joomladir/> allfiles.txt). Luego utiliza que allfiles.txt como referencia para lo que uno shuld encuentran en directorios (nota:. en este caso, la mayor parte de Joomla en ese servidor de genéricos eran ninguno o muy pocos addons / plugins adicionales añadidos.

Hice una de dos cosas a los archivos "infectados" cuando se encuentran:

1. eliminado el archivo. a continuación, vuelve a crear un archivo .php por la sustitución de mismo nombre código spambot con una advertencia de que la dirección IP ha sido registrado (pequeña adición al archivo vierten dirección IP del acceso al archivo a un archivo de texto) y un reenvío automático al sitio de gobierno que tenía información sobre los delitos informáticos - por si acaso hubo un ser humano real detrás de este acceso.

2. sólo hay que poner la palabra Atrapados! ahí. y luego corrió la escritura nocturno que analiza los registros de acceso de Apache por dicho archivo en un archivo de texto para ver fácilmente la dirección IP. Entonces blackholed no sólo la dirección IP única, pero en algunos casos, toda la red de la que procede.

Did actualizar el Joomla. extensiones de terceros retirados no se utilizan y bloqueados los permisos de archivos / directorios.

Hizo un seguimiento del sistema. sólo para el acceso a los scripts (ahora inofensivo) spambot '' y que malicous blackhole inmediatamente la IP que se accede. con tal de que no estaba comprobando SBL.

En el final. limpiado. no tiene que reconstruir. pero como he dicho antes. tomo tiempo. y uno tenía que tener un nivel de acceso al sistema de archivos para hacerlo.

Mientras tanto. servidor sigue siendo utilizado.

'Espíritu de compartir', Ken

Puesto que usted tiene acceso ssh, muy recomendable instalar y utilizar wp-cli.
https://wp-cli.org/

Una configuración puede un script de shell bash para comprobar si hay cambios a la base, plugins, temas WP y adquirirlos (así como copias de seguridad de la base de datos a través de volcado SQL). Ese guión podría
hacerse no interactivo y puede ser creado como una secuencia de comandos de bucle se ejecuta a través
todos los sitios WP en un servidor que tiene múltiples WP instalada.

¿Tiene instalado ClamAV? ClamAV no detectará todos pero algunos php relacionados
'virus' (como troyanos, etc.). Eso sí, no ejecutarlo donde se encuentra cuarentenas
archivos como algunos podrían ser un falso positivo.

En cuanto a lo que se encontró. archivos maliciosos.
era sólo su ubicación en WordPress (temas)? O se dejan caer en archivos también Moodles?

Los procesos no deseados más que probable que no serán de tipo demonio sino más bien como
ejecutables que se inician en el comando / acceso.

La ejecución de una mezcla de software en un único servidor siempre ha tenido este problema potencial.

¿Tiene WP y Joomla o integrarse con Moodle para el propósito de vender cursos? Donde los usuarios de Moodle se encuentran en la mezcla?

Además, esto realmente podría ser un buen argumento para el uso de git para instalar / actualizar / actualización
Moodle. Un archivo que ha cambiado impedirá git de actualización.

'Espíritu de compartir', Ken

Re: Servidor violada front-end - cargar archivos maliciosos

Пятница, 1 Июль 2016, 22:20

WP-Cli suena como una gran herramienta.
Por desgracia, no es para mí, ya que ninguno de mis sitios web utilizan Wordpress.
Sin embargo consigo esos virus específicos WP.
Ellos se dejan caer en los dos sitios web de Moodle y Joomla incluyendo la carpeta subdominio en blanco.

Voy a publicar uno de esos archivos aquí tan pronto como encuentre una nueva.
En este momento no hay ninguno, porque Limpié el servidor.

Sin duda prueba el antivirus que usted sugiere.
En este momento estoy usando maldet, parece hacer bien el trabajo.

Mi Moodle no está integrado con Joomla.
Aunque he tratado de que en un servidor diferente y fue una pesadilla para la instalación.

Mi soporte de servidor solo ha fijado los procesos no deseados.

Re: Servidor violada front-end - cargar archivos maliciosos

Суббота, 2 Июль 2016, doce y veintiuno

Hay algunas personas que hacen temas / plantillas para WordPress y tanto Moodles. agujeros temáticos no son que un-común.

Para ayudar con sus de joomla. pensar JoomlaShowRoom tiene un producto para escanear (remotamente) Joomla se instala y se proporciona un listado de 'salud', etc., de la comunidad de Joomla. Obtener un regalo de promoción en un dominio para que pueda ver cómo funciona. Joomla múltiple de, etc requeriría compra de una licencia para usar, pero entonces usted obtener toda la información.

No es una buena idea para compartir archivos infectados '' aquí - ya que esos archivos no se han archivos principales de Moodle. ¿eran ellos? Si intenta, editar los archivos. pelar hacia fuera las etiquetas de PHP. tanto en la cabecera, así como la etiqueta de cierre php y no proporcionan toda la cosa. simplemente TOP 5 líneas. Y, proporcionar como un archivo .txt.

¿Dónde se encuentran? en / moodlecode / themes / Cualquiera de ellos cayeron en los temas centrales que uno obtiene con un acquistion fresca del código de Moodle?

¿Usted hizo una exploración clamav (maldet, por cierto, si ClamAV presente, lo utilizará en su scans). ¿Tiene la última maldet?

'Espíritu de compartir', Ken

Re: Servidor violada front-end - cargar archivos maliciosos

Четверг, 7 Июль 2016, 18:22

Los archivos maliciosos se cargan en las siguientes carpetas:

y ocasionalmente otras carpetas, pero estos son los más comunes.

Sí, estoy usando la versión más reciente de maldet.

No he probado JoomlaShowRoom todavía.
Sin embargo he encontrado con éxito y fija unos cuantos emitidos con Joomla mí mismo.
Parcialmente presentar los permisos y las correcciones de base de datos.

Esto realmente no es un problema de Moodle. moodle pasa a estar en un servidor con (más que probable, sitios Joomla) que no han sido actualizados o han sido manipulados o ejecutan una extensión vulnerables.

En un post anterior que ha dicho. ya no es compatible '2.5, 3.0 los sitios web de 2,5.

Todos los archivos adjuntos tienen
Search Engine Puerta Generador (SEoDOR)
v. 3.5 * (12/27/2015), UTF-8 (без BOM)
2016, seodor.biz * /

en las cabeceras de los archivos con la excepción de
license.txt
modx.txt y backups.txt - que al parecer es un archivo infectado cierto.
==> Andrey.txt <== is a $code=base64_decode file (infected)

Ambos sitios que mentoned en otras publicaciones aquí en estos foros están ejecutando versiones de PHP que no son los más seguros / hasta a la fecha.

Actualizar el PHP

asegurarse de Joomla son de código más alto / más segura.

Retire cualquier extensión en el núcleo de la NO Joomla.

Algunas extensiones pueden no desinstalar limpiamente y podrían dejar los archivos que se utilizan en las actividades maliciosas, por cierto.

* DO utilizar la herramienta joomlashowroom.

Instalar ClamAV y escanear.

'Espíritu de compartir', Ken

Mover a un nuevo servidor significa exactamente lo que dice. Nuevo sistema operativo, las nuevas copias de todas las aplicaciones web instaladas de fuentes de confianza (de los vendedores, no de copias de seguridad), los datos restaurados a partir de una copia de seguridad correcta (sí, con posible pérdida de datos como datos agregados recientemente se vea comprometida). Si tengo que explicar esto en detalle para la OP, entonces yo sugeriría que ejecuta un servidor no es una buena idea, y se debe dejar a los profesionales. Esto puede sonar duro, y probablemente es un toque, pero al final del día, estas son cosas que necesitan una considerable habilidad para administrar y mantener y los riesgos de poner los servicios en línea a menudo no son conocidos o entendidos por los aficionados.

La única razón por la que levanté mi fondo fue que pensé que podría ser importante para aclarar por qué hice las recomendaciones que hice, y que se han hecho de una mejor perspectiva de las prácticas en un entorno de gran tamaño Uni, de alguien que es un apasionado de InfoSec, y que participan en esa comunidad. Yo no estaba tratando de iniciar un concurso de meadas.

De hecho, me olvidó mencionar mi experiencia en el espacio de pruebas de penetración (tanto en CTF y probar nuestras propias aplicaciones internas), donde, con el permiso del propietario de una aplicación o servidor, es atacado, literalmente, usando muchas de las mismas herramientas utilizan los malos para tratar de comprometer el servidor o aplicación. Esto nos permite encontrar las mismas vulnerabilidades que encontrarían, y solucionarlos antes de que sean encontrados por los chicos malos. Blanco piratería sombrero, si desea darle un sombrero.

Creo que eliminar el malware y tratando de avanzar desde allí es muy peligroso y, en mi experiencia como administrador de sistemas (antes de que yo era un desarrollador), este enfoque se traduce en un entorno inestable que puede nunca, nunca puede confiar de nuevo. Estos son a menudo comprometida a continuación de nuevo, como hemos visto en este caso, los atacantes suelen mantener la persistencia dejando una puerta trasera en un lugar oculto (en un archivo existente, directorio oculto, etc ..)

También soy todavía no ha visto a nadie hablar de los usuarios y sus datos. QUE de todo esto es lo más decepcionante para mí (y estoy seguro de que si sabían!). Incluso si el servidor fue limpiado (que no recomiendo) no ha habido usuarios maliciosos desconocidos en el sistema, es probable que han exfiltraron los datos de las aplicaciones (sobre todo si hay datos de la tarjeta de crédito de todo) y, o bien en venderlo o utilizarlo para otros fines.

Así que al final del día, esto es sólo una diferencia de opinión - pero da la casualidad de InfoSec es sólo un área Soy un apasionado, tener habilidades considerables, y creemos firmemente que en situaciones como esta que la peor de los casos se debe asumir.

Usted es un valioso miembro de la comunidad Moodle Ken, por favor, no tome cualquiera de mis comentarios como un ataque. No se han diseñado de esa manera.

@James. sin ofender tomada. nuestro objetivo en la respuesta es ayudar a la OP. Sí, en este caso, tenemos diferencias de opinión y que son 100% de aciertos en que los que optan por el anfitrión de un Moodle de forma remota haber firmado para aprender a administrar un servidor de aplicaciones + las OP elige instalar. El problema es. los instaladores un botón de clic. otras cosas que hacen que parezca ser 'fácil'. pero los dos sabemos que a veces es la punta del hielo-burg.

Resulta que tengo un poco de experiencia reciente con un 'robot de spam'. ayudar a un 'webmaster' que no tomaron de los negocios. Servidor se ha erradicado con éxito del / de la cuestión. Esto quiere decir, dependiendo de lo que uno no tiene que asumir lo peor. Por cierto, lo hizo tomar un par de semanas para comprobar las cosas.

Una cosa es segura. OP es aprender a admin un servidor. A veces, de nuevo OP tienen que aprender tomar la ruta larga y lecciones aprendidas son dolorosos, pero. Estaría de acuerdo en que el PO tiene que informar a los usuarios del evento y hacer recomendaciones a los usuarios cambiar sus contraseñas - o usuarios de la fuerza para cambiar la contraseña a través de Moodle (OP como debería hacerlo también).

Esta situación también indica la calidad de la asistencia OP está recibiendo de proveedor de alojamiento - por lo que estoy de acuerdo en 'movimiento' por esa razón. En movimiento, sin embargo, podría significar saltar de la sartén al fuego!

'Espíritu de compartir', Ken

Artículos relacionados

El permiso 755 Joomla HostingArchivo de Autorización Problemas múltiples razones podrían ser la causa de este problema, todo lo cual se inicia con el tipo de alojamiento web que tiene el medio ambiente. Estos permisos de archivo son: Ser incapaz de ...
Pdf incrustar 15 Joomla HostingJoomla 2.5 ha llegado a su fin de vida como para 12/31/2014. Tenga en cuenta que esto puede ser un riesgo para la seguridad de su sitio web. Puede ver más información sobre el final de la vida aquí. Debido a sus...
Cambiar http a https en la organización de JoomlaLas personas TMDHosting estoy corriendo un pequeño estudio de diseño digital y he estado usando TMD desde hace bastante tiempo, por lo menos algunos años. Sin embargo, yo tenía que ‘placer’ para tratar otras empresas por ...
Ubicación Joomla base de datos de alojamientoPor lo que desea mover su movimiento un sitio Joomla 2.5 a un nuevo servidor. Confundida con todo el medio terminar o guías tecno balbuceo? Así que no se preocupe, nuestro 'Migración de su Joomla! Sitio a un nuevo servidor ...
MIGLIOR alojamiento por extensiones de JoomlaEscrito por Tuan Bui | 29 de de septiembre de abril 2012 | Publicado en 2012 octubre para construir un buen sitio web es duro; encontrar un buen alojamiento del sitio web no es nada fácil. En serio, un gran número de alojamiento web ...