lunes, 24 de junio de 2013

¿Me han hackeado mi página hecha en Joomla?

Intro

El otro día viendo una página que administro que usa Joomla, me encontré con esto en la página inicial o home:


Y me fui de ass, como se dice en nuestro muy buen vocabulario, ¿qué diablos?

Bueno, buscando y metiendo mano logré resolverlo. 

Esta guia es para quienes, así como yo les han hackeado su web hecha en Joomla, no son expertos en seguridad, y quieren volver todo a la normalidad. Ahora si, DEPENDE de que tan bolsa les hayan hecho el sitio. 
Esta entrada les puede ayudar con algunos truquillos simples que aprendí con la lección, sobretodo útiles si usan Joomla, y para nada pretende ser la "gran guia anti hackers para bobos con claves pencas" ni algo parecido.

Buscando

Lo primero que encontré, fue que la clave administrador del panel de Administración estaba cambiada:
Entonces me acordé del CPanel, pude entrar por suerte (gracias sr. hacker) y ahí uno va a Php My Admin

Adentro fue a la base de datos de Joomla, en mi caso X_joomla y luego a la tabla de usuarios, en mi caso s70n8_users. Aquí encontré algo raro ya que solo existía un súper usuario y una cuenta nueva que no era la mia, sino del tal hacker, hasta con su correo...lo otro raro, es que ambas cuentas, la de admin y la del hacker, tenían la misma clave.

Tomé la clave, la copie, y pegué en http://www.md5decrypter.com/ y tuve la suerte (por 2da vez) que me entregó resultado. Esa clave la use en el Administrador y entró.

Adentro lo primero fue ir a Site -> My Profile y cambié la clave por una muy segura con letras + puntos + números + símbolos raros. Luego vi esa clave en la base de datos y la anote en el block de notas.

Ya con el control de Administrador de Joomla, me puse a ver qué componente pudo haber cambiado el hombre para cambiar el home del sitio, y encontré luego buscar un rato que lo que cambió no fue la página sino el Template. Como no he cambiado el template de Joomla desde que lo instalé, el template por defecto usado es gk_music_free - Default así que fue a ver los archivos y estos sólo eran CSS, no creo que cambió esos archivos. 
Abajo estaban los Templates Master lo más seguro que cambió algo por ahí pero me dio lata entrar uno a uno. Lo dejé para una futura revisión si no encontraba nada en mi siguiente búsqueda.

Mejor volví al administrador y fui al Administrador de Archivos del servidor y ahí vi un archivo index.php interesante dentro del template gk_music_free

Lo abrí y cha-chan, ¡adentro estaba el código HTML con el mismo mensaje del hacker!

Solución

Ahora que estaba claro el problema, donde fue el hack exacto que realizó nuestro amigo, el resto era sencillo, fui a bajar la última versión del template GK Music Free: http://www.newone.org/gk-music-free-responsive-template-j25, abrí los archivos, y reemplacé el index.php del template que baje por el del servidor y listo. Esto lo hize por FTP, me salió más cómodo.

Resumen


  • La clave está en tener una password suficientemente segura en el panel Administrador del Joomla, en el CPanel y en la Base de Datos, esto quizá no les evite el problema, pero al menos le hará un poco más costoso que los hackeen.
  • NO usen Joomla si quieren un sitio seguro, así de simple. De hecho ahora mismo estoy migrando el sitio a uno hecho “a mano” sin Joomla.