Intro
El otro día viendo una página que administro que usa Joomla, me encontré con esto en la página inicial o home:
Y me fui de ass, como se dice en nuestro muy buen
vocabulario, ¿qué diablos?
Bueno, buscando y metiendo mano logré resolverlo.
Esta guia
es para quienes, así como yo les han hackeado su web hecha en Joomla, no son expertos en seguridad, y quieren volver todo a la normalidad. Ahora si, DEPENDE de que
tan bolsa les hayan hecho el sitio.
Esta entrada les puede ayudar con algunos
truquillos simples que aprendí con la lección, sobretodo útiles si usan Joomla,
y para nada pretende ser la "gran guia anti hackers para bobos con claves pencas" ni algo parecido.
Buscando
Lo primero que encontré, fue que la clave administrador del
panel de Administración estaba cambiada:
Entonces me acordé del CPanel, pude entrar por suerte
(gracias sr. hacker) y ahí uno va a Php My Admin
Adentro fue a la base de datos de Joomla, en mi caso X_joomla y luego a la tabla
de usuarios, en mi caso s70n8_users. Aquí encontré algo raro ya que solo existía un súper usuario y una cuenta nueva que no era la mia, sino del tal hacker, hasta con su correo...lo otro raro, es que ambas cuentas, la de admin y la del hacker, tenían la misma clave.
Tomé la clave, la copie, y pegué en
http://www.md5decrypter.com/ y tuve la suerte (por 2da vez) que me entregó
resultado. Esa clave la use en el Administrador y entró.
Adentro lo primero fue ir a Site -> My Profile y cambié la clave por una muy segura con letras + puntos + números + símbolos
raros. Luego vi esa clave en la base de datos y la anote en el block de notas.
Ya con el control de Administrador de Joomla, me puse a ver qué componente pudo haber cambiado el hombre para cambiar el home del sitio, y encontré luego buscar un rato que lo que cambió no fue la página sino el Template. Como no he cambiado el template de Joomla desde que lo instalé, el template por defecto usado es gk_music_free - Default así que fue a ver los archivos y estos sólo eran CSS, no creo que cambió esos archivos.
Abajo estaban los Templates Master lo más seguro que cambió algo por ahí pero me dio lata entrar uno a uno. Lo dejé para una futura revisión si no encontraba nada
en mi siguiente búsqueda.
Mejor volví al administrador y fui al Administrador de Archivos del servidor y ahí vi un archivo index.php interesante dentro del template gk_music_free:
Lo abrí y cha-chan, ¡adentro estaba el código HTML con el
mismo mensaje del hacker!
Solución
Ahora que estaba claro el problema, donde fue el hack exacto
que realizó nuestro amigo, el resto era sencillo, fui a bajar la última versión
del template GK Music Free:
http://www.newone.org/gk-music-free-responsive-template-j25, abrí los archivos, y reemplacé el index.php del template que baje por
el del servidor y listo. Esto lo hize por FTP, me salió más cómodo.
Resumen
- La clave está en tener una password suficientemente segura en el panel Administrador del Joomla, en el CPanel y en la Base de Datos, esto quizá no les evite el problema, pero al menos le hará un poco más costoso que los hackeen.
- NO usen Joomla si quieren un sitio seguro, así de simple. De hecho ahora mismo estoy migrando el sitio a uno hecho “a mano” sin Joomla.
