En muchas ocasiones, trabajar con un gestor de contenidos facilita bastante la labor de generar una nueva aplicación web mediante la cual queremos ofrecer una serie de información en Internet, con un panel de administración que pueda ser usado por cualquier persona con un mínimo conocimiento de la informática.

Joomla es uno de los gestores de contenido que más ha evolucionado en los últimos años, actualmente se encuentra en su versión 3.0, pero siguen utilizándose sus dos cores anteriores 2.5 y 1.5.

El problema que existe en este tipo de gestores de contenido es que, al existir una comunidad tan grande trabajando de forma gratuita para su mejora, también existen muchas otras personas intentando aprovechar cualquier bug para poder hackear sitios webs con este sistema.

Explicado esto, os quería comentar uno de los casos recientes que he visto.

Joomla hackeado: Hacked By Iori From Mazagan {Morocco}

Entre los terroristas informáticos se encuentra un equipo de iraquíes que se dedican a aprovechar exploits de diferentes CMS (Content Management System) , buscar quién los utiliza y literalmente hackearlos.

Aquí tenéis un listado de webs atacas por este grupo:

Listado

 

¿Cómo han hackeado mi joomla?

Yo os voy a hablar de mi experiencia personal, concretamente ha sido con el gestor de contenidos Joomla  en su versión 1.5Generalmente el propio Joomla tiene muy bien tapados los agujeros posibles, pero sus plugins, módulos y componentes pueden ser una buena brecha para cualquier hack.

En esta ocasión el problema surgió con el plugin JCE Editor. Este plugin facilita la edición de artículos y contenido en general, aportando un editor WYSIWYG bastante más completo del que trae el propio Joomla. Si tienes una versión 2.0.10 o inferior, es muy probable que tu Joomla pueda sufrir un hackeo.

Para comprobar nosotros mismos si somos vulnerables, a continuación voy a explicar cómo ejecutar un script en perl y a continuación mis recomendaciones para solventar dicho problema.

  1. Creamos el script en perl con el siguiente código:
  2. Ejecutamos dicho fichero en nuestro terminal de la siguiente forma:
  3. Comprobamos el mensaje de salida:
    hackeo joomla
  4. Y ahora podríamos acceder al enlace http://www.webquesea.com/images/stories/0day.php?cmd=id y si obtenemos un mensaje como el siguiente:
    proof
    Significaría que nuestro joomla puede ser hackeado, de manera que, pueden subir cualquier tipo de fichero al servidor y ejecutarlo.

¿Cómo podemos evitar un hackeo?

Bueno, hay distintas formas de hacerlo, principalmente aconsejo lo siguiente:

  • Restringir bien las reglas del fichero .htaccess
  • Cambiar el prefijo de las tablas de joomla que viene por defecto jos_ por cualquier otro diferente.
  • Actualizar todos los plugins que tengamos y aplicar los parches de Joomla , teniendo siempre el último instalado.
  • Password protect your administrative area. Proteger la zona de administración con una clave adicional (por ejemplo mediante .htaccess y .htpasswd )

Como idea, en los directorios images, includes, media introduciría un .htaccess con el siguiente contenido:

 

Recomiendo los siguientes enlaces:

http://www.bowlerhat.co.uk/archive/adding-additional-rewrite-rules-to-joomla-htaccess/

http://www.siteground.com/tutorials/joomla15/joomla_security.htm

http://www.webmasterworld.com/content_management/4274518.htm