Problema Phishing

Forums: 

Hola amigos,

Soy administrador de una red privada, en la cual se tiene un servidor web con centos 5.0, que a la vez hace de servidor proxy y dhcp.

Se tiene configurado el squid para el proxy y shorewall para las reglas.

En la página web se usa joomla.

El problema es que mi proveedor me reportó que a través de mi página se está llevando a cabo un ataque phishing al banco bolivariano, me mandó el enlace y efectivamente en la plantilla usada en mi página web han copiado unas carpetas con una página que hace phishing a las cuentas del banco bolivariano.

EL caso es que, en la carpeta donde copiaron esos archivos me parece que le dejé con permisos 777 para poder subir facilmente unas imágenes, al momento que le reviso tiene permisos 755, ya borré los archivos sospechosos.

Mi pregunta es, donde o como puedo comprobar la seguridad o vulnerabilidades de mi servidor web? especialmente en joomla.

Qué logs debo revisar para ver como lograron poner esos archivos en mi servidor?

P.D.: El servidor está en un cuarto de telecomunicaciones con protecciones físicas, por lo que necesariamente debe ser un ataque externo a la red.

Muchas gracias por sus respuestas.

Si la version del SO

Imagen de iknaxio

Si la version del SO esta desactualizada, no dudo que la del CMS tambien lo estara.

El Joomla, aunque no me gusta, tiene su guia de seguridad para instalar, pero lamentablemente pocos son los que se toman unos minutos para leerla.

PD: La omision de tildes se debe al teclado :S

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

actualizar, actualizar,

Imagen de Epe

actualizar, actualizar, actualizar. claves, claves, claves. Pero dijiste una palabra fundamental: joomla....

un administrador de un servidor debe dedicarse a él, a todos sus sistemas, no es sólo ver lluchas y reparar cables de red y conversar con el amiguito o la amiguita que no puede imprimir.

Una red es algo serio, muy serio... e incluso siendo un control freak una red y un servidor te puede meter en problemas tuyos o de otros... es tan jodida!

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

La plena!!! Administrar una

Imagen de eliche

La plena!!!

Administrar una red y sobre todo servidores es cosa seria, no solo es hacer "ping". Hay que tener seguridades (firewall, usuarios limitados, autenticación segura, etc etc). Actualizar sistema operativo, software y sobre todo revisar continuamente logs a ver "que se hace" en los servidores.

Yo aprendí todo esto a la mala. Me hice a cargo de una infraestructura donde hay una aplicación hecha en java y que usa jboss....Hackearon el servidor, seguramente robaron información y servia como reenvio de spam. Y aunque hasta ahora no logro exterminar totalmente la intrusión, a punta de seguridad y firewall la controlo...hasta que gerencia autorize los 4000 dólares que cuesta "trasladar" la bendita aplicación en java a otro servidor o VM.

selinux, iptables, shorewall, ebtables, ssh con llave precompartida ;). Ahhh y fuera joomla XD

Ing. Eliécer Tatés Montenegro
Neovoice
VoIP & IT Consulting
e-mail: eliecer.tates@neovoice.co / elitatmon@gmail.com

Busca vulnerabilidades de tu

Imagen de Root Bit

Busca vulnerabilidades de tu sitio usando un scanner si tu portal esta joomla puedes usar http://blog.pepelux.org/2011/10/30/joomlascan-v1-3/ o algun otro scanner.

There are only 10 types people in the world:
Those who understand binary and those who don't