Tengo un servidor web que aloja Joomla 1.5. Descubrí que un pirata informático modificó el archivo de configuración de Joomla configuration.php . ¿Cómo pudo hacerlo?
Tenga en cuenta que el archivo tiene el permiso 777 . Además, cuando intento buscar directamente el archivo www.mysite.com/configuration.php , obtengo una página vacía como respuesta.
En primer lugar, el permiso 777 significa que el archivo de configuración del que está hablando puede ser editado por cualquier otro usuario en el sistema . Básicamente, un pirata informático que compromete su servidor y obtiene acceso al sistema operativo tiene los permisos necesarios para manipular ese archivo.
Un pirata informático puede poner en peligro su servidor y obtener acceso al sistema simplemente mediante la explotación de un servicio vulnerable que se ejecuta en su servidor, como las antiguas versiones sin parches de Samba o FTP.
También podría explotar una vulnerabilidad dentro de su servidor web o su instalación de PHP para obtener privilegios de ejecución remota de código. Como ejemplo, eche un vistazo a este error CGI de PHP que se puede explotar fácilmente usando el Marco de código abierto gratuito Metasploit .
Lo más probable es que el hacker haya cambiado su archivo de configuración explotando una vulnerabilidad en su instalación de Joomla . Al momento de escribir este artículo, la última actualización de la serie Joomla 1.5.x es 1.5.26 . ¿Su instalación de Joomla está totalmente actualizada?
Si desea rastrear la actividad del pirata informático, un buen punto de partida sería inspeccionar sus archivos de registro, asumiendo que, por supuesto, el pirata informático no cubrió sus rastros y los alteró también.
Lea otras preguntas en las etiquetas web-application webserver intrusion