Amigos.
Primeramente espero estar haciendo la consulta en el lugar apropiado.
Hace unos días recibí un mail de Google avisándonos de que habían recibido una denuncia de la DMCA por violaciones de copyright en nuestra Web.
Esto nos llamó muchísimo la atención ya que nuestra web hecha en Joomla es un foro de kayak, donde los usuarios comparten experiencias, paseos, travesías etc. O sea, nada mas lejos de un sitio de descargas de películas.
Pero efectivamente, al visitar las urls proporcionadas por Google, mostraban páginas de nuestro sitio con texto e imágenes para descargar películas. Empezamos a rastrear estas urls sospechosas y encontramos una carpeta con todos estos archivos instalada en un directorio de Joomla.
Posteriormente descubrimos que este "hack" se activaba gracias a una línea de código en el archivo .htaccess. Borramos esa línea de código, bloqueamos los permisos de este archivo y le pedimos al soporte técnico del servidor que a su vez lo bloquearan.
Actualizamos Joomla y todos los componentes y plugins y nos quedamos tranquilos pensando que ya habíamos resuelto el problema, pero no fue así...
A los poco días recibimos otro mail de Google y comprobamos que otra vez nuestro sitio mostraba contenido para descargar. Llamamos al soporte y nos dijeron que a pesar de estar bloquedao el archivo .htaccess, si algún plugin o componente de Joomla estaba descatualizado los hackers podían valerse de esta bulenabilidad y hackear nuevamente la Web.
Nosotros no somos programadores, simplemente administramos un foro, y nuestros conocimientos son mas de diseño que de programación, pro lo que no sabemos a ciencia cierta si lo que nos dijo el soporte técnico del hosting es verdad o no. A mi humilde entender nadie podría vulnerar el archivo .htaccess si este se encuentra bloqueado.
Fue así que actualizamos TODO lo que se podía actualizar. Borramos la línea de código del archivo .htaccess. La única diferencia con el hackeo anterior es que esta vez no encontramos los archivos dentro del servidor, solo la línea en el htaccess que genera este hack.
Otra vez nos quedamos tranquilos pensando que habiendo actualizado TODO, nos habíamos deshecho del problema, pero no...a los pocos días lo mismo!
Ya no sabemos por donde nos entran. Hemos cambiado todas las contraseñas (las de administrador de Joomla, las de FTP y las de acceso al panel de control del servidor) varias veces y las guardamos de memoria para no tenerlas en nuestras PC. Hemos formateado nuestras PC sospechando de algún troyano, ya que el soporte del hosting nos dijo que esto también podría estar sucediendo. Nada de esto ha solucionado el problema.
La línea de código que nos colocan es esta: RewriteRule ^([^/]*27as4[^/]*)$ plugins/kunena/$1.html [L,NC]
De mas está decir que actualizamos el componente de foro Kunena y todos sus plugins de Kunena a la última versión estable (3.0.5), lo mismo que Joomla (2.5.22)y todos sus componentes y plugins.
La dirección del sitio
esta
Las urls que nos genera este hackeo son como esta:
www.amigosenkayak.com/13-sins-27as4
(donde 13-sins es el título de la película y el 27as4 es el código común presente en todas estas urls)
Actualmente esta url no está funcional porque hemos quitado la línea del archivo .htaccess, aunque no sabemos cuanto puede durar ya que en poco tiempo se vuelve a escribir.
Les agradeceremos cualquier ayuda que puedan darnos, muchas gracias desde ya.
