El día 7 de este mes de Abril el servidor privado donde se aloja Mambo Hispano sufrió un ataque de diversa consideración. Todos estos días he intentado poner todo en orden y volver a la normalidad ya que se han visto afectadas muchos sitios de mis propios clientes y la cosa ha sido seria.

El ataque ha consistido en que un señor ha aprovechado una vulnerabilidad en el php para insertar archivos encriptados php y archivos .htaccess en las carpetas que tenían permiso de escritura (707 ó 777).

El beneficio que obtenía este sujeto o sujetos era que se desviaba tráfico de ésta y otras muchas páginas hacia su página http://search.ug/ . No es el primer ataque de este tipo ya que en el foro de Joomla se ha comentado esto que viene pasando desde Enero o Febrero.

Los archivos encriptados php generaban páginas html virtuales en el raíz del sitio conteniendo nombres de cracks de programas muy conocidos por lo que el tráfico de Mambo Hispano se ha visto desbordado en estos últimos días.

Aparecemos en Google como ofertadores de cracks e incluso en el foro y en privados me han solicitado desproteger algunos programas.
Para el que entre en este sitio buscando esto, decir que MAMBO HISPANO NO TIENE CRACKS, SERIALES, ni INFORMACIÓN de ESTE TIPO entre sus contenidos.

La solución a este ataque es tener una versión de php 4.4 o superior por lo que os recomiendo que actualicéis vuestro servidor si no queréis veros en problemas algún día. Otra forma de parar el ataque es revisar todas las carpetas de sitio y asegurarse de que tienen permisos por parte del usuario ftp no de 'nobody'. Para revisar esto aconsejo instalar JoomlaExplorer en su última versión (aunque es para Joomla! es compatible con Mambo) y revisar todas nuestras carpetas. Si os encontráis con que alguna tiene permisos 'nobody' deberéis:

1) Bajar la carpeta o archivo a local.
2) Renombrar la carpeta o archivo del servidor.
3) Subir la carpeta o archivo de local al servidor por ftp.
4) Borrar la carpeta o archivo renombrada.

Con esto nos aseguraremos de que el script ejecutado por el hacker no afecte a nuestro servidor aunque si no tenemos la versión del php 4.4 ó superior nos encontraremos con archivos php y .htaccess por doquier.

Este fallo es por el php y afecta a Mambo y a Joomla!. Las intalaciones de VBulletin por ejemplo no se han visto afectadas. También decir, y esto es muy importante que este ataque NO AFECTA A LA BASE DE DATOS.

Yo en mi caso he tenido que cambiar de servidor todos mis sitios y posiblemente contrate un servidor más seguro para que los sitios de mis clientes no se vean afectados.

Por otro lado y si tiempo me lo permite voy a darle un vuelco al sitio cambiando de diseño y de versión, para más seguridad y mejoras del sitio. Con estos cambios se perderá alguna información que no considero útil como la mensajería instantánea entre usuarios por lo que ruego que reviseís vuestros privados por si queréis guardar alguna información importante ya que va a ser eliminada.

Salu2.