Quiero comunicar que en la noche de ayer sufrimos un ataque a todas nuestras instalaciones de Moodle, incluso aquellas con la última versión. El ataque consistió en modificar el archivo header.htm del tema de la portada de todos los sitios.
Por suerte se pudo corregir a tiempo, pero lo comunico para sí alguien se encuentra con lo mismo pueda salir rápido del apuro. Hemos puesto todos los directorios con permisos de lectura únicamente.
Saludos
Hola Carlos, te comento que nosotros en nuestro servidor tambien detectamos un ataque, lo que nos modifico la portada agregando diferentes url relacionadas con viagras y otros medicamentos.
Para solucionar en forma rápida el inconveniente restauré una copia del archivito index.php. Encontré otro archivo para modificar los permisos de archivos y directorios.
Saludos
Ariel Bowen
Para solucionar en forma rápida el inconveniente restauré una copia del archivito index.php. Encontré otro archivo para modificar los permisos de archivos y directorios.
Saludos
Ariel Bowen
Gustavo
Efectivamente la publicidad era sobre viagra y demás.. no impide el funcionamiento del sitio, pero crea cientos de líneas en el encabezado, hay que estar cada día más al tanto de todos los detalles de seguridad.
Saludos
Efectivamente la publicidad era sobre viagra y demás.. no impide el funcionamiento del sitio, pero crea cientos de líneas en el encabezado, hay que estar cada día más al tanto de todos los detalles de seguridad.
Saludos
Estimado Carlos:
Mi sitio también sufrió el ataque que comentas, pero te pido por favor si pudieras puntualizar más claramente como lo solucionaste, el archivo "header.htm" esta en cada uno de los temas disponibles, pero busque y no encontré el código malicioso, podrías indicarme donde lo localizaste para poder reparar mi sitio.
Te agradezco mucho.
Saludos.
Mi sitio también sufrió el ataque que comentas, pero te pido por favor si pudieras puntualizar más claramente como lo solucionaste, el archivo "header.htm" esta en cada uno de los temas disponibles, pero busque y no encontré el código malicioso, podrías indicarme donde lo localizaste para poder reparar mi sitio.
Te agradezco mucho.
Saludos.
José Antonio
Lo que hice fue cambiar el header.htm del tema de la portada,por el original que tengo en mi PC, efectivamente no aparece modificado ese archivo, pero algo sucede con el que admite todas esas líneas. Los de los demás temas no sucede nada.
Saludos
Lo que hice fue cambiar el header.htm del tema de la portada,por el original que tengo en mi PC, efectivamente no aparece modificado ese archivo, pero algo sucede con el que admite todas esas líneas. Los de los demás temas no sucede nada.
Saludos
Estimado Carlos:
Ya resolvi el problema es probable que los ataques sean mas especializados pues encontre las referencias en el archivo "tag.php" las elimie y todo solucionado, lo mejor es como comentas poner solo lectura a estos archivos, pero para prevenir futuros ataques, sabes si se puede poner privilegio de solo lectura a todo el directorio donde se encuentra el moodle?, con excepción de donde se guardan los archivos de tareas y demás de los alumno.
Como lo desconozco no se realmente a que poner solo lectura y a que no.
Saludos.
Ya resolvi el problema es probable que los ataques sean mas especializados pues encontre las referencias en el archivo "tag.php" las elimie y todo solucionado, lo mejor es como comentas poner solo lectura a estos archivos, pero para prevenir futuros ataques, sabes si se puede poner privilegio de solo lectura a todo el directorio donde se encuentra el moodle?, con excepción de donde se guardan los archivos de tareas y demás de los alumno.
Como lo desconozco no se realmente a que poner solo lectura y a que no.
Saludos.
José Antonio
No creo cometer un error sí te digo que se debe poner solo lectura a Moodle completo, menos al Moodledata, en el están las tareas de los alumnos y todos los archivos de los cursos.
Saludos
No creo cometer un error sí te digo que se debe poner solo lectura a Moodle completo, menos al Moodledata, en el están las tareas de los alumnos y todos los archivos de los cursos.
Saludos
Hola Buen día, podrían especificar que versión de moodle utilizan, cual es la versión de php que tienen instalado, cual es el Sistema Operativo sobre el que corre esta plataforma, para que la charla sea más precisa.
Muchas Gracias.
Muchas Gracias.
Hola a Todos,
A mi también me gustaria saber que versión de Moodle es la que recibió el ataque
por ahi me dijeron que era la 1.9.4, espero que me confirmen eso si no fuese molestia.
Muchas gracias por su atención
Martin
A mi también me gustaria saber que versión de Moodle es la que recibió el ataque
por ahi me dijeron que era la 1.9.4, espero que me confirmen eso si no fuese molestia.
Muchas gracias por su atención
Martin
Los ataques que mencioné se realizaron en versiones 1.9, 1.9.4 y 1.9.5 todas en un servidor Linux y PHP 4.4.9
Saludos
Saludos
Buenos dias a todos:
Carlos: ¿Cuando dices "poner de solo lectura" la carpeta Moodle, te refieres a permisos 755 (solo lectura a grupos y publico) o 555 (solo lectura a todos?.
Gracias
Carlos: ¿Cuando dices "poner de solo lectura" la carpeta Moodle, te refieres a permisos 755 (solo lectura a grupos y publico) o 555 (solo lectura a todos?.
Gracias
Para evitar ataques reiterados a mi sitio, he tenido que poner la carpeta Moodle con permisos 555, y archivos como config.php y .htaccess con 400.
Mooodledata la he dejado con 755 y los archivos que contienen los directorios con 644. pero inaccesible desde Internet (public ftp o HTTP). También modifiqué el .htaccess para que no se muestre el contenido de los directorios, ni de los archivos .ini, .php, .htaccess o .htpasswords.
Mooodledata la he dejado con 755 y los archivos que contienen los directorios con 644. pero inaccesible desde Internet (public ftp o HTTP). También modifiqué el .htaccess para que no se muestre el contenido de los directorios, ni de los archivos .ini, .php, .htaccess o .htpasswords.
José Antonio, yo tengo en este momento unas líneas (bastantes) antes del pie que comienzan así:
soma cautions buy watson soma online soma beverageisland soma therapy soma at gnc soma cafe phoenixsoma incremental weight twenty past midnight soma sonic soma musiccheap adipex diet bills adipex without a prescription needed purchase adipex without prescription onlinescript free brand name soma music ashes of soma free sofa somacomparisons a blue pills adipex a adipex photos adipex canadaadipex asia adipex testimonies adipex on lineorder soma cod soma saturday delivery brand somaadipex spain buy adipex online cheap pharmacy cheap adipex pilladipex mt online order compare adipex to phentermine adipex costsoma fm soma watson with overnight shipping positive urine drug screen from somabuy online drug mexican soma distributors soma stay in your system soma bin ladindoctors who prescribe adipex nebraska adipex hurt me how to order adipex 37.5mg onlineadipex pl buy adipex onli ne adipex price comparison shoppingwhere can i buy adipex online obtaining adipex adipex causes urinary tract infectionssoma skin care products soma diamond bar ca soma drug scadipex without a doctor's prescription adipex without a prscription adipex..... .... .... .... ....
Es ese el ataque que tuvieron? porque yo revisé el tag.php y no encuentro nada extraño.
Me puedes compartir como lo solucionaste?.
Muchas Gracias,
Marcelo Gómez
Hola Marcelo:
Tuvimos noticia del mismo ataque en una instalación de Moodle versión 1.5.3+ que funciona sobre Linux y PHP 5.2.0. En este caso aparece ese mismo texto en la parte superior de la página.
Esto ocurrió hace algunas horas y lo que hemos encontrado hasta el momento es:
La presencia de un archivo llamado 3tf6lntp09.php en el directorio principal de Moodle
La presencia de un archivo llamado pack.php en el directorio moodle/sso/ (Es en este archivo en donde aparecen los textos que se agregan al encabezado de la página principal del sitio) Me parece que este es un archivo de la distribución normal de Moodle y que ha sido modificado por el atacante
El archivo moodle/sso/into.php es el que se encarga de introducir el contenido de ese archivo (pack.php) dentro del encabezado de la página principal, mediante las líneas:
$file_to_post = 'pack.php';
if (isset($_POST['data']) && isset($_POST['secret'])) {
if (md5($secret_key) == $_POST['secret']) {
$hFile = fopen($file_to_post, 'w');
if (!$hFile) {
die('error opening file');
}
No hemos detectado modificaciones a los archivos del theme hasta el momento.
Conviene señalar que en esta instalación particular y en contra de las buenas prácticas de seguridad, la carpeta moodledata estaba dentro de la carpeta moodle. ¿Será esto algo en común con los otros sitios que se han referido aquí?
En lo inmediato lo que hicimos fue eliminar las líneas que se encuentran en el archivo pack.php y colocar el sitio (que es de pruebas) en modo de mantenimiento.
Cualquier información adicional será bienvenida puesto que por lo que veo en esta discusión el ataque no esta limitado a una versión particular de Moodle.
Saludos y moodles dias
Mario
Tuvimos noticia del mismo ataque en una instalación de Moodle versión 1.5.3+ que funciona sobre Linux y PHP 5.2.0. En este caso aparece ese mismo texto en la parte superior de la página.
Esto ocurrió hace algunas horas y lo que hemos encontrado hasta el momento es:
La presencia de un archivo llamado 3tf6lntp09.php en el directorio principal de Moodle
La presencia de un archivo llamado pack.php en el directorio moodle/sso/ (Es en este archivo en donde aparecen los textos que se agregan al encabezado de la página principal del sitio) Me parece que este es un archivo de la distribución normal de Moodle y que ha sido modificado por el atacante
El archivo moodle/sso/into.php es el que se encarga de introducir el contenido de ese archivo (pack.php) dentro del encabezado de la página principal, mediante las líneas:
$file_to_post = 'pack.php';
if (isset($_POST['data']) && isset($_POST['secret'])) {
if (md5($secret_key) == $_POST['secret']) {
$hFile = fopen($file_to_post, 'w');
if (!$hFile) {
die('error opening file');
}
No hemos detectado modificaciones a los archivos del theme hasta el momento.
Conviene señalar que en esta instalación particular y en contra de las buenas prácticas de seguridad, la carpeta moodledata estaba dentro de la carpeta moodle. ¿Será esto algo en común con los otros sitios que se han referido aquí?
En lo inmediato lo que hicimos fue eliminar las líneas que se encuentran en el archivo pack.php y colocar el sitio (que es de pruebas) en modo de mantenimiento.
Cualquier información adicional será bienvenida puesto que por lo que veo en esta discusión el ataque no esta limitado a una versión particular de Moodle.
Saludos y moodles dias
Mario
Hola:
Algo más de información relacionada con este ataque:
En la carpeta moodle/sso aparecieron los archivos:
into.php
pack.php
Estos archivos no forman parte de la distribución normal de Moodle 1.5.3, a menos que no los tuvieramos en nuestro respaldo, (algo muy poco probable). El primero de ellos introduce el texto que se encuentra en el archivo pack.php dentro del header del theme.
El archivo header.html del theme sufrió alteraciones. Curiosamente la fecha de modificación de este archivo no fue alterada por lo que en una primer mirada no vimos que el archivo había sido modificado.
La alteración que sufrió este archivo fue que en la línea 15 del mismo se introdujo lo siguiente (lo que esta entre guiones)
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html<?php echo $direction ?>>
<head>
<?php echo $meta ?>
<meta name="keywords" content="moodle, <?php echo $title ?> " />
<title><?php echo $title ?></title>
<link rel="shortcut icon" href="<?php echo "$CFG->wwwroot/theme/$CFG->theme" ?>/favicon.ico" />
<?php include("$CFG->javascript"); ?>
</head>
<body<?php
echo " $bodytags";
if ($focus) {
echo " Xonload=\"setfocus()\"";
}
?>>
------------------------------------------------------------------------------
<?php include ('/var/www/html/va/moodle/sso/pack.php'); ?>
------------------------------------------------------------------------------
<div id="page">
<?php if ($home) { // This is what gets printed on the home page only?>
Por lo que debimos sustituir los archivos del theme por los del respaldo.
Saludos y moodles dias
Mario Dorantes
Algo más de información relacionada con este ataque:
En la carpeta moodle/sso aparecieron los archivos:
into.php
pack.php
Estos archivos no forman parte de la distribución normal de Moodle 1.5.3, a menos que no los tuvieramos en nuestro respaldo, (algo muy poco probable). El primero de ellos introduce el texto que se encuentra en el archivo pack.php dentro del header del theme.
El archivo header.html del theme sufrió alteraciones. Curiosamente la fecha de modificación de este archivo no fue alterada por lo que en una primer mirada no vimos que el archivo había sido modificado.
La alteración que sufrió este archivo fue que en la línea 15 del mismo se introdujo lo siguiente (lo que esta entre guiones)
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html<?php echo $direction ?>>
<head>
<?php echo $meta ?>
<meta name="keywords" content="moodle, <?php echo $title ?> " />
<title><?php echo $title ?></title>
<link rel="shortcut icon" href="<?php echo "$CFG->wwwroot/theme/$CFG->theme" ?>/favicon.ico" />
<?php include("$CFG->javascript"); ?>
</head>
<body<?php
echo " $bodytags";
if ($focus) {
echo " Xonload=\"setfocus()\"";
}
?>>
------------------------------------------------------------------------------
<?php include ('/var/www/html/va/moodle/sso/pack.php'); ?>
------------------------------------------------------------------------------
<div id="page">
<?php if ($home) { // This is what gets printed on the home page only?>
Por lo que debimos sustituir los archivos del theme por los del respaldo.
Saludos y moodles dias
Mario Dorantes
En mi caso, no tengo ningún archivo en sso modificado. Como estaba muy apurado tratando de restablecer todo, ya que fue en cinco instalaciones en el mismo servidor, todos con direcciones diferentes, no guardé el header.html. Sí me pareció extraño que no modifique la fecha, pero todo se puede esperar..
Saludos
Saludos
Saludos comunidad de moodle, hago mi pequeño aporte ya que he tenido en este laaargo día exactamente el mismo problema que comentan, es decir, me aparecian propagandas de viagra y otros medicamentos en la parte superior e inferior de mi moodle.
Tengo la versión 1.5.2 y no tengo la carpeta mencionada "sso" , en mi caso particular solucioné la propagandas que aparecían en la parte inferior:
- editando el archivo index.php que tenía en la parte final el código mencionado.
y la parte superior:
- me apareció en 2 lugares distintos, en el archivo config.php y en un archivo llamado inc.php que está en la carpeta lib (lo descubrí porque conté los bytes que debía ocupar el código y era arriba de 80.000 y este archivo rondaba esa cifra). Como desconozco si este archivo es parte de moodle eliminé todo su código y lo deje vacío.
De esta forma volvió todo a la normalidad.
Un saludo grande y espero que les sirva.
Alejandro Ramirez
San Justo - Santa Fe
Argentina
Tengo la versión 1.5.2 y no tengo la carpeta mencionada "sso" , en mi caso particular solucioné la propagandas que aparecían en la parte inferior:
- editando el archivo index.php que tenía en la parte final el código mencionado.
y la parte superior:
- me apareció en 2 lugares distintos, en el archivo config.php y en un archivo llamado inc.php que está en la carpeta lib (lo descubrí porque conté los bytes que debía ocupar el código y era arriba de 80.000 y este archivo rondaba esa cifra). Como desconozco si este archivo es parte de moodle eliminé todo su código y lo deje vacío.
De esta forma volvió todo a la normalidad.
Un saludo grande y espero que les sirva.
Alejandro Ramirez
San Justo - Santa Fe
Argentina
Un pequeño aporte con todo lo que estan recomendando respecto a los permisos chmod. Muchos de los permisos efectivamente ayudan a que tengamos más seguro Moodle, pero una recomendación es que revisen si efectivamente eso permisos no afectan el uso de herramientas como Dragmath en particular con el editor de formulas, pueden toparse con problemas de que no los deje visualizarlas, asi que muy bien por los permisos paranoicos pero aguas con la funcionalidad de Moodle.
Es bueno que tambien revisen el modulo de seguridad que trae moodle y que estos comentarios se agreguen en el foro de security de Moodle para informar de cualquier ataque o bug en el sistema.
Saludos,
Abraham
Es bueno que tambien revisen el modulo de seguridad que trae moodle y que estos comentarios se agreguen en el foro de security de Moodle para informar de cualquier ataque o bug en el sistema.
Saludos,
Abraham