Cosas de Administradores

Pues vamos a demostrar a esos lotuseros que se equivocan..

Revisa estos hilos, porque el ataque parece bastante similar a varios de ellos:

http://moodle.org/mod/forum/discuss.php?d=116174

http://moodle.org/mod/forum/discuss.php?d=129520

http://moodle.org/mod/forum/discuss.php?d=137800#p601501

Citando a Iñaki Areaza, uno de los desarrolladores de Moodle:

"El problema es que buena parte de las veces (la mayoría, me atrevo a decir) no es tanto de Moodle, como del conjunto del sistema: seguridad del sistema operativo del servidor, configuración de los permisos de la zona web (y no sólo de la parte de Moodle), configuración y seguridad de otras aplicaciones web que estén corriendo en el mismo servidor, el que estemos usando módulos o plugins de terceros que no han pasado una auditoría de seguridad para ver si son robustos, etc."

Parece que lo que han hecho es modificar el contenido físico del fichero index.php o tal vez del pie de página (footer) del tema de apariencia. En estos casos, suele ser cosa de permisos o usuarios propietarios de los archivos implicados, además de que posiblemente no se hayan tomado las medidas de seguridad adecuadas a nivel de servidor.

En resumen, que en principio tu desde moodle no puedes modificar el contenido de dicho archivo, por tanto parece cosa de un acceso no autorizado. Que comprueben los registros del sistema y la base de datos para intentar averiguar que ha ocurrido. Por lo pronto, yo deshabilitaría el acceso para invitados en Moodle (no es un agujero crítico, pero ayuda a descartar posibles problemas)

P.D: no des mucha caña a tus informáticos, que no conviene tenerlos en contra..

Buenas tardes.

Por normal utiliza siempre versiones estables de Moodle, en este caso 1.9.7+.

Por seguridad revisa los logs de acceso ftp a vuestro sitio. Es bastante habitual que se instalen troyanos/virus en los ordenadores de escritorio (Windows) y que tras robar las claves ftp modifiquen los ficheros .php y .html insertando código malicioso con enlaces a páginas rusas, turcas, chinas, etc... que sirven para realizar phising.

La mayor parte de las veces se insertan al final de los archivos indicados. Es rápido de descubir ya que todos los archivos han sido modificados en la misma fecha y hora.

Recomendaciones:

- Modificar claves de acceso de usuarios (tanto Administradores, como profesores y alumnos).

- Cambiar datos de acceso ftp (de todas las cuentas).

- Cambiar datos de MySql o la base de datos que se utilice.

- Revisar carpeta de datos moodledata (o el nombre que se haya indicado) que no existan archivos .php en su interior (suelen tener encriptado el código).

- Revisar la base de datos en busca de usuarios no dados de alta o con permisos de profesor y administrador.

Posteriormente echar mano de copias de seguridad limpias y en caso de no disponer realizar una actualización a la última versión estable y revisar que no existan archivos sospechosos en el aula Moodle.

Un saludo y a cuidarse.

Jose García
NOSOLORED SL

Te recomiendo en la medida de lo posible ver la forma de tenerlo en un servidor externo administrado por personas competentes.

Los técnicos de soporte cuando no quieren algo lo sabotean y nunca aceptaran que cometieron un error...

suerte y alerta