Você acaba de acessar o seu site e percebe que ele foi hackeado. Um frio acaba de subir por sua espinha e o desespero começa a acelerar o seu coração. Calma, relaxa e confira o nosso artigo que preparamos para você.
Mude as senhas agora
A primeira coisa a se fazer é mudar as senhas do FTP, Painel de Controle do Servidor e a senha do Banco de Dados. Assim evitamos que o invasor tenha facilidade de acesso ao site novamente. Para mudar as senhas, você terá que ter acesso ao Painel de Controle do Servidor.
Backup
Você tem um backup do seu site? NÃO? Então vamos ter um pouco mais de trabalho. Caso já tenha o backup pule para o próximo tópico.
Geralmente as empresas de hospedagem dispõe aos seus clientes, várias ferramentas e uma delas é o backup. Algumas geram backup direto pelo painel e outras exigem que se abra uma chamada para o serviço.
Verifique também se o serviço será cobrado e quanto custará, evite sustos na fatura.
Backup em mãos, vamos arrumar o Front-end!
Tudo certo, temos o backup! Agora é simples, acesse o FTP e vá direto para a pasta template > seutema. Na pasta do seu tema verifique o arquivo index.php.
Olhe o código para ver se ele não foi alterado, é muito provável que sim.
Caso ele foi alterado, suba o arquivo correspondente do backup via FTP.
Pronto agora você já deve ter a sua página de volta, mas não acabamos ainda.
Administrator
É provável que o Back-end (página administrativa) também esteja mostrando o deface, para corrigirmos isso você deverá acessar via FTP a pasta: administrator > templates > seutema. Na pasta do seu tema você deverá verificar oindex.php. Como no passo anterior você deverá analisar se o código foi alterado, se sim, terá que substituir pelo backup correspondente. Feito os dois passos corretamente, você já terá o site e a administração funcionando, mas ainda assim não estamos seguros.
Remover usuários no Administrator
Geralmente, os invasores criam usuários com permissões administrativas para o seu site. Garantindo assim um Usuário e Senha para que eles futuramente acessem novamente o seu site. Para isso você deve acessar o Back-end e verificar os usuários cadastrados, caso existam, exclua-os.
Voltando ao FTP
Não pense que você já esta livre do problema, temos que fazer uma varredura nas pastas e arquivos para ver se ainda temos arquivos nocivos.
Vou listar abaixo as pastas e arquivos que temos que procurar e verificar.
.htaccess – Muito provável que ele esteja em branco ou com poucas linhas de código, substitua pelo backup.
shell.php e os arquivos como os ilustrados na imagem abaixo, localizados na pasta administrator, não são do Joomla, e geralmente são inseridos pelos invasores, apague-os, se você não se sente a vontade de apagar, baixe-os para o computador e depois remova-os do FTP. Teste o Site e o Administrator para ver se ainda estão estáveis.
Verifique os arquivos index.php de todos as pastas a seguir:
administrator > index.php
administrator > templates > Verificar todas as pastas! IMPORTANTE > index.php
cache > index.php
components > index.php
images > index.php
language > index.php
logs > index.php
media > index.php
module > index.php
plugins > index.php
templates > index.php
tmp > index.php
Comparando os arquivos com os arquivos que você tem backup, notará que tem pastas que não necessitam do index.php, neste caso é só apagar.
Arquivo THA.php
Acessando a pasta: administrator > templates > system > html, encontraremos o arquivo THA.php. Apague-o!
A título de curiosidade, se abrirmos o arquivo, você vai se deparar com um código codificado em base64.
Algo parecido com isto:
<?php eval(“?>”.base64_decode(“PD9waHAgD…w0KPz4=“)); ?>
Para descodificar base64 é simples. Copie o código que está entre as aspas (no exmplo tudo que esta em vermelho), acesse este link, cole o código no primeiro campo e clique em <decode>. No campo abaixo aparece o código descodificado, agora é só estudar o código.
Aliás esta não será a única codificação encontrada. Os arquivos index.php que você substituiu no passo anterior, também estão codificados, neste caso em unescape. Podendo ser descodificado acessando este link. Copie e cole o código na segunda caixa de texto do site e clique em decode.
Permissões de Pastas e Arquivos
Agora que já nos livramos desta ameaça, precisamos verificar as permissões chmod dos arquivos e pastas.
Aplique a permissão 0774 para as pastas e 0644 para arquivos.
Prefira aplicar a permissão 0444 para todos os arquivos index.php e também para o arquivo configuration.php.
Se você estiver utilizando o FileZilla, é só clicar no arquivo ou pasta com o botão direito do mouse e selecionar “file permissions…”
Feito, agora estamos mais seguros!
Bloquear acesso FTP
Alguns servidores nos disponibiliza a opção de bloquear o acesso FTP via painel de controle, verifique se esta opção esta disponível para você e bloqueie! Só libere acesso quando você precisar alterar algum arquivo, alterado, bloqueie novamente.
Quer saber mais sobre Marketing Digital, Inbound Marketing ou Redes Sociais? Continue acompanhando e aproveite para curtir r compartilhar os textos!