Se você tem um site baseado em Joomla e não tiver implementado a versão de segurança mais recente do CMS, é quase certo que ele tenha sido comprometido.
De acordo com o CTO da Sucuri, Daniel Cid, todos os sites Joomla na rede da empresa foram atingidos com tentativas de exploração três dias após o lançamento da atualização (v3.6.4), e ele acredita que outros sites baseados em Joomla tiveram o mesmo destino.
A atualização de segurança em questão corrigiu três falhas críticas que permitiam aos invasores criarem contas em sites Joomla, elevar os privilégios dessas contas (torná-las contas de administrador) e modificar contas de usuários existentes.
Nenhum detalhe sobre as vulnerabilidades foi compartilhado quando a atualização foi lançada, mas os invasores sabem como reverter a engenharia do patch.
“Menos de 24 horas após a divulgação inicial, começamos a ver testes e pequenos pings em alguns dos nossos honeypots tentando verificar se a vulnerabilidade estava presente”, observou Cid. “Em menos de 36 horas após a divulgação inicial, começamos a ver tentativas de exploração em massa na web”, completou.
As tentativas de ataque vieram de várias fontes, e os primeiros atingidos foram alguns dos sites Joomla mais populares. Mas, depois disso, os atacantes pararam de discriminar e se concentraram em todos os sites vulneráveis que poderiam ser encontrados.
Se você é um administrador de site Joomla, verifique o dashboard do site em relação a novas contas de usuário que você não se lembra de ter configurado. Se você encontrar algumas, é hora de fazer uma limpeza e implementar a atualização.
Fonte: iMasters