Co zrobić, jeśli moja witryna Joomla została zhakowana?

10

Mam stronę internetową Joomla 2.5. Wczoraj nie mogłem zalogować się do panelu administratora. Sprawdziłem tabelę użytkowników. Byłem zszokowany, gdy zobaczyłem, że pole nazwy użytkownika wszystkich użytkowników to „ admin ”, a hasła to „ 268e27056a3e52cf3755d193cbeb0594 ”. Zasadniczo nie używam niesławnych / zawodnych rozszerzeń stron trzecich.

Czy jest tu ktoś, kto napotkał ten sam problem? Jeśli tak, czy możesz mi powiedzieć, jaki jest powód i jakie jest rozwiązanie?

security z Wielkanoca
źródło
7
Możesz sprawdzić listę rozszerzeń Joomla, aby sprawdzić, czy którekolwiek z Twoich rozszerzeń jest na liście.
TryHarder

Odpowiedzi:

8

To, co polecam Ci zrobić od razu to:

  1. Utwórz nową instalację Joomla na subdomenie lub localhost,
  2. Utwórz konto superużytkownika z silnym hasłem
  3. Skopiuj skrót hasła z #__userstabeli z nowo utworzonego konta i zastąp stare.

Nie jestem pewien, jak zmieniono skróty i nazwy użytkowników, ale może być kilka powodów. Zawsze upewnij się, że korzystasz z najnowszej wersji Joomla i najnowszej wersji rozszerzeń. Istnieje wiele rozszerzeń, które sprawiają, że witryny są podatne na zastrzyki SQL. Nie mogę podkreślić, jak ważne jest utrzymywanie aktualności.

Być może warto rozważyć jak najszybszą migrację do Joomla 3.3, ponieważ ta wersja zapewnia jedną z najbezpieczniejszych metod szyfrowania haseł (bcrypt).

I jak wspomniano @Brian, wysoce zalecane jest zaktualizowanie hasła do bazy danych na coś silniejszego. Inną dobrą rzeczą, którą należy wziąć pod uwagę, jest również zmiana prefiksów tabeli bazy danych. Wiele stron Joomla używa, jos_które możesz zmienić na coś bardziej unikalnego, używając rozszerzenia takiego jak Narzędzia administracyjne, o którym wspomniano w innej odpowiedzi

Lodder
źródło
2
Dodałbym, zmień hasło do bazy danych na coś mocniejszego.
Brian Peat
8

Aby Twoja witryna była zawsze bezpieczna, potrzebujesz ścisłej polityki bezpieczeństwa:

  1. Zaktualizuj Joomla do najnowszej wersji
  2. Używaj TYLKO motywów znanych programistów (bez wyjątków) ORAZ aktualizuj do najnowszej wersji
  3. Używaj TYLKO rozszerzeń znanych programistów (bez wyjątków) ORAZ aktualizuj do najnowszej wersji
  4. Zaimplementuj rozszerzenie bezpieczeństwa dla Joomla Hardening (administrator Akeeba jest koniecznością i jest bezpłatny)

Sprawdź tę listę kontrolną bezpieczeństwa:

Lista kontrolna bezpieczeństwa / Zostałeś zaatakowany lub zhakowany http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Bezpieczna droga do pomocy w przypadku katastrof

za. zapisz plik configuration.php oraz swoje obrazy i pliki osobiste jeden po drugim (nie folder, ponieważ może zawierać niechciane pliki) b. wyczyść cały folder, w którym Joomla! jest zainstalowany c. prześlij nowy czysty pełny pakiet najnowszą wersję Joomla 1.5.x lub Joomla 2.5.x, Joomla 3.x (minus folder instalacyjny) d. ponownie załaduj plik konfiguracyjny i obrazy. mi. ponownie załaduj lub zainstaluj ponownie najnowsze wersje rozszerzeń, szablonów (jeszcze lepiej jest użyć oryginalnych czystych kopii, aby upewnić się, że haker / defacer nie pozostawi żadnych plików skryptów powłoki w Twojej witrynie) f. Aby to zrobić, wyłącz swoją witrynę z sieci na około 15 minut. Aby wyśledzić swój zhakowany / odszyfrowany kod HTML może potrwać kilka godzin lub nawet dłużej.

Anibal
źródło
1
Pamiętaj, że tylko płatna wersja Akeeba Admin Tools ma zaporę aplikacji sieci Web (WAF).
Neil Robertson,
6

Może to być bardzo frustrujące, czasami strona nie może być aktualizowana z różnych powodów, ale dla najlepszej pomocy dołącz pełną wersję, taką jak 2.5.9 lub coś takiego. Jeśli już wcześniej usunąłeś rozszerzenia, przyczyną może być starsza wersja Joomla.

Widzieliśmy już coś podobnego na naszych stronach, czy było to na serwerze współdzielonym? Może się to zdarzyć nawet w czystej witrynie na serwerze udostępnionym, jeśli jedno konto na serwerze udostępnionym zostanie trafione, może to zagrozić całemu serwerowi. Niewiele można z tym zrobić, nic, co Joomla nie może zapobiec takiemu wykorzystaniu, i jest to jeden z powodów, dla których współdzielone hosty mogą być problematyczne. Chociaż zależy to od hosta, takie jak siteground lub hostgator są całkiem dobre w utrzymaniu infrastruktury w stanie nienaruszonym.

Dlatego zaleciłbym wykonanie skanowania w poszukiwaniu złośliwego oprogramowania, aby zobaczyć, co wykrywa. Najprawdopodobniej, jeśli trafią one w twoją bazę danych, wtedy zostaną wstrzyknięte wiele plików. W takim przypadku najlepiej jest przywrócić dane z kopii zapasowej i zaktualizować, a następnie skanować w poszukiwaniu złośliwego oprogramowania.

Zajrzyj również do narzędzi administracyjnych autorstwa akeeba, ma kilka przydatnych narzędzi do zabezpieczenia Twojej witryny.

Jordan Ramstad
źródło
4

Wygląda na to, że Twoja witryna została zhakowana.

Powody zaatakowanej witryny Joomla

Oto niektóre z powodów, dla których hakerzy uzyskują dostęp do Twojej witryny:

  1. rozszerzenie strony trzeciej z podatnością
  2. podatność Joomla
  3. inne konto z podatnością na tym samym serwerze udostępnionym
  4. źle skonfigurowane / utrzymywane środowisko serwerowe / hostingowe
  5. skompromitowany komputer lokalny, na którym przechowywane są poświadczenia witryny
  6. słabe hasło (hasła) złamane przez ataki brutalnej siły

Korzystanie z minimalnej liczby dobrze obsługiwanych rozszerzeń innych firm od renomowanych programistów jest dobrą praktyką, ale pamiętaj również, że musisz aktualizować rozszerzenia Joomla i innych firm, aby luki były usuwane, zanim zostaną wykorzystane przez hakerów.

Rozwiązania dla zhakowanej witryny Joomla

  1. Przywróć z czystej kopii zapasowej. Zaktualizuj Joomla i wszystkie rozszerzenia innych firm do najnowszych wersji. To dobre rozwiązanie, jeśli wiesz, kiedy dokładnie została naruszona witryna, ale trudno jest ustalić czas bez żadnych wątpliwości.

  2. Wyczyść witrynę i przebuduj od zera przy użyciu aktualnych wersji Joomla i rozszerzeń innych firm. Zwykle nie jest to praktyczne rozwiązanie ze względu na nakład pracy, ale może zapewnić wysoki stopień pewności, że infekcja zostanie wyeliminowana.

  3. Wyczyść witrynę za pomocą komercyjnego narzędzia bezpieczeństwa https://mysites.guru (wcześniej myjoomla.com) lub podobnego narzędzia, przywracając wszystkie zmienione pliki podstawowe z powrotem do oryginałów, usuwając złośliwe oprogramowanie i ponownie instalując rozszerzenia stron trzecich w razie potrzeby. Zaktualizuj Joomla i wszystkie rozszerzenia innych firm do najnowszych wersji.

Powinieneś także zaktualizować hasła Joomla, hosting i bazy danych.

W praktyce opcja 3 zazwyczaj działa dobrze dla mnie.

Zastanów się nad poprawą bezpieczeństwa witryny zgodnie z oficjalną listą kontrolną bezpieczeństwa i „Jak zabezpieczyć nową instalację Joomla?”

Neil Robertson
źródło
3

Dzisiaj znów spotkałem ten sam problem. To nie jest Joomla ani jej rozszerzenia. Jest tak, ponieważ ustawiłem CHMOD wszystkich plików i katalogów na 775. Zrobiłem to tylko po to, aby łatwiej aktualizować Joomla.

Po przeczytaniu http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , przyjrzałem się datom zmian katalogów i badam te, które mają różne wartości.

Używam WinSCP do dostępu FTP. Widziałem 5 plików .php z ikoną skrótu, których nie mogę otworzyć, aby wyświetlić ich zawartość.

  1. Settings.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. wp-config.php

a także w katalogu zawiera

  1. config.php
  2. configure.php

Usunąłem je i przywróciłem strony internetowe z kopii zapasowej. I obiecuję, że nie dam dostępu do zapisu dla grupy danych www z wyjątkiem katalogu obrazów.

z Wielkanoca
źródło