it-swarm.dev

Cosa fare se il mio sito Web Joomla è stato violato?

Ho un sito Web Joomla 2.5. Ieri non sono stato in grado di accedere al pannello amministratore. Ho verificato la tabella degli utenti. Sono rimasto scioccato quando ho visto che tutti i campi "nome utente" erano "admin" e le password erano "268e27056a3e52cf3755d193cbeb0594". In genere non utilizzo estensioni di terze parti non familiari/inaffidabili.

C'è qualcuno qui che ha riscontrato lo stesso problema? Se sì, puoi dirmi qual è la ragione e qual è la soluzione?

10
zkanoca

Oggi ho riscontrato di nuovo lo stesso problema. Non è joomla o le sue estensioni. È perché ho impostato tutti i file e le directory CHMOD su 775. L'ho fatto solo per aggiornare Joomla più facilmente.

Dopo aver letto http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , ho esaminato le date di modifica delle directory e ho studiato quelle che hanno differenti valori.

Uso WinSCP per l'accesso FTP. Ho visto 5 file .php con un'icona di collegamento che non posso aprire per visualizzarne il contenuto.

  1. Settings.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. wp-config.php

e anche nella directory include

  1. config.php
  2. configure.php

Li ho cancellati e ripristinato i siti Web dal backup. E lo prometto, non darò accesso in scrittura per il gruppo www-data tranne la directory delle immagini.

3
zkanoca

Quello che ti consiglio di fare subito è:

  1. Crea una nuova installazione di Joomla su un sottodominio o localhost,
  2. Crea un account superutente con una password forte
  3. Copia l'hash della password da #__users tabella dal tuo account appena creato e sostituisci quello precedente.

Non sono sicuro di come siano stati cambiati gli hash e i nomi utente, ma potrebbero essere alcuni motivi. Assicurati sempre di eseguire l'ultima versione di Joomla e l'ultima versione delle estensioni. Ci sono alcune estensioni là fuori che rendono i siti vulnerabili alle iniezioni di SQL. Non posso sottolineare quanto sia importante mantenere le cose aggiornate.

Potresti voler iniziare a considerare la migrazione a Joomla 3.3 il più presto possibile, poiché questa versione fornisce uno dei metodi di crittografia delle password più sicuri (bcrypt).

E come ha detto @Brian, si consiglia di aggiornare la password del database a qualcosa di più forte. Un'altra cosa positiva da prendere in considerazione è anche la modifica dei prefissi della tabella del database. Molti siti Joomla usano jos_ che puoi modificare in qualcosa di un po 'più unico usando un'estensione come Strumenti di amministrazione menzionata nell'altra risposta

8
Lodder

Per mantenere il tuo sito Web sempre protetto, è necessaria una rigorosa politica di sicurezza:

  1. Aggiorna Joomla all'ultima versione
  2. Usa SOLO temi di sviluppatori famosi (senza eccezioni) E aggiorna alla versione più recente
  3. Utilizza SOLO estensioni di noti sviluppatori (senza eccezioni) E aggiorna all'ultima versione
  4. Implementa un'estensione di sicurezza per Joomla Hardening (Akeeba Admin è un must ed è gratuito)

Per favore, controlla questo elenco di controllo di sicurezza:

Elenco di controllo per la sicurezza/Sei stato violato o cancellato http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Un percorso sicuro per il soccorso in caso di calamità

un. salva il file configuration.php e le tue immagini e file personali uno per uno (non la cartella in quanto potrebbe contenere file indesiderati) b. cancella l'intera cartella in cui Joomla! è installato c. caricare una nuova versione del pacchetto completo pulito di joomla 1.5.xo Joomla 2.5.x, joomla 3.x (meno la cartella di installazione) d. ricaricare il file di configurazione e le immagini. e. ricaricare o reinstallare le ultime versioni delle estensioni, dei modelli (ancora meglio è utilizzare copie originali pulite per assicurarsi che l'hacker/defacer non abbia lasciato alcun file di script Shell nel proprio sito) f. Per fare ciò, il tuo sito verrà disattivato per circa 15 minuti. Per rintracciare il tuo html hackerato/deturpato potrebbe richiedere ore o anche di più.

8
Anibal

Questo può essere qualcosa di molto frustrante, a volte un sito non può rimanere aggiornato per vari motivi, anche se per il miglior aiuto, si prega di includere la versione completa, come 2.5.9 o qualcosa del genere. Se hai già rimosso le estensioni come possibilità, il motivo potrebbe essere una versione precedente di Joomla.

Abbiamo visto qualcosa di simile sui nostri siti prima, era su un server condiviso? Ciò può accadere anche in un sito pulito su un server condiviso, se un account sul server condiviso viene colpito, potrebbe compromettere l'intero server. Non c'è molto da fare neanche a riguardo, nulla di ciò che Joomla ha può impedire un simile exploit ed è una delle ragioni per cui gli host condivisi possono essere problematici. Anche se questo dipende dall'host, quelli come siteground o hostgator sono abbastanza bravi a mantenere intatta la loro infrastruttura.

Quindi consiglierei di fare una scansione del malware per vedere cosa raccoglie, molto probabilmente se colpiscono il tuo database in quel modo allora hanno molti file iniettati. È meglio ripristinare dal backup in questo caso e aggiornare, quindi scansionare il malware.

Guarda anche gli strumenti di amministrazione di Akeeba, ha alcuni strumenti utili per proteggere il tuo sito.

6
Jordan Ramstad

Sembra che il tuo sito Web sia stato violato.

Ragioni per un sito Web di Joomla compromesso

Alcuni dei motivi per cui gli hacker ottengono l'accesso al tuo sito Web sono:

  1. un'estensione di terze parti con una vulnerabilità
  2. una vulnerabilità di Joomla
  3. un altro account con una vulnerabilità sullo stesso server condiviso
  4. ambiente server/hosting mal configurato/gestito
  5. computer locale compromesso su cui sono archiviate le credenziali del sito Web
  6. password deboli incrinate tramite attacchi di forza bruta

L'uso di un numero minimo di estensioni di terze parti ben supportate da sviluppatori affidabili è una buona pratica, ma ricorda anche che è necessario mantenere aggiornati Joomla e le estensioni di terze parti in modo che le vulnerabilità vengano patchate prima che possano essere sfruttate dagli hacker.

Soluzioni per un sito Web di Joomla compromesso

  1. Ripristina da un backup pulito. Aggiorna Joomla e tutte le estensioni di terze parti alle ultime versioni. Questa è una buona soluzione se sai quando esattamente il sito web è stato compromesso ma i tempi sono difficili da determinare con sicurezza.

  2. Pulisci il sito Web e ricostruiscilo da zero utilizzando le versioni aggiornate di Joomla e le estensioni di terze parti. Di solito questa non è una soluzione pratica a causa del lavoro svolto, ma può fornire un alto grado di fiducia nell'eliminazione dell'infezione.

  3. Pulisci il sito Web utilizzando lo strumento di sicurezza commerciale https://mysites.guru (precedentemente myjoomla.com) o simile, ripristinando gli originali modificati, rimuovendo malware e reinstallando estensioni di terze parti secondo necessità. Aggiorna Joomla e tutte le estensioni di terze parti alle ultime versioni.

Dovresti anche aggiornare le password di Joomla, hosting e database.

In pratica, l'opzione 3 di solito funziona bene per me.

Prendi in considerazione l'idea di migliorare la sicurezza del sito Web secondo l'elenco di controllo di sicurezza ufficiale e "Come proteggere una nuova installazione di Joomla?"

4
Neil Robertson