Что делать, если сайт Joomla был взломан?

У меня есть сайт Joomla 2.5. Вчера я не смог войти в панель администратора. Я проверил таблицу пользователей. Я был шокирован, когда увидел, что все поля имени пользователя « admin » и пароли были « 268e27056a3e52cf3755d193cbeb0594 ». Обычно я не использую несанкционированные /ненадежные сторонние расширения.

Здесь кто-нибудь столкнулся с той же проблемой? Если да, можете ли вы сказать мне, в чем причина и что такое решение?

9 голосов | спросил zkanoca 16 J0000006Europe/Moscow 2014, 09:54:48

5 ответов


3

Сегодня я снова столкнулся с такой же проблемой. Это не joomla или его расширения. Это потому, что я установил все файлы и каталоги CHMOD на 775. Я сделал это просто для обновления joomla.

После прочтения http: //www.itoctopus. com /the-mass-username-password-update-hack-in-joomla , я просмотрел даты изменений каталогов и исследовал те, которые имеют разные значения.

Я использую WinSCP для доступа к FTP. Я видел 5 .php-файлов с ярлыком, который я не могу открыть для просмотра их содержимого.

  1. settings.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. сор-config.php

, а также включает каталог

  1. config.php
  2. configure.php

Я удалил их и восстановил веб-сайты из резервной копии. И я обещаю, я не дам доступ на запись для группы www-data, кроме каталога изображений.

ответил zkanoca 3 rdEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 03 Sep 2014 13:33:55 +0400 2014, 13:33:55
7

Я рекомендую вам сразу:

  1. Создайте новую установку Joomla на субдомене или локальном хосте,
  2. Создайте суперпользовательскую учетную запись с сильным паролем
  3. Скопируйте хеш пароля из таблицы #__users из недавно созданной учетной записи и замените старый.

Я не знаю, как изменились хэши и имена пользователей, но это может быть по нескольким причинам. Всегда убедитесь, что вы используете последнюю версию Joomla и последнюю версию расширений. Существует немало расширений, которые делают сайты уязвимыми для инъекций SQL. Я не могу подчеркнуть, насколько важно держать вещи в курсе событий.

Возможно, вы захотите начать как можно скорее перейти на Joomla 3.3, поскольку эта версия предоставляет один из самых безопасных методов шифрования паролей (bcrypt).

И как отметил @Brian, настоятельно рекомендуется обновить пароль к базе данных на что-то более сильное. Еще одна хорошая вещь, которую нужно учитывать, - это также изменение префиксов таблицы базы данных. Многие сайты Joomla используют jos_, который вы можете изменить на нечто более уникальное, используя расширение, такое как Admin Tools, о котором упоминалось в другом ответе

ответил Lodder 16 J0000006Europe/Moscow 2014, 10:31:48
7

Чтобы ваш сайт всегда был защищен, вам нужна строгая политика безопасности:

  1. Обновление Joomla до последней версии
  2. Используйте ТОЛЬКО темы от известных разработчиков (без исключений), и обновляйте до последней версии.
  3. Используйте ТОЛЬКО расширения от известных разработчиков (без исключений), и обновляйте до последней версии
  4. Внедрение расширения безопасности для Joomla Hardening (Akeeba Admin является обязательным, и он бесплатный).

Пожалуйста, проверьте этот контрольный список безопасности:

Контрольный список безопасности /вы были взломаны или повреждены http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

  

Безопасный маршрут для оказания помощи при бедствиях

     

а. сохраняйте файл configuration.php и ваши изображения и личные файлы один за другим (не папка, поскольку она может содержать нежелательные файлы)   б. протрите всю папку, где Joomla! установлен   с. загрузите новый чистый полный пакет последней версии joomla 1.5.x или Joomla 2.5.x, joomla 3.x (минус установочная папка)   д. перезагрузите конфигурационный файл & изображений.   е. reupload или переустановить последние версии ваших расширений, шаблоны (еще лучше использовать оригинальные чистые копии, чтобы гарантировать, что хакер /дефасер не оставил никаких файлов сценариев на вашем сайте)   е. Чтобы сделать это, ваш сайт отключится около 15 минут. Для отслеживания вашего взломанного /исправленного html может потребоваться несколько часов или даже больше.

ответил Anibal 17 J0000006Europe/Moscow 2014, 15:31:25
6

Это может быть что-то очень неприятное, иногда сайт не может оставаться обновленным по разным причинам, хотя для лучшей помощи, пожалуйста, включите полную версию, например 2.5.9 или что-то еще. Если вы уже удалили расширения как возможность, может быть причиной более старой версии Joomla.

Мы видели что-то подобное на наших сайтах раньше, было ли это на общем сервере? Это может произойти даже на чистом сайте на общем сервере, если на него попадает одна учетная запись на общем сервере, это может скомпрометировать весь сервер. Не так много вы можете сделать и в этом, ничто из Joomla не может предотвратить такой эксплойт, и одна из причин, почему общие хосты могут быть проблематичными. Хотя это зависит от хоста, такие, как siteground или hostgator, очень хороши в сохранении их инфраструктуры.

Итак, я бы порекомендовал сделать сканирование вредоносных программ, чтобы узнать, что он набирает, скорее всего, если они попадут в вашу базу данных, то у них будет много файлов, которые будут введены. Лучше всего восстановить резервную копию в этом случае и обновить, затем сканирование вредоносных программ.

Также ознакомьтесь с инструментами Admin от akeeba, у него есть некоторые полезные инструменты для защиты вашего сайта.

ответил Jordan Ramstad 16 J0000006Europe/Moscow 2014, 18:23:52
3

Кажется, что ваш сайт взломан.

Причины для взломанного веб-сайта Joomla

Некоторые из причин, по которым хакеры получают доступ к вашему сайту:

  1. стороннее расширение с уязвимостью
  2. уязвимость Joomla
  3. другая учетная запись с уязвимостью на том же общем сервере
  4. плохо настроенная /поддерживаемая среда сервера /хостинга
  5. скомпрометированный локальный компьютер, на котором хранятся учетные данные веб-сайта
  6. слабый пароль (ы), взломанный с помощью грубой силы.

Использование минимального количества поддерживаемых сторонних расширений от авторитетных разработчиков является хорошей практикой, но также помните, что вам необходимо постоянно обновлять Joomla и сторонние расширения, чтобы уязвимости были исправлены до того, как они могут быть использованы хакерами.

Решения для сайта Hacked Joomla

  1. Восстановить из чистой резервной копии. Обновите Joomla и все сторонние расширения до последних версий. Это хорошее решение, если вы знаете, когда именно сайт был скомпрометирован, но определение времени сложно определить с уверенностью.

  2. Протрите веб-сайт и перестройте его с нуля, используя обновленные версии Joomla и сторонних расширений. Это обычно не является практическим решением из-за работы, но может обеспечить высокую степень уверенности в том, что инфекция устранена.

  3. Очистите веб-сайт, используя коммерческий http://myjoomla.com инструмент безопасности или аналогичный, восстанавливающий любые сменил файлы ядра на оригиналы, удалив вредоносное ПО и переустановив сторонние расширения по мере необходимости. Обновите Joomla и все сторонние расширения до последних версий.

Вы также должны обновить пароли Joomla, хостинга и базы данных.

На практике вариант 3 обычно хорошо работает для меня.

Рассмотрите возможность повышения безопасности веб-сайта в соответствии с официальным Контрольным списком безопасности и "Как обеспечить новую установку Joomla?

ответил Neil Robertson 18 J0000006Europe/Moscow 2014, 13:07:07

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132