Что делать, если мой сайт Joomla был взломан?

10

У меня есть сайт Joomla 2.5. Вчера я не смог войти в панель администратора. Я проверил таблицу пользователей. Я был шокирован, когда увидел, что все поля имени пользователя для пользователя были « admin », а пароли - « 268e27056a3e52cf3755d193cbeb0594 ». Я обычно не использую небезызвестные / ненадежные сторонние расширения.

Кто-нибудь здесь, кто сталкивался с той же проблемой? Если да, можете ли вы сказать мне, в чем причина и каково решение?

zkanoca
источник
7
Возможно, вы захотите проверить список уязвимых расширений Joomla, чтобы увидеть, есть ли какие-либо из ваших расширений в списке.
TryHarder

Ответы:

8

То, что я рекомендую вам сделать прямо сейчас:

  1. Создайте новую установку Joomla на поддомене или локальном хосте,
  2. Создайте учетную запись суперпользователя с надежным паролем
  3. Скопируйте хэш пароля из #__usersтаблицы из новой учетной записи и замените старую.

Я не уверен, как хеши и имена пользователей были изменены, но это может быть несколько причин. Всегда убедитесь, что вы используете последнюю версию Joomla и последнюю версию расширений. Существует довольно много расширений, которые делают сайты уязвимыми для SQL-инъекций. Я не могу не подчеркнуть, насколько важно поддерживать актуальность.

Возможно, вы захотите начать как можно скорее переходить на Joomla 3.3, так как эта версия предоставляет один из самых безопасных методов шифрования паролей (bcrypt).

И, как упомянул @Brian, настоятельно рекомендуется обновить пароль вашей базы данных на более надежный. Еще одна хорошая вещь, которую следует принять во внимание, это также изменение префиксов таблиц базы данных. Многие сайты Joomla используют, jos_что вы можете изменить на что-то более уникальное, используя расширение, такое как Admin Tools, которое было упомянуто в другом ответе.

Лоддер
источник
2
Я бы добавил, измените пароль вашей базы данных на что-то более сильное.
Брайан Пит
8

Чтобы ваш сайт всегда был защищен, вам нужна строгая политика безопасности:

  1. Обновите Joomla до последней версии
  2. Используйте ТОЛЬКО темы от известных разработчиков (без исключений), И обновите до последней версии
  3. Используйте ТОЛЬКО расширения от известных разработчиков (без исключений) И обновите до последней версии
  4. Реализовать расширение безопасности для Joomla Hardening (Akeeba Admin является обязательным и бесплатным)

Пожалуйста, проверьте этот контрольный список безопасности:

Контрольный список безопасности / Вас взломали или испортили http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Безопасный маршрут для оказания помощи при бедствиях

а. сохраните файл configuration.php и ваши изображения и личные файлы по одному (не в папку, так как она может содержать нежелательные файлы). b. протрите всю папку, где Joomla! установлен c. загрузить новый чистый полный пакет последней версии joomla 1.5.x или Joomla 2.5.x, joomla 3.x (за исключением папки установки) d. перезагрузите ваш файл конфигурации и изображения. е. перезагрузите или переустановите последние версии ваших расширений, шаблонов (еще лучше использовать оригинальные чистые копии, чтобы гарантировать, что хакер / дефейсер не оставит никаких файлов сценариев оболочки на вашем сайте) f. Для этого ваш сайт отключится примерно на 15 минут. Чтобы отследить ваш взломанный / испорченный HTML может потребоваться часы или даже больше.

Анибал
источник
1
Обратите внимание, что только платная версия Akeeba Admin Tools имеет брандмауэр веб-приложений (WAF).
Нил Робертсон
6

Это может быть очень неприятно, иногда сайт не может обновляться по разным причинам, хотя для лучшей помощи, пожалуйста, включите полную версию, например 2.5.9 или что-то в этом роде. Если вы уже удалили расширения как возможность, то причиной может быть более старая версия Joomla.

Мы видели что-то подобное на наших сайтах раньше, было ли это на общем сервере? Это может произойти даже на чистом сайте на общем сервере, если попадет одна учетная запись на общем сервере, это может поставить под угрозу весь сервер. Вы тоже ничего не можете с этим поделать, у Joomla нет ничего, что могло бы предотвратить такой эксплойт, и это одна из причин, почему общие хосты могут создавать проблемы. Хотя это зависит от хоста, такие как siteground или hostgator довольно хорошо сохраняют свою инфраструктуру нетронутой.

Поэтому я бы порекомендовал выполнить сканирование на наличие вредоносных программ, чтобы увидеть, что оно обнаруживает, скорее всего, если они попадут в вашу базу данных таким образом, им будет введено много файлов. В этом случае лучше всего восстанавливать из резервной копии и обновлять, а затем сканировать вредоносные программы.

Также посмотрите на инструменты администратора от akeeba, у него есть несколько полезных инструментов для защиты вашего сайта.

Джордан Рамстад
источник
4

Похоже, что ваш сайт был взломан.

Причины взломанного сайта Joomla

Некоторые из причин, по которым хакеры получают доступ к вашему сайту:

  1. стороннее расширение с уязвимостью
  2. уязвимость Joomla
  3. другая учетная запись с уязвимостью на том же общем сервере
  4. плохо настроенная / поддерживаемая среда сервера / хостинга
  5. скомпрометированный локальный компьютер, на котором хранятся учетные данные веб-сайта
  6. слабые пароли взломаны с помощью взлома

Рекомендуется использовать минимальное количество хорошо поддерживаемых сторонних расширений от известных разработчиков, но помните также, что вам необходимо постоянно обновлять Joomla и сторонние расширения, чтобы уязвимости были исправлены до того, как они могут быть использованы хакерами.

Решения для взломанного сайта Joomla

  1. Восстановление из чистой резервной копии. Обновите Joomla и все сторонние расширения до последних версий. Это хорошее решение, если вы знаете, когда именно сайт был взломан, но время трудно определить с уверенностью.

  2. Протрите веб-сайт и восстановите его с нуля, используя новейшие версии Joomla и сторонние расширения. Это обычно не практическое решение из-за выполняемой работы, но может обеспечить высокую степень уверенности в том, что инфекция ликвидирована.

  3. Очистите веб-сайт с помощью коммерческого инструмента безопасности https://mysites.guru (ранее myjoomla.com) или аналогичного, восстановив все измененные основные файлы обратно в оригиналы, удалив вредоносное ПО и переустановив сторонние расширения по мере необходимости. Обновите Joomla и все сторонние расширения до последних версий.

Вам также следует обновить пароли Joomla, хостинга и базы данных.

На практике вариант 3 обычно работает хорошо для меня.

Подумайте об улучшении безопасности веб-сайта в соответствии с официальным Контрольным списком безопасности и «Как обезопасить новую установку Joomla?»

Нил Робертсон
источник
3

Сегодня я снова столкнулся с той же проблемой. Это не Joomla или его расширения. Это потому, что я установил для всех файлов и каталогов CHMOD значение 775. Я сделал это просто для того, чтобы упростить обновление Joomla.

Прочитав http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , я посмотрел даты изменения каталогов и изучил даты, которые имеют разные значения.

Я использую WinSCP для доступа по FTP. Я видел 5 файлов .php с ярлыком, который не могу открыть, чтобы просмотреть их содержимое.

  1. settings.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. WP-config.php

а также в каталоге включает

  1. config.php
  2. configure.php

Я удалил их и восстановил веб-сайты из резервной копии. И обещаю, я не дам права на запись для группы www-data, кроме каталога images.

zkanoca
источник