it-swarm-tr.com

Joomla web sitem saldırıya uğradıysa ne yapmalı?

Bir Joomla 2.5 web sitem var. Dün yönetici paneline giriş yapamadım. Kullanıcılar tablosuna baktım. Tüm kullanıcıların kullanıcı adı alanının 'admin' ve şifrelerin '268e27056a3e52cf3755d193cbeb0594' olduğunu görünce şok oldum. Genel olarak uygunsuz/güvenilir olmayan üçüncü taraf uzantıları kullanmıyorum.

Burada aynı sorunla karşılaşan var mı? Cevabınız evet ise, nedenini ve çözümün ne olduğunu söyleyebilir misiniz?

10
zkanoca

Bugün yine aynı problemle karşılaştım. Joomla veya uzantıları değildir. Çünkü tüm dosya ve dizinlerin CHMOD'unu 775 olarak ayarladım. Sadece joomla'yı daha kolay güncellemek için yaptım.

http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla okuduktan sonra dizinlerin değişim tarihlerine baktım ve farklı olanları araştırdım değerler.

FTP erişimi için WinSCP kullanıyorum. İçeriğini görüntülemek için açamadığım kısayol simgesine sahip 5 .php dosyası gördüm.

  1. Settings.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. wp-config.php

ve ayrıca include dizininde

  1. config.php
  2. configure.php

Onları sildim ve web sitelerini yedekten geri yükledim. Ve söz veriyorum, www-data grubu için images dizini dışında yazma erişimi vermeyeceğim.

3
zkanoca

Hemen yapmanızı öneririm:

  1. Bir alt etki alanında veya localhost'ta yeni bir Joomla yüklemesi oluşturun,
  2. strong şifresiyle süper kullanıcı hesabı oluşturun
  3. Parola karmasını #__users yeni oluşturulan hesabınızdan tablo ve eskisini değiştirin.

Karma ve kullanıcı adlarının nasıl değiştirildiğinden emin değilim, ancak birkaç nedeni olabilir. Her zaman Joomla'nın en son sürümünü ve uzantıların en son sürümünü çalıştırdığınızdan emin olun. Siteleri SQL enjeksiyonlarına karşı savunmasız hale getiren birkaç uzantı var. İşleri güncel tutmanın ne kadar önemli olduğunu vurgulayamam.

Bu sürüm en güvenli parola şifreleme yöntemlerinden (bcrypt) birini sağladığı için, mümkün olan en kısa sürede Joomla 3.3'e geçmeyi düşünmeye başlamak isteyebilirsiniz.

@Brian'ın belirttiği gibi, veritabanı şifrenizi daha güçlü bir şeye güncellemeniz önemle tavsiye edilir. Dikkate alınması gereken bir başka iyi şey de veritabanı tablosu öneklerini değiştirmektir. Birçok Joomla sitesi jos_, diğer yanıtta bahsedilen Yönetici Araçları gibi bir uzantı kullanarak biraz daha benzersiz bir şeye dönüştürebilirsiniz

8
Lodder

Web sitenizi her zaman güvende tutmak için katı bir güvenlik politikasına ihtiyacınız vardır:

  1. Joomla'yı en son sürüme güncelleyin
  2. SADECE tanınmış geliştiricilerin temalarını kullanın (istisna yok) VE en son sürüme güncelleyin
  3. SADECE tanınmış geliştiricilerin uzantılarını kullanın (istisna yok) VE en son sürüme güncelleyin
  4. Joomla Hardening için bir güvenlik uzantısı uygulayın (Akeeba Admin bir zorunluluktur ve ücretsizdir)

Lütfen bu güvenlik kontrol listesini kontrol edin:

Güvenlik Kontrol Listesi/Saldırıya uğradınız veya tahrif edildiniz http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Afet yardımı için güvenli bir yol

a. configuration.php dosyasını ve resimlerinizi ve kişisel dosyalarınızı tek tek kaydedin (istenmeyen dosyalar içerebileceği için klasörü değil) b. tüm klasörü silin Joomla! yüklendi c. joomla 1.5.x veya Joomla 2.5.x, joomla 3.x'in yeni bir tam paketini yükleyin (eklenti kurulum klasörü) d. yapılandırma dosyanızı ve resimlerinizi yeniden yükleyin. e. uzantılarınızın en son sürümlerini yeniden yükleyin veya yeniden yükleyin, şablonlar (daha iyisi, bilgisayar korsanının/defacer'ın sitenizde hiçbir Shell komut dosyası bırakmadığından emin olmak için orijinal temiz kopyaları kullanmaktır) f. Bunu yapmak için sitenizi yaklaşık 15 dakika boyunca devre dışı bırakır. Saldırıya uğramış/tahrif edilmiş html'nizi izlemek saatler hatta daha uzun sürebilir.

8
Anibal

Bu çok sinir bozucu bir şey olabilir, bazen bir site çeşitli nedenlerle güncellenemez, ancak en iyi yardım için lütfen 2.5.9 veya tam bir şey gibi tam sürümü ekleyin. Uzantıları zaten bir olasılık olarak kaldırdıysanız, Joomla'nın eski bir sürümü bunun nedeni olabilir.

Daha önce sitelerimizde benzer bir şey gördük, paylaşılan bir sunucuda mıydı? Bu, paylaşılan bir sunucudaki temiz bir sitede bile olabilir, paylaşılan sunucudaki bir hesap isabet alırsa, tüm sunucunun güvenliğini aşabilir. Bu konuda da yapabileceğiniz pek bir şey yok, Joomla'nın sahip olduğu hiçbir şey böyle bir istismarı ve paylaşılan ana bilgisayarların sorunlu olabilmesinin bir nedeni olabilir. Bu, Ana bilgisayara bağlı olsa da, site alanı veya hostgator gibi olanlar altyapılarını sağlam tutmada oldukça iyidir.

Bu yüzden ne aldığını görmek için kötü amaçlı yazılım taraması yapmanızı öneririm, büyük olasılıkla veritabanınıza böyle vururlarsa, çok fazla dosya enjekte edilir. Bu durumda yedeklemeden geri yükleme ve güncelleme, ardından kötü amaçlı yazılım taraması en iyisidir.

Ayrıca akeeba tarafından Yönetici araçlarına bakın, sitenizi güvence altına almak için bazı yararlı araçlar vardır.

6
Jordan Ramstad

Web sitenizin saldırıya uğradığı anlaşılıyor.

Saldırıya Uğramış Bir Joomla Web Sitesinin Nedenleri

Bilgisayar korsanlarının web sitenize erişme nedenlerinden bazıları şunlardır:

  1. güvenlik açığı olan bir üçüncü taraf uzantısı
  2. bir Joomla güvenlik açığı
  3. aynı paylaşılan sunucuda güvenlik açığı bulunan başka bir hesap
  4. kötü yapılandırılmış/bakımı yapılmış sunucu/barındırma ortamı
  5. web sitesi kimlik bilgilerinin saklandığı güvenliği ihlal edilmiş yerel bilgisayar
  6. kaba kuvvet saldırıları yoluyla kırılan zayıf parola (lar)

Saygın geliştiricilerden çok az sayıda iyi desteklenen üçüncü taraf uzantıları kullanmak iyi bir uygulamadır, ancak güvenlik açıklarının bilgisayar korsanları tarafından kullanılmadan önce yamaları için Joomla ve üçüncü taraf uzantılarını güncel tutmanız gerektiğini unutmayın.

Saldırıya uğramış Joomla Web Sitesi için Çözümler

  1. Temiz bir yedekten geri yükleyin. Joomla'yı ve tüm üçüncü taraf uzantılarını en son sürümlere güncelleyin. Bu, web sitesinin tam olarak ne zaman ihlal edildiğini biliyorsanız, ancak zamanlamanın herhangi bir güvenle belirlenmesinin zor olduğunu biliyorsanız iyi bir çözümdür.

  2. Joomla ve üçüncü taraf uzantıların güncel sürümlerini kullanarak web sitesini silin ve sıfırdan yeniden oluşturun. Bu, ilgili çalışma nedeniyle genellikle pratik bir çözüm değildir, ancak enfeksiyonun ortadan kaldırıldığına dair yüksek derecede güven sağlayabilir.

  3. Web sitesini ticari https://mysites.guru (eski adıyla myjoomla.com) güvenlik aracını veya benzerlerini kullanarak temizleyin, değiştirilen çekirdek dosyaları orijinallere geri yükleyerek, kötü amaçlı yazılımları kaldırın ve üçüncü tarafları yeniden yükleyin uzantıları gerektiği gibi. Joomla'yı ve tüm üçüncü taraf uzantılarını en son sürümlere güncelleyin.

Ayrıca Joomla, hosting ve veritabanı şifrelerini de güncellemelisiniz.

Uygulamada, seçenek 3 genellikle benim için iyi çalışır.

Resmi Güvenlik Kontrol Listesi ve "Yeni bir Joomla yüklemesi nasıl güvenli hale getirilir?" uyarınca web sitesinin güvenliğini artırmayı düşünün.

4
Neil Robertson