ti-enxame.com

O que fazer se meu site Joomla for invadido?

Eu tenho um site Joomla 2.5. Ontem não consegui entrar no painel do administrador. Eu verifiquei a tabela de usuários. Fiquei chocado ao ver que o campo de nome de usuário de todos os usuários era 'admin' e as senhas eram '268e27056a3e52cf3755d193cbeb0594'. Geralmente, não uso extensões de terceiros não confiáveis ​​/ não confiáveis.

Alguém aqui encontrou o mesmo problema? Se sim, você pode me dizer qual é o motivo e qual é a solução?

10
zkanoca

Hoje encontrei o mesmo problema novamente. Não é o joomla ou suas extensões. É porque eu configurei o CHMOD de todos os arquivos e diretórios para 775. Fiz isso apenas para atualizar o joomla mais facilmente.

Depois de ler http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , observei as datas de alteração dos diretórios e investigue as que têm diferentes valores.

Eu uso o WinSCP para acesso FTP. Eu vi 5 arquivos .php com o ícone de atalho que não consigo abrir para visualizar o conteúdo.

  1. Settings.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. wp-config.php

e também no diretório inclui

  1. config.php
  2. configure.php

Eu os apaguei e restaurei os sites do backup. E prometo que não darei acesso de gravação para o grupo www-data, exceto o diretório de imagens.

3
zkanoca

O que eu recomendo que você faça imediatamente é:

  1. Crie uma nova instalação do Joomla em um subdomínio ou host local,
  2. Crie uma conta de superusuário com uma senha forte
  3. Copie o hash da senha do diretório #__users da sua conta recém-criada e substitua a antiga.

Não tenho certeza de como os hashes e os nomes de usuário foram alterados, mas pode haver algumas razões. Sempre verifique se você está executando a versão mais recente do Joomla e a versão mais recente das extensões. Existem algumas extensões por aí que tornam os sites vulneráveis ​​a injeções de SQL. Não posso enfatizar o quão importante é manter as coisas atualizadas.

Você pode começar a considerar migrar para o Joomla 3.3 o mais rápido possível, pois esta versão fornece um dos métodos de criptografia de senha mais seguros (bcrypt).

E como o @Brian mencionou, é altamente recomendável atualizar a senha do banco de dados para algo mais forte. Outra coisa boa a ser levada em consideração também é alterar os prefixos da tabela do banco de dados. Muitos sites Joomla usam jos_ que você pode alterar para algo um pouco mais exclusivo usando uma extensão, como Ferramentas Administrativas, mencionada na outra resposta

8
Lodder

Para manter seu site sempre protegido, você precisa de uma política de segurança rigorosa:

  1. Atualize o Joomla para a versão mais recente
  2. Use APENAS temas de desenvolvedores conhecidos (sem exceções) E atualize para a versão mais recente
  3. Use APENAS extensões de desenvolvedores conhecidos (sem exceções) E atualize para a versão mais recente
  4. Implemente uma extensão de segurança para o Joomla Hardening (o Akeeba Admin é obrigatório e é gratuito)

Por favor, verifique esta lista de verificação de segurança:

Lista de verificação de segurança/Você foi hackeado ou desfigurado http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Uma rota segura para ajuda em desastres

uma. salve o arquivo configuration.php e suas imagens e arquivos pessoais um por um (não na pasta, pois pode conter arquivos indesejados) b. limpe toda a pasta onde o Joomla! está instalado c. faça o upload de um novo pacote completo e limpo da versão mais recente do joomla 1.5.x ou Joomla 2.5.x, joomla 3.x (menos a pasta de instalação) d. reenvie seu arquivo de configuração e imagens. e reupload ou reinstale as versões mais recentes de suas extensões, modelos (melhor ainda é usar cópias limpas originais para garantir que o hacker/infrator não tenha deixado nenhum arquivo de script do Shell em seu site) f. Para isso, o site ficará off-line por cerca de 15 minutos. Para rastrear seu html hackeado/desfigurado pode levar horas ou até mais.

8
Anibal

Isso pode ser algo muito frustrante, às vezes um site não pode ficar atualizado por vários motivos, embora, para obter a melhor ajuda, inclua a versão completa, como 2.5.9 ou algo assim. Se você já removeu extensões como uma possibilidade, uma versão mais antiga do Joomla pode ser o motivo.

Já vimos algo semelhante em nossos sites antes, estava em um servidor compartilhado? Isso pode acontecer mesmo em um site limpo em um servidor compartilhado, se uma conta no servidor compartilhado for atingida, isso poderá comprometer todo o servidor. Também não há muito o que você possa fazer sobre isso, nada que o Joomla tenha pode impedir essa exploração e é uma das razões pelas quais hosts compartilhados podem ser problemáticos. Embora isso dependa do host, como o siteground ou o hostgator são muito bons em manter sua infraestrutura intacta.

Então, eu recomendaria fazer uma varredura de malware para ver o que é coletado, provavelmente se eles atingirem o seu banco de dados dessa maneira, e eles terão muitos arquivos injetados. Nesse caso, é melhor restaurar a partir do backup e atualizar e, em seguida, verificar o malware.

Além disso, consulte as ferramentas administrativas da akeeba, que possui algumas ferramentas úteis para proteger seu site.

6
Jordan Ramstad

Parece que seu site foi invadido.

Razões para um site Joomla invadido

Algumas das razões pelas quais os hackers obtêm acesso ao seu site são:

  1. uma extensão de terceiros com uma vulnerabilidade
  2. uma vulnerabilidade do Joomla
  3. outra conta com uma vulnerabilidade no mesmo servidor compartilhado
  4. ambiente de servidor/hospedagem mal configurado/mantido
  5. computador local comprometido com credenciais de site armazenadas
  6. senhas fracas quebradas por ataques de força bruta

Usar um número mínimo de extensões de terceiros bem suportadas por desenvolvedores respeitáveis ​​é uma boa prática, mas lembre-se também de que você precisa manter as extensões do Joomla e de terceiros atualizadas para que as vulnerabilidades sejam corrigidas antes que possam ser exploradas por hackers.

Soluções para um site invadido do Joomla

  1. Restaure a partir de um backup limpo. Atualize o Joomla e todas as extensões de terceiros para as versões mais recentes. Esta é uma boa solução se você souber quando exatamente o site foi comprometido, mas é difícil determinar o tempo com confiança.

  2. Limpe o site e reconstrua-o do zero usando versões atualizadas do Joomla e extensões de terceiros. Isso geralmente não é uma solução prática por causa do trabalho envolvido, mas pode fornecer um alto grau de confiança de que a infecção é erradicada.

  3. Limpe o site usando a ferramenta de segurança comercial https://mysites.gur (anteriormente myjoomla.com) ou similar, restaurando os arquivos principais alterados de volta aos originais, removendo malware e reinstalando extensões de terceiros, conforme necessário . Atualize o Joomla e todas as extensões de terceiros para as versões mais recentes.

Você também deve atualizar as senhas do Joomla, hospedagem e banco de dados.

Na prática, a opção 3 geralmente funciona bem para mim.

Considere melhorar a segurança do site de acordo com o oficial Lista de verificação de segurança e "Como proteger uma nova instalação do Joomla?"

4
Neil Robertson