Joomla web sitem saldırıya uğradıysa ne yapmalı?

Bir Joomla 2.5 web sitem var. Dün yönetici paneline giriş yapamadım. Kullanıcılar tablosuna baktım. Tüm kullanıcıların kullanıcı adı alanının ' admin ' olduğunu ve şifrelerin ' 268e27056a3e52cf3755d193cbeb0594 ' olduğunu görünce şok oldum . Genel olarak uygunsuz / güvenilir olmayan üçüncü taraf uzantıları kullanmıyorum.

Burada aynı sorunla karşılaşan var mı? Cevabınız evet ise, nedenini ve çözümünü söyleyebilir misiniz?

Hemen yapmanızı öneririm:

1. Bir alt etki alanında veya localhost'ta yeni bir Joomla yüklemesi oluşturun,
2. Güçlü bir şifreyle süper kullanıcı hesabı oluşturun
3. Parola karmasını #__userstablodan yeni oluşturulan hesabınızdan kopyalayın ve eskisini değiştirin.

Karma ve kullanıcı adlarının nasıl değiştirildiğinden emin değilim, ancak bunun birkaç nedeni olabilir. Her zaman Joomla'nın en son sürümünü ve uzantıların en son sürümünü çalıştırdığınızdan emin olun. Siteleri SQL enjeksiyonlarına karşı savunmasız hale getiren birkaç uzantı var. İşleri güncel tutmanın ne kadar önemli olduğunu vurgulayamam.

Bu sürüm en güvenli parola şifreleme yöntemlerinden (bcrypt) birini sağladığı için, mümkün olan en kısa sürede Joomla 3.3'e geçmeyi düşünmeye başlamak isteyebilirsiniz.

@Brian'ın da belirttiği gibi, veritabanı şifrenizi daha güçlü bir şeye güncellemeniz önemle tavsiye edilir. Dikkate alınması gereken bir başka iyi şey de veritabanı tablosu öneklerini değiştirmektir. jos_Diğer cevapta bahsedilen Yönetici Araçları gibi bir uzantı kullanarak biraz daha benzersiz bir şeye değiştirebileceğiniz birçok Joomla sitesi kullanıyor

Web sitenizi her zaman güvende tutmak için katı bir güvenlik politikasına ihtiyacınız vardır:

1. Joomla'yı en son sürüme güncelleyin
2. SADECE tanınmış geliştiricilerin temalarını kullanın (istisna yok) VE en son sürüme güncelleyin
3. SADECE tanınmış geliştiricilerin uzantılarını kullanın (istisna yok) VE en son sürüme güncelleyin
4. Joomla Hardening için bir güvenlik uzantısı uygulayın (Akeeba Admin bir zorunluluktur ve ücretsizdir)

Lütfen bu güvenlik kontrol listesini kontrol edin:

Güvenlik Kontrol Listesi / Saldırıya uğradınız veya tahrif edildiniz http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Afet yardımı için güvenli bir yol

a. configuration.php dosyasını ve resimlerinizi ve kişisel dosyalarınızı tek tek kaydedin (istenmeyen dosyalar içerebileceği için klasörü değil) b. tüm klasörü silin Joomla! yüklendi c. joomla 1.5.x veya Joomla 2.5.x, joomla 3.x'in yeni bir tam paketini yükleyin (eklenti kurulum klasörü) d. yapılandırma dosyanızı ve resimlerinizi yeniden yükleyin. e. uzantılarınızın en yeni sürümlerini yeniden yükleyin veya yeniden yükleyin, şablonlar (daha iyisi, bilgisayar korsanının / defacer'ın sitenizde kabuk komut dosyası bırakmadığından emin olmak için orijinal temiz kopyaları kullanmaktır) f. Bunu yapmak için sitenizi yaklaşık 15 dakika boyunca devre dışı bırakır. Saldırıya uğramış / tahrif edilmiş html'nizi izlemek saatler veya daha uzun sürebilir.

Bu çok sinir bozucu bir şey olabilir, bazen bir site çeşitli nedenlerle güncellenemez, ancak en iyi yardım için lütfen 2.5.9 veya tam bir şey gibi tam sürümü ekleyin. Uzantıları zaten bir olasılık olarak kaldırdıysanız, neden Joomla'nın eski bir sürümü olabilir.

Daha önce sitelerimizde benzer bir şey gördük, paylaşılan bir sunucuda mıydı? Bu, paylaşılan bir sunucudaki temiz bir sitede bile olabilir, paylaşılan sunucudaki bir hesap isabet alırsa, tüm sunucunun güvenliğini aşabilir. Bu konuda da yapabileceğiniz pek bir şey yok, Joomla'nın sahip olduğu hiçbir şey böyle bir istismarı ve paylaşılan ana bilgisayarların sorunlu olabilmesinin bir nedeni olabilir. Bu, ana bilgisayara bağlı olsa da, site alanı veya hostgator gibi olanlar altyapılarını sağlam tutmada oldukça iyidir.

Bu yüzden ne aldığını görmek için kötü amaçlı yazılım taraması yapmanızı tavsiye ederim, büyük olasılıkla veritabanınıza böyle vururlarsa, çok fazla dosya enjekte edilir. Bu durumda yedeklemeden geri yüklemek ve güncellemek, ardından kötü amaçlı yazılım taramak en iyisidir.

Ayrıca akeeba tarafından Yönetici araçlarına bakın, sitenizi güvence altına almak için bazı yararlı araçlar vardır.

Web sitenizin saldırıya uğradığı anlaşılıyor.

Saldırıya Uğramış Joomla Web Sitesinin Nedenleri

Bilgisayar korsanlarının web sitenize erişme nedenlerinden bazıları şunlardır:

1. güvenlik açığı olan bir üçüncü taraf uzantısı
2. bir Joomla güvenlik açığı
3. aynı paylaşılan sunucuda güvenlik açığı bulunan başka bir hesap
4. kötü yapılandırılmış / bakımı yapılmış sunucu / barındırma ortamı
5. Web sitesi kimlik bilgilerinin saklandığı güvenliği ihlal edilmiş yerel bilgisayar
6. kaba kuvvet saldırıları yoluyla kırılan zayıf parola (lar)

Saygın geliştiricilerden çok az sayıda iyi desteklenen üçüncü taraf uzantıları kullanmak iyi bir uygulamadır, ancak güvenlik açıklarının bilgisayar korsanları tarafından kullanılmadan önce yamalanması için Joomla ve üçüncü taraf uzantılarını güncel tutmanız gerektiğini unutmayın.

Saldırıya uğramış Joomla Web Sitesi için Çözümler

1. Temiz bir yedekten geri yükleyin. Joomla'yı ve tüm üçüncü taraf uzantılarını en son sürümlere güncelleyin. Bu, web sitesinin tam olarak ne zaman ele geçirildiğini ancak zamanlamanın herhangi bir güvenle belirlenmesini zorlaştırırsanız iyi bir çözümdür.

2. Joomla ve üçüncü taraf uzantıların güncel sürümlerini kullanarak web sitesini silin ve sıfırdan yeniden oluşturun. Bu, ilgili iş nedeniyle genellikle pratik bir çözüm değildir, ancak enfeksiyonun ortadan kaldırıldığına dair yüksek derecede güven sağlayabilir.

3. Web sitesini ticari https://mysites.guru (eski adıyla myjoomla.com) veya benzerlerini kullanarak temizleyin, değiştirilen çekirdek dosyaları orijinallerine geri yükleyin, kötü amaçlı yazılımları kaldırın ve gerekirse üçüncü taraf uzantılarını yeniden yükleyin. Joomla'yı ve tüm üçüncü taraf uzantılarını en son sürümlere güncelleyin.

Ayrıca Joomla, hosting ve veritabanı şifrelerini de güncellemelisiniz.

Uygulamada, seçenek 3 genellikle benim için iyi çalışır.

Resmi Güvenlik Kontrol Listesi ve "Yeni bir Joomla kurulumu nasıl güvenli hale getirilir?" Uyarınca web sitesinin güvenliğini artırmayı düşünün.

Bugün yine aynı problemle karşılaştım. Joomla veya uzantıları değildir. Çünkü tüm dosyaları ve dizinleri CHMOD'u 775 olarak ayarladım. Sadece joomla'yı daha kolay güncellemek için yaptım.

Http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla okuduktan sonra , dizinlerin değişim tarihlerine baktım ve farklı değerleri olanları araştırdım.

FTP erişimi için WinSCP kullanıyorum. İçeriğini görüntülemek için açamadığım kısayol simgesine sahip 5 .php dosyası gördüm.

1. settings.php
2. e107_config.php
3. config.php
4. conf_global.php
5. wp-config.php

ve ayrıca include dizininde

1. config.php
2. configure.php

Onları sildim ve web sitelerini yedekten geri yükledim. Ve söz veriyorum, www-data grubu için images dizini dışında yazma erişimi vermeyeceğim.