Cosa fare se il mio sito Web Joomla è stato violato?

Ho un sito Web Joomla 2.5. Ieri non sono stato in grado di accedere al pannello amministratore. Ho verificato la tabella degli utenti. Sono rimasto scioccato quando ho visto che tutti i campi "nome utente" degli utenti erano " admin " e le password erano " 268e27056a3e52cf3755d193cbeb0594 ". In genere non utilizzo estensioni di terze parti non familiari / inaffidabili.

C'è qualcuno qui che ha riscontrato lo stesso problema? Se sì, puoi dirmi qual è la ragione e qual è la soluzione?

Quello che ti consiglio di fare subito è:

1. Crea una nuova installazione di Joomla su un sottodominio o localhost,
2. Creare un account utente eccellente con una forte parola
3. Copia l'hash della password dalla #__userstabella dal tuo account appena creato e sostituisci quello precedente.

Non sono sicuro di come siano stati cambiati gli hash e i nomi utente, ma potrebbero essere alcuni motivi. Assicurati sempre di eseguire l'ultima versione di Joomla e l'ultima versione delle estensioni. Ci sono alcune estensioni là fuori che rendono i siti vulnerabili alle iniezioni di SQL. Non posso sottolineare quanto sia importante mantenere le cose aggiornate.

Potresti iniziare a considerare la migrazione a Joomla 3.3 il prima possibile, poiché questa versione fornisce uno dei metodi di crittografia delle password più sicuri (bcrypt).

E come ha detto @Brian, si consiglia di aggiornare la password del database a qualcosa di più forte. Un'altra cosa positiva da prendere in considerazione è anche la modifica dei prefissi della tabella del database. Molti siti di Joomla usano jos_che puoi cambiare in qualcosa di un po 'più unico usando un'estensione come Strumenti di amministrazione che è stata menzionata nell'altra risposta

Per mantenere il tuo sito Web sempre sicuro, hai bisogno di una rigorosa politica di sicurezza:

1. Aggiorna Joomla all'ultima versione
2. Usa SOLO temi di noti sviluppatori (senza eccezioni) E aggiorna alla versione più recente
3. Utilizza SOLO estensioni di noti sviluppatori (senza eccezioni) E aggiorna all'ultima versione
4. Implementa un'estensione di sicurezza per Joomla Hardening (Akeeba Admin è un must ed è gratuito)

Per favore, controlla questo elenco di controllo di sicurezza:

Elenco di controllo di sicurezza / Sei stato hackerato o deturpato http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Un percorso sicuro per soccorsi in caso di calamità

un. salva il file configuration.php e le tue immagini e file personali uno per uno (non la cartella in quanto potrebbe contenere file indesiderati) b. cancella l'intera cartella in cui Joomla! è installato c. caricare una nuova versione completa e pulita del pacchetto completo di joomla 1.5.xo Joomla 2.5.x, joomla 3.x (meno la cartella di installazione) d. ricaricare il file di configurazione e le immagini. e. ricaricare o reinstallare le ultime versioni delle estensioni, dei modelli (ancora meglio è utilizzare copie originali pulite per assicurarsi che l'hacker / defacer non abbia lasciato alcun file di script di shell nel proprio sito) f. Per fare ciò, il tuo sito verrà disattivato per circa 15 minuti. Per rintracciare il tuo html hackerato / deturpato potrebbe richiedere ore o anche di più.

Questo può essere qualcosa di molto frustrante, a volte un sito non può rimanere aggiornato per vari motivi, anche se per il miglior aiuto, ti preghiamo di includere la versione completa, come 2.5.9 o qualcosa del genere. Se hai già rimosso le estensioni come possibilità, il motivo potrebbe essere una versione precedente di Joomla.

Abbiamo visto qualcosa di simile sui nostri siti prima, era su un server condiviso? Ciò può accadere anche in un sito pulito su un server condiviso, se un account sul server condiviso viene colpito, potrebbe compromettere l'intero server. Non c'è molto da fare neanche a riguardo, nulla di ciò che Joomla ha può impedire un simile exploit e la sua unica ragione per cui gli host condivisi possono essere problematici. Anche se questo dipende dall'host, quelli come siteground o hostgator sono abbastanza bravi a mantenere intatta la loro infrastruttura.

Quindi consiglierei di fare una scansione del malware per vedere cosa raccoglie, molto probabilmente se colpiscono il tuo database in quel modo allora hanno molti file iniettati. È meglio ripristinare dal backup in questo caso e aggiornare, quindi scansionare il malware.

Guarda anche gli strumenti di amministrazione di Akeeba, ha alcuni strumenti utili per proteggere il tuo sito.

Sembra che il tuo sito Web sia stato violato.

Ragioni per un sito Web di Joomla compromesso

Alcuni dei motivi per cui gli hacker ottengono l'accesso al tuo sito Web sono:

1. un'estensione di terze parti con una vulnerabilità
2. una vulnerabilità di Joomla
3. un altro account con una vulnerabilità sullo stesso server condiviso
4. ambiente server / hosting mal configurato / gestito
5. computer locale compromesso su cui sono archiviate le credenziali del sito Web
6. password deboli incrinate tramite attacchi di forza bruta

L'uso di un numero minimo di estensioni di terze parti ben supportate da sviluppatori affidabili è una buona pratica, ma ricorda anche che è necessario mantenere aggiornati Joomla e le estensioni di terze parti in modo che le vulnerabilità vengano patchate prima che possano essere sfruttate dagli hacker.

Soluzioni per un sito Web Joomla compromesso

1. Ripristina da un backup pulito. Aggiorna Joomla e tutte le estensioni di terze parti alle ultime versioni. Questa è una buona soluzione se sai quando esattamente il sito web è stato compromesso ma i tempi sono difficili da determinare con sicurezza.

2. Pulisci il sito Web e ricostruiscilo da zero utilizzando le versioni aggiornate di Joomla e le estensioni di terze parti. Di solito questa non è una soluzione pratica a causa del lavoro svolto, ma può fornire un alto grado di fiducia nell'eliminazione dell'infezione.

3. Pulisci il sito Web utilizzando lo strumento di sicurezza commerciale https://mysites.guru (precedentemente myjoomla.com) o simile, ripristinando i file core modificati agli originali, rimuovendo malware e reinstallando le estensioni di terze parti secondo necessità. Aggiorna Joomla e tutte le estensioni di terze parti alle ultime versioni.

Dovresti anche aggiornare le password di Joomla, hosting e database.

In pratica, l'opzione 3 di solito funziona bene per me.

Considerare di migliorare la sicurezza del sito Web secondo l' elenco di controllo di sicurezza ufficiale e "Come proteggere una nuova installazione di Joomla?"

Oggi ho riscontrato di nuovo lo stesso problema. Non è joomla o le sue estensioni. È perché ho impostato tutti i file e le directory CHMOD su 775. L'ho fatto solo per aggiornare Joomla più facilmente.

Dopo aver letto http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , ho esaminato le date di modifica delle directory e ho esaminato quelle che hanno valori diversi.

Uso WinSCP per l'accesso FTP. Ho visto 5 file .php con l'icona di collegamento che non riesco ad aprire per visualizzarne il contenuto.

1. settings.php
2. e107_config.php
3. config.php
4. conf_global.php
5. wp-config.php

e anche nella directory include

1. config.php
2. configure.php

Li ho cancellati e ripristinato i siti Web dal backup. E lo prometto, non darò accesso in scrittura per il gruppo www-data tranne la directory delle immagini.