Що робити, якщо мій веб-сайт Joomla зламався?

У мене є веб-сайт Joomla 2.5. Вчора мені не вдалося увійти в панель адміністратора. Я перевірив таблицю користувачів. Я був шокований, коли побачив, що поле для імені користувача всіх користувачів - " адміністратор ", а паролі - " 268e27056a3e52cf3755d193cbeb0594 ". Я зазвичай не використовую невідомі / ненадійні розширення сторонніх розробників.

Хтось тут, хто стикався з тією ж проблемою? Якщо так, чи можете ви сказати мені, в чому причина, і яке рішення?

Що я рекомендую вам зробити відразу:

1. Створіть нову установку Joomla на субдомені або localhost,
2. Створіть суперкористувацький обліковий запис із надійним паролем
3. Скопіюйте хеш паролів із #__usersтаблиці зі свого новоствореного облікового запису та замініть старий.

Я не впевнений, як змінилися хеші та імена користувачів, але це може бути зменшено з кількох причин. Завжди переконайтеся, що ви використовуєте останню версію Joomla та останню версію розширень. Існує досить багато розширень, які роблять сайти вразливими до ін'єкцій SQL. Я не можу наголосити на тому, наскільки важливо актуалізувати речі.

Можливо, ви хочете якомога швидше розпочати розгляд питання про перехід на Joomla 3.3, оскільки ця версія забезпечує один із найбезпечніших методів шифрування пароля (bcrypt).

І як згадував @Brian, рекомендується оновити пароль вашої бази даних на щось більш сильне. Ще одна гарна річ, яку слід врахувати, - це також зміна префіксів таблиці вашої бази даних. Багато сайтів Joomla використовують, jos_які ви можете змінити на щось трохи більш унікальне, використовуючи розширення, наприклад, Інструменти адміністратора, про які було сказано в іншій відповіді

Щоб веб-сайт завжди був захищеним, вам потрібна сувора політика безпеки:

1. Оновіть Joomla до останньої версії
2. Використовуйте ТОЛЬКІ теми від відомих розробників (без винятку) та оновлення до останньої версії
3. Використовуйте ТІЛЬКИ розширення від відомих розробників (без винятку) та оновлення до останньої версії
4. Вкажіть розширення безпеки для Joomla Hardening (Akeeba Admin - це обов’язково, і це безкоштовно)

Перевірте цей контрольний список безпеки:

Контрольний список безпеки / Вас зламали або пошкодили http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Безпечний маршрут для ліквідації наслідків катастроф

а. збережіть файл config.php та ваші зображення та особисті файли один за одним (не папку, оскільки вона може містити небажані файли) b. витріть всю папку, де Joomla! встановлено c. завантажте новий чистий повний пакет останньої версії joomla 1.5.x або Joomla 2.5.x, joomla 3.x (мінус папка встановлення) d. перезавантажте конфігураційний файл та зображення. е. перезавантажте або перевстановіть найновіші версії розширень, шаблонів (ще краще - використовувати оригінальні чисті копії, щоб гарантувати, що хакер / defacer не залишив на вашому сайті жодного файлу скриптів оболонки) f. Для цього вам доведеться відключити ваш сайт близько 15 хвилин. Для відстеження ваших зламаних / пошкоджених HTML може зайняти години чи навіть довше.

Це може бути щось дуже засмучує, іноді сайт не може постійно оновлюватись з різних причин, хоча для найкращої допомоги, будь ласка, включіть повну версію, наприклад, 2.5.9 або щось подібне. Якщо ви вже видалили розширення як можливість, то причиною може стати старша версія Joomla.

Раніше на наших сайтах ми бачили щось подібне, це було на спільному сервері? Це може статися навіть на чистому сайті на спільному сервері, якщо один обліковий запис на спільному сервері потрапить, це може поставити під загрозу весь сервер. З цим можна зробити і не багато, і нічого, що має Joomla, не зможе запобігти такому подвигу, і єдина його причина, чому спільні хости можуть бути проблематичними. Хоча це залежить від господаря, такі як майданчик або хост-організатор досить добре зберігають свою інфраструктуру недоторканою.

Тому я б рекомендував зробити сканування шкідливого програмного забезпечення, щоб побачити, що він знімає, швидше за все, якщо вони потрапляють у вашу базу даних, як, то у них вставлено багато файлів. У цьому випадку найкраще відновити з резервної копії та оновити, а потім перевірити зловмисне програмне забезпечення.

Також загляньте в інструменти адміністратора від akeeba, у ньому є кілька корисних інструментів для захисту вашого сайту.

Схоже, ваш веб-сайт був зламаний.

Причини злому веб-сайту Joomla

Однією з причин хакери отримують доступ до вашого веб-сайту:

1. стороннє розширення з уразливістю
2. вразливість Joomla
3. інший обліковий запис з уразливістю на тому ж спільному сервері
4. погано налаштований / підтримуваний сервер / середовище хостингу
5. компрометований локальний комп'ютер, на якому зберігаються облікові дані веб-сайту
6. слабкі паролі, зламані через грубі сили атак

Використання мінімальної кількості добре підтримуваних розширень сторонніх розробників від авторитетних розробників є хорошою практикою, але пам’ятайте також, що вам потрібно постійно оновлювати розширення Joomla та сторонніх розробників, щоб вразливості були виправлені, перш ніж їх можуть використовувати хакери.

Рішення для зламаного веб-сайту Joomla

1. Відновити з чистої резервної копії. Оновіть Joomla та всі розширення сторонніх розробників до останніх версій. Це хороше рішення, якщо ви знаєте, коли саме веб-сайт був порушений, але терміни важко визначити з упевненістю.

2. Протріть веб-сайт і відновіть з нуля, використовуючи сучасні версії Joomla та сторонні розширення. Зазвичай це не є практичним рішенням через роботу, але це може забезпечити високу впевненість у тому, що інфекція викорінена.

3. Очистіть веб-сайт, використовуючи комерційний інструмент безпеки https://mysites.guru (раніше myjoomla.com) або подібний, відновивши всі змінені основні файли назад до оригіналів, видаливши зловмисне програмне забезпечення та заново встановивши розширення сторонніх розробників. Оновіть Joomla та всі розширення сторонніх розробників до останніх версій.

Також слід оновити паролі Joomla, хостинг та бази даних.

На практиці варіант 3 зазвичай для мене добре працює.

Подумайте про покращення безпеки веб-сайту згідно з офіційним контрольним списком безпеки та "Як забезпечити нову установку Joomla?"

Сьогодні я знову зіткнувся з такою ж проблемою. Це не Джомла або її розширення. Це тому, що я встановив CHMOD усіх файлів і каталогів на 775. Я це зробив лише для того, щоб оновити joomla простіше.

Прочитавши http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , я переглянув дати зміни каталогів та дослідив ті, які мають різні значення.

Я використовую WinSCP для доступу до FTP. Я бачив 5 .php файлів із ярликом, який не можу відкрити для перегляду їх вмісту.

1. Settings.php
2. e107_config.php
3. config.php
4. conf_global.php
5. wp-config.php

а також в каталог включає

1. config.php
2. configure.php

Я видалив їх і відновив веб-сайти з резервного копіювання. І я обіцяю, я не дам доступ для запису для групи даних www, крім каталогу зображень.