it-swarm-vi.com

Phải làm gì nếu trang web Joomla của tôi bị hack?

Tôi có một trang web Joomla 2.5. Hôm qua tôi không thể đăng nhập bảng quản trị. Tôi đã kiểm tra bảng người dùng. Tôi đã bị sốc khi thấy tất cả trường tên người dùng của người dùng là 'quản trị viên' và mật khẩu là '268e27056a3e52cf3755d193cbeb0594'. Tôi thường không sử dụng các tiện ích mở rộng của bên thứ ba không đáng tin cậy/không đáng tin cậy.

Có ai ở đây đã gặp phải vấn đề tương tự? Nếu có, bạn có thể cho tôi biết lý do là gì và giải pháp là gì?

10
zkanoca

Hôm nay tôi lại gặp phải vấn đề tương tự. Nó không phải là j Joomla hay phần mở rộng của nó. Đó là bởi vì tôi đã đặt tất cả các tệp và thư mục 'CHMOD thành 775. Tôi đã làm điều đó chỉ để cập nhật j Joomla dễ dàng hơn.

Sau khi đọc http://www.itoctopus.com/the-mass-username-password-update-hack-in-j Joomla , tôi đã xem ngày thay đổi của các thư mục và điều tra những cái khác nhau các giá trị.

Tôi sử dụng WinSCP để truy cập FTP. Tôi đã thấy 5 tệp .php có biểu tượng phím tắt mà tôi không thể mở để xem nội dung của chúng.

  1. Cài đặt.php
  2. e107_config.php
  3. cấu hình
  4. conf_global.php
  5. wp-config.php

và cũng trong thư mục bao gồm

  1. cấu hình
  2. configure.php

Tôi đã xóa chúng và khôi phục các trang web từ bản sao lưu. Và tôi hứa, tôi sẽ không cấp quyền truy cập ghi cho nhóm dữ liệu www ngoại trừ thư mục hình ảnh.

3
zkanoca

Những gì tôi khuyên bạn nên làm ngay lập tức là:

  1. Tạo một bản cài đặt mới của Joomla trên tên miền phụ hoặc localhost,
  2. Tạo một tài khoản siêu người dùng với mật khẩu mạnh
  3. Sao chép mật khẩu băm từ #__users bảng từ tài khoản mới tạo của bạn và thay thế tài khoản cũ.

Tôi không chắc chắn cách băm và tên người dùng đã được thay đổi nhưng có thể một vài lý do. Luôn đảm bảo bạn đang chạy phiên bản mới nhất của Joomla và phiên bản mở rộng mới nhất. Có khá nhiều tiện ích mở rộng khiến các trang web dễ bị tấn công SQL. Tôi không thể nhấn mạnh tầm quan trọng của việc giữ cho mọi thứ được cập nhật.

Bạn có thể muốn bắt đầu xem xét chuyển sang Joomla 3.3 càng sớm càng tốt, vì phiên bản này cung cấp một trong những phương thức mã hóa mật khẩu an toàn nhất (bcrypt).

Và như @Brian đã đề cập, việc cập nhật mật khẩu cơ sở dữ liệu của bạn thành thứ gì đó mạnh mẽ hơn rất được khuyến khích. Một điều tốt khác để xem xét cũng là thay đổi tiền tố bảng cơ sở dữ liệu của bạn. Rất nhiều trang web Joomla sử dụng jos_ mà bạn có thể thay đổi thành thứ gì đó độc đáo hơn một chút bằng cách sử dụng tiện ích mở rộng, chẳng hạn như Công cụ quản trị được đề cập trong câu trả lời khác

8
Lodder

Để giữ cho trang web của bạn luôn được bảo mật, bạn cần có chính sách bảo mật nghiêm ngặt:

  1. Cập nhật Joomla lên phiên bản mới nhất
  2. Sử dụng các chủ đề CHỈ từ các nhà phát triển nổi tiếng (không có ngoại lệ), VÀ cập nhật lên phiên bản mới nhất
  3. Sử dụng tiện ích mở rộng CHỈ từ các nhà phát triển nổi tiếng (không có ngoại lệ), VÀ cập nhật lên phiên bản mới nhất
  4. Triển khai một phần mở rộng bảo mật cho Joomla Hardening (Quản trị viên Akeeba là phải, và nó miễn phí)

Vui lòng kiểm tra danh sách kiểm tra bảo mật này:

Danh sách kiểm tra bảo mật/Bạn đã bị hack hoặc xóahttp://docs.j Joomla.org/Security_Checklist/You_have_been_hacked_or_defaces

Một tuyến đường an toàn để cứu trợ thiên tai

a. lưu tệp cấu hình.php và từng hình ảnh và tệp cá nhân của bạn, (không phải thư mục vì nó có thể chứa các tệp không mong muốn) b. xóa toàn bộ thư mục nơi Joomla! được cài đặt c. tải lên một gói đầy đủ mới phiên bản mới nhất của j Joomla 1.5.x hoặc Joomla 2.5.x, j Joomla 3.x (trừ thư mục cài đặt) d. tải lại tập tin cấu hình và hình ảnh của bạn. e. tải lại hoặc cài đặt lại các phiên bản mới nhất của tiện ích mở rộng, mẫu của bạn (thậm chí tốt hơn là sử dụng các bản sao sạch gốc để đảm bảo rằng hacker/defacer không để lại bất kỳ tệp tập lệnh Shell nào trong trang web của bạn) f. Để làm điều này sẽ đưa trang web của bạn ra khỏi dòng trong khoảng 15 phút. Để theo dõi html bị hack/bị lỗi của bạn có thể mất nhiều giờ hoặc thậm chí lâu hơn.

8
Anibal

Đây có thể là một điều gì đó rất bực bội, đôi khi một trang web không thể cập nhật vì nhiều lý do, mặc dù để được trợ giúp tốt nhất, vui lòng bao gồm phiên bản đầy đủ, như 2.5.9 hoặc một cái gì đó. Nếu bạn đã loại bỏ các phần mở rộng như một khả năng thì một phiên bản cũ hơn của Joomla có thể là lý do.

Chúng tôi đã thấy một cái gì đó tương tự trên các trang web của chúng tôi trước đây, đó là trên một máy chủ được chia sẻ? Điều này có thể xảy ra ngay cả trong một trang web sạch trên một máy chủ được chia sẻ, nếu một tài khoản trên máy chủ được chia sẻ bị tấn công, nó có thể làm tổn hại đến toàn bộ máy chủ. Bạn cũng không thể làm gì nhiều về điều đó, không có gì Joomla có thể ngăn chặn việc khai thác như vậy và một lý do tại sao các máy chủ được chia sẻ có thể gặp vấn đề. Mặc dù điều này phụ thuộc vào Máy chủ lưu trữ, những người như siteground hoặc hostgator khá giỏi trong việc giữ nguyên cơ sở hạ tầng của họ.

Vì vậy, tôi khuyên bạn nên thực hiện quét phần mềm độc hại để xem những gì nó nhặt được, rất có thể nếu chúng tấn công cơ sở dữ liệu của bạn như vậy thì chúng có rất nhiều tệp được tiêm. Tốt nhất là khôi phục từ bản sao lưu trong trường hợp này và cập nhật, sau đó quét phần mềm độc hại.

Cũng xem xét các công cụ quản trị của akeeba, nó có một số công cụ hữu ích để bảo mật trang web của bạn.

6
Jordan Ramstad

Có vẻ như trang web của bạn đã bị hack.

Lý do cho một trang web Joomla bị tấn công

Một số lý do tin tặc có quyền truy cập vào trang web của bạn là:

  1. một phần mở rộng của bên thứ ba với một lỗ hổng
  2. một lỗ hổng Joomla
  3. một tài khoản khác có lỗ hổng trên cùng một máy chủ được chia sẻ
  4. cấu hình kém/duy trì môi trường máy chủ/lưu trữ
  5. máy tính cục bộ bị xâm nhập có thông tin trang web được lưu trữ trên đó
  6. mật khẩu yếu bị bẻ khóa thông qua các cuộc tấn công vũ phu

Sử dụng một số lượng tối thiểu các tiện ích mở rộng của bên thứ ba được hỗ trợ tốt từ các nhà phát triển có uy tín là một cách tốt nhưng cũng nên nhớ rằng bạn cần cập nhật phần mở rộng của Joomla và bên thứ ba để các lỗ hổng được vá trước khi chúng có thể bị tin tặc khai thác.

Giải pháp cho trang web Joomla bị tấn công

  1. Khôi phục từ bản sao lưu sạch. Cập nhật Joomla và tất cả các phần mở rộng của bên thứ ba lên các phiên bản mới nhất. Đây là một giải pháp tốt nếu bạn biết chính xác khi nào trang web bị xâm phạm nhưng thời gian khó xác định với bất kỳ sự tự tin nào.

  2. Xóa trang web và xây dựng lại từ đầu bằng cách sử dụng các phiên bản cập nhật của Joomla và bên thứ ba. Đây thường không phải là một giải pháp thực tế vì công việc liên quan nhưng có thể cung cấp một mức độ tin cậy cao rằng nhiễm trùng được loại bỏ.

  3. Làm sạch trang web bằng công cụ bảo mật https://mysites.gur (trước đây là myj Joomla.com) hoặc tương tự, khôi phục mọi tệp lõi đã thay đổi trở lại bản gốc, xóa phần mềm độc hại và cài đặt lại tiện ích mở rộng của bên thứ ba nếu cần . Cập nhật Joomla và tất cả các phần mở rộng của bên thứ ba lên các phiên bản mới nhất.

Bạn cũng nên cập nhật mật khẩu Joomla, lưu trữ và cơ sở dữ liệu.

Trong thực tế, tùy chọn 3 thường hoạt động tốt cho tôi.

Xem xét việc cải thiện bảo mật của trang web theo chính thức Danh sách kiểm tra bảo mật"Làm cách nào để bảo mật cài đặt Joomla mới?"

4
Neil Robertson