O que fazer se meu site Joomla for invadido?

10

Eu tenho um site Joomla 2.5. Ontem não consegui entrar no painel do administrador. Eu verifiquei a tabela de usuários. Fiquei chocado ao ver que o campo de nome de usuário de todos os usuários era ' admin ' e as senhas eram ' 268e27056a3e52cf3755d193cbeb0594 '. Geralmente, não uso extensões de terceiros não confiáveis ​​/ não confiáveis.

Alguém aqui encontrou o mesmo problema? Se sim, você pode me dizer qual é o motivo e qual é a solução?

security zkanoca
fonte
7
Você pode querer verificar a lista de extensões vulneráveis do Joomla para ver se alguma delas está listada.
tryharder

Respostas:

8

O que eu recomendo que você faça imediatamente é:

  1. Crie uma nova instalação do Joomla em um subdomínio ou host local,
  2. Crie uma conta de superusuário com uma senha forte
  3. Copie o hash da senha da #__userstabela da sua conta recém-criada e substitua a antiga.

Não tenho certeza de como os hashes e nomes de usuário foram alterados, mas isso pode ter ocorrido por alguns motivos. Sempre verifique se você está executando a versão mais recente do Joomla e a versão mais recente das extensões. Existem algumas extensões por aí que tornam os sites vulneráveis ​​a injeções de SQL. Não posso enfatizar a importância de manter as coisas atualizadas.

Você pode começar a considerar migrar para o Joomla 3.3 o mais rápido possível, pois esta versão fornece um dos métodos de criptografia de senha mais seguros (bcrypt).

E como o @Brian mencionou, é altamente recomendável atualizar a senha do seu banco de dados para algo mais forte. Outra coisa boa a ser levada em consideração também é alterar os prefixos da tabela do banco de dados. Muitos sites do Joomla usam o jos_que você pode mudar para algo um pouco mais exclusivo usando uma extensão, como Admin Tools, mencionada na outra resposta

Lodder
fonte
2
Eu acrescentaria, altere sua senha do banco de dados para algo mais forte também.
Brian Peat
8

Para manter seu site sempre protegido, você precisa de uma política de segurança rigorosa:

  1. Atualize o Joomla para a versão mais recente
  2. Use APENAS temas de desenvolvedores conhecidos (sem exceções) E atualize para a versão mais recente
  3. Use APENAS extensões de desenvolvedores conhecidos (sem exceções) E atualize para a versão mais recente
  4. Implemente uma extensão de segurança para o Joomla Hardening (o Akeeba Admin é obrigatório e é gratuito)

Por favor, verifique esta lista de verificação de segurança:

Lista de verificação de segurança / Você foi hackeado ou desfigurado http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Uma rota segura para ajuda em desastres

uma. salve o arquivo configuration.php e suas imagens e arquivos pessoais um por um (não na pasta, pois pode conter arquivos indesejados) b. limpe toda a pasta onde o Joomla! está instalado c. faça o upload de um novo pacote completo e limpo da versão mais recente do joomla 1.5.x ou Joomla 2.5.x, joomla 3.x (menos a pasta de instalação) d. reenvie seu arquivo de configuração e imagens. e reenvie ou reinstale as versões mais recentes de suas extensões, modelos (melhor ainda é usar cópias limpas originais para garantir que o hacker / infrator não tenha deixado nenhum arquivo de script de shell em seu site) f. Para isso, o site ficará off-line por cerca de 15 minutos. Para rastrear seu html hackeado / desfigurado, pode levar horas ou até mais.

Anibal
fonte
1
Observe que apenas a versão paga do Akeeba Admin Tools possui o WAF (Web Application Firewall).
Neil Robertson
6

Isso pode ser algo muito frustrante, às vezes um site não pode ficar atualizado por vários motivos, embora, para obter a melhor ajuda, inclua a versão completa, como 2.5.9 ou algo assim. Se você já removeu extensões como uma possibilidade, uma versão mais antiga do Joomla pode ser o motivo.

Já vimos algo semelhante em nossos sites antes, estava em um servidor compartilhado? Isso pode acontecer mesmo em um site limpo em um servidor compartilhado; se uma conta no servidor compartilhado for atingida, isso poderá comprometer todo o servidor. Também não há muito que você possa fazer sobre isso, nada que o Joomla tenha pode impedir essa exploração e é uma das razões pelas quais hosts compartilhados podem ser problemáticos. Embora isso dependa do host, sites como siteground ou hostgator são muito bons em manter sua infraestrutura intacta.

Portanto, eu recomendaria fazer uma varredura de malware para ver o que é coletado, provavelmente se eles atingirem seu banco de dados dessa maneira, e então eles terão muitos arquivos injetados. Nesse caso, é melhor restaurar a partir do backup e atualizar, depois a verificação de malware.

Além disso, consulte as ferramentas administrativas da akeeba, que possui algumas ferramentas úteis para proteger seu site.

Jordan Ramstad
fonte
4

Parece que seu site foi invadido.

Razões para um site Joomla invadido

Algumas das razões pelas quais os hackers obtêm acesso ao seu site são:

  1. uma extensão de terceiros com uma vulnerabilidade
  2. uma vulnerabilidade do Joomla
  3. outra conta com uma vulnerabilidade no mesmo servidor compartilhado
  4. ambiente de servidor / hospedagem mal configurado / mantido
  5. computador local comprometido com credenciais de site armazenadas
  6. senhas fracas quebradas por ataques de força bruta

Usar um número mínimo de extensões de terceiros com suporte de desenvolvedores respeitáveis ​​é uma boa prática, mas lembre-se também de que você precisa manter as extensões do Joomla e de terceiros atualizadas para que as vulnerabilidades sejam corrigidas antes que possam ser exploradas por hackers.

Soluções para um site Joomla invadido

  1. Restaure a partir de um backup limpo. Atualize o Joomla e todas as extensões de terceiros para as versões mais recentes. Essa é uma boa solução se você souber quando exatamente o site foi comprometido, mas é difícil determinar o tempo com confiança.

  2. Limpe o site e reconstrua-o do zero usando versões atualizadas do Joomla e extensões de terceiros. Isso geralmente não é uma solução prática por causa do trabalho envolvido, mas pode fornecer um alto grau de confiança de que a infecção é erradicada.

  3. Limpe o site usando a ferramenta de segurança comercial https://mysites.guru (anteriormente myjoomla.com) ou similar, restaurando os arquivos principais alterados de volta aos originais, removendo malware e reinstalando extensões de terceiros, conforme necessário. Atualize o Joomla e todas as extensões de terceiros para as versões mais recentes.

Você também deve atualizar as senhas do Joomla, hospedagem e banco de dados.

Na prática, a opção 3 geralmente funciona bem para mim.

Considere melhorar a segurança do site, de acordo com a Lista de verificação de segurança oficial e "Como proteger uma nova instalação do Joomla?"

Neil Robertson
fonte
3

Hoje encontrei o mesmo problema novamente. Não é o joomla ou suas extensões. É porque eu configurei o CHMOD de todos os arquivos e diretórios para 775. Fiz isso apenas para atualizar o joomla mais facilmente.

Depois de ler http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , observei as datas de alteração dos diretórios e investiguei as que têm valores diferentes.

Eu uso o WinSCP para acesso FTP. Eu vi 5 arquivos .php com o ícone de atalho que não consigo abrir para visualizar o conteúdo.

  1. Settings.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. wp-config.php

e também no diretório inclui

  1. config.php
  2. configure.php

Eu os apaguei e restaurei os sites do backup. E prometo que não darei acesso de gravação para o grupo www-data, exceto o diretório de imagens.

zkanoca
fonte