###
  • Programi
  • Sigurnost
  • Vijesti
  • Zanimljiv
  • Savjet
  • Vijesti
  • Recenzije

    • Uklanjanje zlonamjernog Joomla koda. Joomla logbook zlonamjerni kod

    20.11.2019 Vijesti

    Mora se raditi zajedno. Ako eliminirate izvorni uzrok hakiranja (na primjer, ranjivost u CMS ekstenziji), ali ne uklonite sve zlonamjerne datoteke, napadač će moći ponovno pristupiti web mjestu pomoću jedne od svojih skripti. Ako uklonite sve preuzete zlonamjerne skripte, ali ne uklonite uzrok hakiranja, napadač će moći ponovno hakirati stranicu i ponovno preuzeti skripte na nju.

    Stručnjak s odgovarajućim znanjem i iskustvom trebao bi obaviti rad na uklanjanju zlonamjernih skripti i analizirati uzroke hakiranja:

    • Za uklanjanje zloćudnih skripti potrebno je poznavanje PHP programskog jezika, kao i poznavanje “unutrašnjosti” popularnih CMS-ova (Joomla, WordPress itd.) i ekstenzija za njih. Ovo znanje je potrebno za razlikovanje skripti izravno iz CMS-a i njegovih proširenja od stranih datoteka, kao i za sposobnost nedvosmislenog određivanja radnji koje izvode kada naiđu na sumnjive skripte.
    • Za analizu uzroka hakiranja potrebno je iskustvo u administraciji poslužitelja. Ovo je potrebno za analizu stanja datoteka na računu, vrijeme kada su promijenjene, kao i za usporedbu ovih podataka sa zapisnicima poslužitelja kako bi se utvrdilo koje su radnje napadača dovele do hakiranja web stranica.

    Stoga, ako je vaša stranica hakirana, preporuča se, kako biste izbjegli ponavljanje hakiranja, ne raditi sami, već kontaktirati stručnjaka koji će izvršiti potrebnu dijagnostiku i preporučiti ili poduzeti potrebne radnje za rješavanje problema, i koji može jamčiti kvalitetu dobivenog rezultata.

    Međutim, postoji niz mjera koje u nekim slučajevima pomažu u obnavljanju siguran rad stranica bez posebnih znanja. Ograničenje metode u nastavku je to da je za ponovno funkcioniranje stranice potrebna prisutnost sigurnosna kopija, stvoren u vrijeme prije hakiranja. Ako je datum povrede nepoznat, možete isprobati ovu metodu pomoću najstarije dostupne sigurnosne kopije. Drugo ograničenje, kao posljedica prvog, je da se nakon vraćanja stranice stvaraju sigurnosna kopija podataka dodanih na stranicu nakon vraćanja (primjerice, novi članci, slike ili dokumenti). Ako trebate vratiti web mjesto uz zadržavanje novih podataka, trebate se obratiti stručnjaku.

    Ove mjere nam ne dopuštaju utvrditi uzrok hakiranja stranice, ali svaka od njih usmjerena je na uklanjanje jednog od potencijalnih uzroka prodora. Budući da je točan razlog hakiranja nepoznat, potrebno ih je izvršiti sve. Radnje su raspoređene takvim redoslijedom da najprije u potpunosti eliminiraju mogućnost da napadač trenutno nastavi djelovati na stranici ili hosting računu, a zatim da spriječe napadača da prodre na stranicu u budućnosti.

    Koraci u nastavku pretpostavljaju da imate samo jednu web stranicu na svom hosting računu. Ako postoji više stranica na računu, onda bi i one mogle biti hakirane, a stranica bi mogla biti hakirana preko njih. Potrebno je ili prenijeti web-mjesto s kojim se izvode radovi na restauraciji na zasebni račun ili izvršiti restauraciju za sva web-mjesta koja se nalaze na računu u isto vrijeme.

    Redoslijed radnji je bitan, stoga ih je potrebno izvoditi točno onim redom kojim se nalaze ispod.

  • Odmah nakon otkrivanja da je stranica hakirana, potrebno je u potpunosti blokirati pristup posjetitelja istoj. To će, prvo, spriječiti napadača da izvrši zlonamjerne aktivnosti na mjestu, a drugo, neće mu dopustiti da ometa restauratorske radove. Ovaj korak je vrlo važan, budući da se uklanjanje zlonamjernih skripti i otklanjanje uzroka hakiranja ne događa preko noći – u pravilu traje nekoliko sati. Ako stranica ostane dostupna izvana, napadač će moći ponovno učitati skripte na dio stranice koji je već očišćen. U tom slučaju napadač može koristiti različite IP adrese za povezivanje, tako da odbijanje pristupa samo popisu IP adresa neće funkcionirati. Da bi stranica bila očišćena od otkrivenih zlonamjernih skripti, potrebno je u potpunosti spriječiti napadača da pristupi stranici, što je moguće učiniti samo pomoću potpuno blokiranje stranica za sve posjetitelje. Obratite se službi tehničke podrške hostinga na kojem se nalazi vaša stranica kako biste je blokirali.
  • Nakon blokiranja web stranice, morate provjeriti računala s kojih ste radili s web mjestom modernim antivirusnim programom s ažuriranim bazama podataka o virusima. Ako je stranica hakirana krađom lozinki računa pomoću virusa, morate to provjeriti daljnji rad s hakiranim stranicama provodi se s računala na kojem nema virusa, inače nakon promjene pristupnih lozinki mogu biti ponovno ukradene.
  • Nakon blokiranja stranice i provjere virusa potrebno je promijeniti sve lozinke za pristup svom računu: pristup putem FTP-a, putem SSH-a, kao i pristup kontrolnoj ploči hostinga. Ako je napadač pristupio datotekama računa pomoću jedne od ovih metoda, nakon promjene lozinki više to neće moći učiniti.
  • Nakon promjene lozinki, morate uništiti sve procese poslužitelja koji se izvode pod računom na kojem se održava stranica. Lansirao ga je napadač u pozadina procesi, bez da budu uništeni, moći će ponovno postaviti zlonamjerne skripte na stranicu nakon radova na obnovi. Da se to ne bi dogodilo, svi procesi koji su bili pokrenuti prije blokiranja stranice moraju biti uništeni. Stranica bi već trebala biti blokirana u ovom trenutku kako napadač ne bi mogao pokrenuti nove procese pristupom jednoj od njegovih skripti na stranici. Da biste uništili procese koji se izvode na vašem računu, obratite se službi tehničke podrške hostinga koji hostira vašu stranicu.
  • Sada je nemoguće prodrijeti na mjesto izvana i možete ga početi obnavljati.
  • Prije daljnje akcije izbrišite sve postojeće datoteke stranice kako biste bili sigurni da nema zlonamjernih skripti ili CMS skripti u koje je napadač umetnuo zlonamjerni kod. Ovaj je korak također važan jer se prilikom vraćanja web mjesta iz sigurnosne kopije ne brišu uvijek datoteke koje su postojale prije vraćanja. Ako nakon vraćanja iz sigurnosne kopije stare zlonamjerne skripte ostanu na stranici, napadač će moći ponovno ući na stranicu. To možete izbjeći brisanjem svih datoteka stranice prije izvođenja oporavka.
  • Nakon brisanja svih datoteka web-mjesta, vratite web-mjesto iz sigurnosne kopije stvorene prije nego što je hakirano. Često je dovoljno vratiti samo datoteke stranice, ali ako se nakon vraćanja uoče greške u radu stranice, potrebno je u potpunosti vratiti stranicu: i datoteke i bazu podataka.
  • Nakon vraćanja iz sigurnosne kopije ažurirajte svoj sustav upravljanja sadržajem (CMS) i proširenja na najnovije verzije. Ovo je neophodno kako bi se isključila prisutnost poznatih ranjivosti na web mjestu putem kojih bi moglo biti hakirano. Ažuriranje se u pravilu može izvršiti kroz odjeljak za administraciju CMS-a. Za dobivanje potpune upute Da biste ažurirali CMS, morate otići na web mjesto razvojnog programera sustava. Važno je ažurirati ne samo sam CMS, već i sva njegova proširenja, budući da se hakiranje često događa kroz ranjivost prisutnu u nekom od proširenja CMS-a (na primjer, dodaci, teme, widgeti itd.). U ovom trenutku još uvijek je nemoguće deblokirati stranicu za posjetitelje jer još uvijek može biti ranjiva. Za pristup stranici za ažuriranja, molimo kontaktirajte tehnička podrška pružatelja usluga hostinga koji ugošćuje vašu stranicu i zatražite dopuštenje pristupa stranici samo s IP adrese vašeg računala. Možete saznati svoju IP adresu, na primjer, na inet.yandex.ru.
  • Nakon ažuriranja sustava za upravljanje web-mjestom i njegovih proširenja, idite na odjeljak za administraciju web-mjesta i promijenite administratorsku lozinku za pristup. Provjerite da među korisnicima stranice nema drugih korisnika s administrativnim ovlastima (možda ih je dodao napadač), a ako ih nađe, izbrišite ih.
  • Sada kada je stranica vraćena iz sigurnosne kopije i ne sadrži zlonamjerne skripte, CMS i njegova proširenja ažurirani su na najnovije verzije, u kojem nema ranjivosti, a promijenjene su lozinke za pristup stranici i hosting računu, možete ponovno otvoriti stranicu za posjetitelje.

    • Sve navedene radnje moraju se izvršiti u skladu s navedenim redoslijedom, bez propusta i ikakvih izmjena. Ako se radnje izvode netočno, zlonamjerne skripte ili ranjivosti mogu ostati na web mjestu, zbog čega ga nakon kratkog vremena napadač može ponovno hakirati. Ako iz nekog razloga nije moguće izvršiti gore navedene korake u obliku u kojem su navedeni, obratite se stručnjaku za izvođenje radova na vraćanju web mjesta nakon hakiranja.

    Kako biste zaštitili svoje web mjesto od ponovljenih hakiranja u budućnosti, morate se pridržavati sljedećih preporuka:
  • Pratite ažuriranja CMS-a i proširenja za njega na web stranicama programera i odmah ih ažurirajte na najnovije verzije. Ako komentar ažuriranja navodi da popravlja ranjivost, instalirajte ažuriranje što je prije moguće.
  • Radite sa web mjestom i hosting računom samo s računala koja su zaštićena od virusa modernim antivirusima sa stalno ažuriranim bazama podataka o virusima.
  • Koristite složene lozinke tako da ih se ne može pogoditi pretraživanjem rječnika.
  • Ne spremajte FTP i SSH lozinke u programima za povezivanje na web stranicu i ne spremajte lozinku za pristup administrativnom području stranice i upravljačkoj ploči hostinga u vašem pregledniku.
  • S vremena na vrijeme (primjerice jednom svaka tri mjeseca) promijenite lozinke za pristup stranici i hosting računu.
  • Ako su virusi otkriveni na računalu s kojeg ste radili sa stranicom, promijenite lozinke za pristup stranici i hosting računu što je prije moguće. Morate promijeniti sve lozinke: pristupne lozinke putem FTP-a, SSH-a, lozinku s administrativne ploče stranice, kao i lozinku s kontrolne ploče hostinga.
  • Nemojte davati pristup stranici trećim stranama osim ako niste sigurni da će i one slijediti ove smjernice.

    • Ako imate pristup stranici putem SSH-a, možete pronaći datoteke s umetnutim kodom pokretanjem sljedećih naredbi:

    #grep -lr --include=*.php "eval(base64_decode" /pathWebroot #grep -lr --include=*.php "strrev(" /pathWebroot

    Ako nema pristupa, možete zamoliti tim za podršku hostinga da to učini umjesto vas i pošalje vam izvješće.


    Ovdje je primjer popisa: ./components/com_wrapper/wrapper.php ./components/com_wrapper/controller.php ./components/com_wrapper/router.php ./components/com_wrapper/views/wrapper/view.html.php ./ components/ com_banners/models/banner.php ./components/com_banners/models/banners.php ./components/com_banners/controller.php ./components/com_banners/router.php ./components/com_finder/views/search/view. html. php ./components/com_finder/helpers/route.php ./components/com_finder/helpers/html/filter.php ./components/com_finder/helpers/html/query.php ./components/com_finder/controllers/suggestions. json. php ./components/com_jshopping/tables/productfiles.php ./components/com_jshopping/tables/statictext.php ./components/com_jshopping/tables/country.php ./components/com_jshopping/tables/productlabel.php ./components /com_jshopping /tables/shippingext.php .... ./administrator/components/com_jshopping/controllers/orderstatus.php ./administrator/components/com_jshopping/controllers/shippingsprices.php ./administrator/components/com_jshopping/controllers/vendors. php . /administrator/components/com_jshopping/controllers/productlabels.php ./administrator/components/com_jshopping/controllers/categories.php ./administrator/components/com_cache/cache.php ./administrator/components/com_cache/models/cache. php . /administrator/components/com_cache/controller.php ./administrator/components/com_cache/views/purge/view.html.php ./administrator/components/com_cache/views/cache/view.html.php ./administrator/ komponente/ com_cache/helpers/cache.php ./administrator/components/com_content/tables/featured.php

    Ukupno 1606 pojavljivanja. To je praktički sve PHP datoteka s. Ručno uklanjanje ubrizganog koda je beskorisno. Ovo će oduzeti previše vremena. Otkrio i nova datoteka images/post.php za izvršavanje bilo kojeg koda.

    Uklanjanje zlonamjernog koda iz zaraženih datoteka

    Prvo biste trebali napraviti potpunu sigurnosnu kopiju svoje stranice u slučaju da nešto pođe po zlu.

    Ako vam je neposredna funkcionalnost vaše stranice vrlo važna, možete ukloniti umetnuti kod pokretanjem jednostavnih naredbi.

    #grep -lr --include=*.php "eval(base64_decode" /pathWebroot | xargs sed -i.bak "s/eval(base64_decode[^;]*;//" #grep -lr --include=*. php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^;]*; @$_([^;]*;//"

    Naredbe će ukloniti sve pojave takvog zlonamjernog koda iz datoteka i izraditi njihove sigurnosne kopije s ekstenzijom .bak. To će vam samo omogućiti da dobijete na vremenu za potpuno vraćanje stranice, ali vas neće spasiti od naknadnih napada. Treba imati na umu da postoji velika vjerojatnost postojanja gore opisanih datoteka kao što su images/post.php za izvršavanje bilo kojeg koda i starih rupa u instaliranim ekstenzijama.

    Proširenja trećih strana

    Ako niste bili lišeni administrativne ploče stranice, možete vidjeti instalirane komponente, module, dodatke i predloške. Ako nema pristupa, morate pregledati sadržaj stranice spajanjem putem FTP-a ili SSH-a.

    Pogledajte popis modula #ls ./modules index.html mod_banneri mod_login mod_users_latest mod_articles_archive mod_breadcrumbs mod_menu mod_weblinks mod_articles_categories mod_custom mod_random_image mod_whosonline mod_articles_category mod_feed mod_related_items mod_wrapper mod_articles_latest mod_ pronalazač mod_search mod_articles_new s mod_footer mod_stats mod_articles_popular mod_languages ​​​​mod_syndicate #ls ./administrator/modules index. html mod_latest mod_menu mod_quickicon mod_title mod_custom mod_logged mod_multilangstatus mod_status mod_toolbar mod_feed mod_login mod_popular mod_submenu mod_version

    Koriste se samo standardni Joomla moduli

    Pogledajte popis komponenti #ls ./components com_banners com_finder com_media com_search com_wrapper com_contact com_jshopping com_newsfeeds com_users index.html com_content com_mailto com_phocapdf com_weblinks #ls ./administrator/components com_admin com_config com_installer com _media com_phoca pdf com_users com_banneri com_contact com_joomlaupdate com_menus com_plugins com_weblinks com_cache com_content com_jshopping com_messages com_redirect index. html com_categories com_cpanel com_languages ​​​​com_modules com_search com_checkin com_finder com_login com_newsfeeds com_templates

    Uz standardne komponente koriste se com_jshopping i com_phocapdf.

    Pogledajte popis dodataka #ls ./plugins provjera autentičnosti content editors-xtd finder phocapdf search user captcha editors extension index.html quickicon system

    Osim toga, trebate pregledati sadržaj svih ovih mapa. To su grupe dodataka.

    #ls ./plugins/authentication gmail index.html joomla ldap #ls ./plugins/captcha index.html recaptcha #ls ./plugins/content emailcloak geshi joomla pagebreak rokbox finder index.html loadmodule pagenavigation vote #ls ./plugins/editors codemirror index.html ništa tinymce #ls ./plugins/editors-xtd slika članka index.html prijelom stranice readmore #ls ./plugins/extension index.html joomla #ls ./plugins/finder kategorije kontakti sadržaj index.html izvori vijesti web veze #ls ./plugins/quickicon extensionupdate index.html joomlaupdate #ls ./plugins/search categorys contacts content index.html newsfeeds weblinks #ls ./plugins/system cache highlight languagecode log p3p Remember sef debug index.html languagefilter logout redirect rokbox #ls . /plugins/user contactcreator index.html joomla profil

    Uz standardne dodatke koristi se dodatak phocapdf.

    Pogledajte popis predložaka #ls ./templates atomic beez_20 beez5 index.html system templ1

    Uz standardne predloške koristi se templ1.

    Vraćanje zaražene stranice
    • Preuzmite distribucijski komplet najnovijeg izdanja, raspakirajte arhivu u direktorij buduće web stranice i izbrišite instalacijski direktorij iz njega.
    • Preimenujte datoteku htaccess.txt u .htaccess. Ako je koristio upute koje ste zapisali, prenesite ih iz zaražene kopije.
    • Kopiramo datoteku configuration.php iz zaražene kopije, prethodno provjerivši da u njoj nema umetnutog koda.

    Proširenja trećih strana

    • Pronalazimo korištene komponente trećih strana Phoca PDF, JoomShopping, dodatak "Phoca PDF Content Plugin", preuzimanje.
    • Raspakiramo i kopiramo datoteke, prethodno stvorivši strukturu direktorija sličnu onoj zaražene kopije. Ne zaboravite na lokalizacijske datoteke.

    Situacija s predloškom je malo kompliciranija. Predložak je generiran posebnim softverom i nije ga moguće pronaći. Morat ćemo iz njega "izbaciti sve nepotrebno".

    Srećom, postoji 21 PHP datoteka u predlošku i sav umetnuti kod je uklonjen naredbom #grep -lr --include=*.php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^ ;]*; @$_([^;]*;//"

    Vlastite datoteke

    • Napravite direktorije u kojima ste držali slike, dokumente i druge datoteke i kopirajte ih.

    Stranica bi trebala početi raditi čim zamijenite stari sadržaj novim.

    Idite na administrativnu ploču stranice, promijenite korisničko ime i lozinku za pristup CMS-u i provjerite je li e-pošta SuperUsers zamijenjena (napadač može koristiti funkciju za vraćanje zaboravljene lozinke). Nikada nemojte koristiti standardno korisničko ime admin. Pažljivo pregledajte prava svih korisnika. Ne može se isključiti mogućnost da napadač instalira drugog administratora.

    Zamijenite korisničko ime i lozinku baze podataka MySQL podaci, ako se koristi standardni prefiks tablice baze podataka jos_, mora se zamijeniti drugim, to će spriječiti mogućnost napada SQL injekcijom.

    Nakon dovršetka restauracije, instalirajte dodatak BotsGo404.


    Ako vam je ovaj članak bio od pomoći, glasajte za njega. To će pomoći drugima da brže pronađu ovaj članak od mnogih drugih koji su manje korisni.(17 glasova)

    Joomla nije samo jedan od najpopularnijih CMS-ova na internetu. Nažalost, ovaj sustav za upravljanje sadržajem najosjetljiviji je na hakerske napade. Danas ćemo govoriti o tome što učiniti ako je vaša Joomla stranica hakirana, a osvrnut ćemo se i na preventivne mjere i borbu protiv uljeza.

    Komunikacija s čitateljima natjerala me da dodam pasus. Ne pružamo besplatne ili plaćene konzultacije vezane uz hakiranje vaše stranice, ali smo spremni pružiti plaćenu uslugu za liječenje i vraćanje stranice nakon hakerskog napada.

    Zašto hakeri hakiraju web stranicu?

    Neću razmatrati egzotične slučajeve kada se napad na stranicu dogodi namjerno radi dobivanja informacija. Jer prilikom postavljanja povjerljivih podataka na Internet koristi se sve samo ne Joomla. Motivacija modernih hakera prilično je jasna i može se podijeliti u tri glavna dijela.

    Promicanje web stranice napadača.

    Uvedene su skripte koje ispunjavaju vaše stranice poveznicama na web stranicu napadača. Moguća je opcija preusmjeravanja, kada se posjetitelj odmah šalje u smjeru u kojem haker želi.

    Česti su slučajevi kada napadač dobije pristup bazi podataka i administrativnoj ploči, a na popisu materijala nađete tuđe članke i vijesti.

    Hakiranje za podizanje samopouzdanja hakera

    Joomla datoteke mogu se potpuno izbrisati ili zamijeniti napadačkim skriptama. Postoji velika vjerojatnost da će posjetitelj vidjeti nešto u crvenoj i tamnoj boji, gdje će pisati da je hakiranje izvršio divan momak iz Turske.

    Slanje neželjene pošte u ime vaše stranice.

    U 2015. većina hakiranja dogodila se iz tog razloga.

    Koji je algoritam za rad zlonamjernih skripti i napadača?

    Napad na stranicu izvodi se kroz ranjivost Joomla CMS-a ili komponente. Postoje slučajevi kada je zlonamjerni kod inicijalno prisutan u instaliranom proširenju.

    Ovo se odnosi na one komponente, dodatke, module koji su ilegalno preuzeti.

    Rezultat prodora na stranicu je pojava brojnih skriptnih datoteka u različitim Joomla direktorijima.

    Nazivi datoteka i njihov položaj u direktorijima su takvi da na prvi pogled nije lako razlikovati zlonamjerne skripte od “nativnih” Joomla datoteka. Iz tog razloga, "tretman" stranice je često nepotpun, a nakon nekoliko dana ili tjedana nova serija neželjene pošte odlazi u ime vaše domene.

    Gotovo odmah, tehnička podrška hostinga šalje vam prijeteće pismo, nudeći rješenje sigurnosnog problema. Neaktivnost prijeti blokiranjem vašeg računa i gašenjem stranice.

    Što učiniti ako je Joomla stranica hakirana?

    Početak vašeg rata protiv zloćudnih skripti započet će kod vašeg pružatelja usluga hostinga. Najvjerojatnije će upravo njegovo pismo dati zeleno svjetlo za vojnu akciju

    Njihov uspjeh uvelike ovisi o alatima koje vam hosting tvrtka stavlja na raspolaganje. Navest ću glavne:

    Antivirusni panel ugrađen u hosting. U pravilu ne provodi dezinfekciju, ali će pomoći pronaći značajan dio zlonamjernih skripti

    Pristup preko SSH. Bez toga je nemoguće govoriti o potpunoj borbi protiv virusa.

    Brza i kvalificirana tehnička podrška

    Dnevno sigurnosna kopija. Idealna opcija je mogućnost vraćanja ili preuzimanja kopije od prije mjesec dana

    Ako vaš pružatelj usluga hostinga ne nudi antivirusni program softver(može se ugraditi u hosting ploču ili samostalno pokrenuti od pružatelja usluga hostinga na vaš zahtjev) - zgrabite svoju zaraženu stranicu i promijenite tvrtku koja pruža uslugu hostinga. Tržište je jednostavno prepuno takvih ponuda.

    Većina web stranica hostirana je na virtualni hosting, a tvrtki bih dao solidnu peticu za sve četiri navedene točke, a poveznica je ispod:

    Sasvim je druga priča ako unajmite cijeli server. Prva, treća i četvrta točka bit će u potpunosti na vašoj savjesti. A točka dva će se podrazumijevati.

    Procedura za hakiranje

    Korak 1. Očistite stranicu od zlonamjerne datoteke

    U pravilu ne treba puno vremena od hakiranja do pisma tehničke podrške hostinga. U rijetkim slučajevima, vlasnik stranice sam otkrije hakiranje.

    Najlakši način je vratiti stranicu iz nezaražene sigurnosne kopije. Međutim, to je prikladno samo ako na web mjestu dulje vrijeme nisu napravljene promjene.

    Na web mjestu koje se redovito ažurira, pretraživanje će se morati obaviti ručno. I to putem SSH-a. Zadatak će biti krajnje jednostavan. Morate saznati koje su se datoteke nedavno promijenile. Na primjer, za tjedan dana. Za operacijski sustav Debianova naredba bi izgledala ovako:

    pronađi /direktorij u kojem se vrši pretraga/ -tip f -mvrijeme -7

    Sukladno ovoj naredbi, sustav će prikazati one datoteke koje su se promijenile u zadnjih 7 dana. Obraćamo pozornost na datoteke s PHP ekstenzijom.

    Oni su ti koji predstavljaju prijetnju. U isto vrijeme, trebali biste shvatiti da neke od prikazanih datoteka možda nisu zaražene i pripadaju samoj Joomli. Stoga biste trebali imati pri ruci originalnu distribuciju verzije koja radi ovaj trenutak.

    Na snimci zaslona vidimo dvije datoteke. Prvi je najvjerojatnije virus. Drugi je sistemsku datoteku Joomla.

    Odakle takvi zaključci?

    Činjenica je da u načelu nijedna datoteka start.php ne bi trebala biti prisutna u direktoriju /components/com_weblinks/views/category/.

    I error.php datoteka u /logs/ direktoriju je dio CMS-a. Međutim, ako se izričito izbriše, neće se dogoditi ništa kritično, budući da služi kao pohrana za Joomla logove.

    Korak 2. Zaštitite stranicu od hakiranja

    Pretpostavimo da ste uspješno uklonili sve zlonamjerne skripte. Tehnička podrška hostinga i antivirusni program izvijestili su: "da, sve je čisto." Što je potrebno učiniti da se to ne dogodi?

    Ažuriranje Joomle i ekstenzija na najnoviju verziju

    Ako vaša stranica radi na verziji Joomla do 3.X, postoji još jedan razlog za razmišljanje o nadogradnji. U posljednje vrijeme mnogi pružatelji usluga hostinga inzistiraju na tome.

    Time nećete 100 posto riješiti sigurnosni problem, ali ćete u budućnosti imati priliku brzo ažurirati sustav i jednim pritiskom na gumb instalirati sigurnosne zakrpe koje u posljednje vrijeme izlaze gotovo svaki tjedan.

    Želim obratiti posebnu pozornost instalirane ekstenzije na vašoj web stranici. Svaka komponenta, dodatak, modul također moraju biti ažurirani na najnoviju verziju. Provedite reviziju u administrativnoj ploči svoje stranice.

    Koriste li se sve ekstenzije?

    Zbog niske kvalifikacije, moderni web majstori svaki problem rješavaju instaliranjem dodatka ili modula, iako je dovoljno dodati nekoliko redaka u predložak web stranice. Ili prilagodite CSS.

    Što je manje dodatnih ekstenzija na vašoj web stranici, manja je vjerojatnost da će biti hakirana!

    RSFirewall komponenta

    Bez obzira na sadržaj, web stranica koja pokreće Joomla CMS podložna je napadima svaki dan. Hakeri koji pogađaju lozinku administrativnoj ploči i pokušavaju uvesti zlonamjerni kod pojavljuju se alarmantno redovito. Nemoguće je sam odoljeti napadima i upadima.

    Želio bih vam skrenuti pozornost na komponentu koja rješava veliki broj problema vezanih uz sigurnost web stranice. Njegovo ime je “RSFirewall”.

    Ukratko razmotrimo glavne mogućnosti, funkcije i zadatke koje rješava RSFirewall:

    Provjera vašeg sustava za ranjivosti. Analiziraju se baza podataka, datoteke i okruženje u kojem stranica radi

    Usporedba datoteka na vašem sustavu s originalnom Joomla distribucijom. Ovo uvelike pojednostavljuje traženje zaraženih datoteka.

    Analiza prava na direktorije i datoteke.

    Tražite datoteke sa zlonamjernim kodom. Nakon što se prikaže popis, morat ćete ručno analizirati svaku datoteku, budući da se neke od njih mogu pokazati kao sasvim normalan radni kod za Joomla ekstenzije

    Bilježenje pokušaja prijave na Joomla administracijsku ploču i mogućnost blokiranja korisnika koji su određeni broj puta unijeli pogrešnu prijavu i lozinku

    Bilježenje svih posjeta stranicama i mogućnost blokiranja IP adresa s kojih je izvršen pokušaj hakiranja

    Zabrana pristupa stranici iz navedenih zemalja.

    Komponenta se plaća. Trenutna verzija dostupna je isključivo za Joomla verzije 3.X

    U vrijeme pisanja ovog članka distribuiran je u tri verzije. Ispod je tablica koja prikazuje cijenu, uvjete pretplate i poveznicu na stranicu na kojoj ovu pretplatu kupljeno.

    Istražit ćemo RSFirewall koristeći "zadanu" lokalizaciju. Odnosno, jezik sučelja ostat će engleski.

    Instalacija komponente je standardna, provodi se putem upravitelja proširenja. Nakon što je komponenta instalirana, idite na “Komponente - RSFirewall - Provjera sustava”


    Otvorit će se stranica na kojoj ćemo od nas tražiti da provjerimo otpornost Joomle i konfiguracije poslužitelja na hakiranje. Također će se pretraživati:

    Joomla datoteke koje su modificirane i razlikuju se od svojih kopija iz izvorne distribucije

    zlonamjerne datoteke

    prava na direktorije i datoteke bit će provjerena

    Kako bi provjera započela, samo kliknite gumb "Izvrši provjeru sustava".


    Razmotrimo rezultat analize.

    Na vrhu možete vidjeti broj bodova ili postotaka koje komponenta dodjeljuje nakon provjere stranice. Vrijednost "100" je najviši rezultat. Trenutno je testirana stranica ocijenjena sa samo 84 boda. Hajdemo shvatiti zašto.


    Pogledajmo popis detaljnije, ne izuzimajući tekst označen zelenom bojom.

    Joomla konfiguracijski odjeljak

    Provjeravam imate li najnoviju Joomla! Verzija — Provjerite: je li instalirana verzija Joomla je najnovija. Kao što vidite, s ovim je sve u redu. U vrijeme pisanja ovog članka, verzija Joomle bila je 3.4.8

    Provjeravam imate li najnoviji RSFirewall! Verzija - Provjerite: instalirana verzija komponente RSFirewall je najnovija. Ovaj važna karakteristika sigurnost vašeg sustava, budući da od verzije do verzije komponenta ne samo da dobiva bazu zlonamjernih skripti, već stalno mijenja funkcionalnost u skladu s ranjivostima otkrivenim u Joomli.

    Provjera imate li slabu lozinku baze podataka - U ovom slučaju komponenta provjerava otpornost lozinke baze podataka na hakiranje.

    Provjera je li zadani "admin" korisnik aktivan. - Iz sigurnosnih razloga, prijava administratora super stranice trebala bi se razlikovati od široko korištenog "admin". Ako komponenta pronađe korisnika s ovom prijavom u bazi podataka, pojavit će se upozorenje.

    Provjera jeste li postavili svoju FTP lozinku - U fazi instaliranja Joomle ili uređivanja njezinih postavki, dopušteno je fatalna greška. Pristup putem FTP protokol naznačeno u konfiguracijska datoteka Joomla. Postoji i jednako tragična opcija. Prilikom spremanja općih Joomla postavki, prijava i lozinka za administrativnu ploču bilježe se u FTP pristupnom polju. Stoga se uvjeravamo da su odgovarajući parametri u datoteci configuration.php prazni.


    Provjera jesu li omogućeni URL-ovi prilagođeni tražilici - Provjera: je li uključen u Opće postavke Podrška za Joomla SEF URL.

    Provjera integriteta configuration.php — Provjera ispravnosti i integriteta datoteke configuration.php.

    Provjera ima li neki administratorski korisnik slabe lozinke - Provjera otpornosti svih lozinki superadministratora vaše stranice na probijanje

    Provjera trajanja sesije - Provjera trajanja sesije, koja je postavljena u općim Joomla postavkama. Ako prelazi 15 minuta, pojavit će se upozorenje.

    Provjeravam ima li preostalih datoteka u Joomla! privremena mapa - U ovom slučaju se provjerava nalaze li se datoteke u Joomla privremenom direktoriju. Prema zadanim postavkama, ovaj direktorij je mapa "tmp". Morate održavati ovaj direktorij čistim, jer nakon instaliranja ekstenzija ili ažuriranja Joomle tamo može biti nepotrebnih arhiva i skripti.

    Provjera .htaccess - Provjera postojanja .htaccess datoteke. Nakon instaliranja Joomle, datoteka htaccess.txt se prema zadanim postavkama stvara u korijenu stranice. Vaš zadatak je preimenovati ga u .htaccess. Točno kako je napisano, s točkom na početku i bez .txt na kraju

    Provjera je li Joomla! privremena mapa je javno dostupna - Provjerava je li direktorij za privremene Joomla datoteke dostupan otvoreni pristup. Što se ovime misli? Jednostavno rečeno, je li moguće upisati poveznicu poput www.yoursite.com/tmp u adresnu traku vašeg preglednika?

    Ne znaju svi da je moguće postaviti privremeni direktorij tako da mu mogu pristupiti samo Joomla skripte. Dovoljno je kreirati mapu s proizvoljnim nazivom na razini višoj od direktorija u kojem se nalazi stranica i napisati put do te mape u konfiguracijsku datoteku.php

    Provjera vašeg rukovatelja sesijom - Provjera vrste rukovatelja sesijom. Preporučujemo da vrijednost postavite na "Ne". To se može učiniti u općim postavkama Joomle

    Odjeljak za konfiguraciju poslužitelja

    Prijeđimo na sljedeći odjeljak, gdje je analizirana konfiguracija poslužitelja.

    Vidimo da konfiguracija PHP direktive sa stajališta komponente nisu ispravno konfigurirani.

    Nema potrebe razumjeti koja je direktiva za što odgovorna. Međutim, prvo trebate riješiti problem s Joomla privremenim imenikom, o čemu sam gore pisao.

    Kopiraj u HDD svoje računalo i izbrišite ga iz korijena stranice jer je samo u informativne svrhe i govori vam značenje PHP direktiva koje biste trebali umetnuti u svoj php.ini

    Kako ga pronaći na poslužitelju i je li tamo dopušten pristup provjerite kod svog hosting providera. Često se PHP direktive mijenjaju promjenom postavki panela hostinga. Stoga ovdje nema univerzalnog recepta.

    Odjeljak rezultata skeniranja

    Ovo su rezultati skeniranja vašeg sustava. Predlažem da proučite njihove rezultate.


    Skeniranje integriteta vaše Joomla! (CMS) datoteke - u ovaj odjeljak rezultat skeniranja CMS Joomla datoteka bit će prikazan i uspoređen s izvornom distribucijom radi cjelovitosti i mogućih promjena datoteka. Uspoređivat će se ne samo skripte, već i slikovne i CSS datoteke. Pa, to je sve.

    Skeniranje vaših mapa - skenirajte putem FTP-a da biste posjetili svaku i provjerili je li čista od zlonamjernih skripti

    Skeniranje vaših datoteka - u ovom slučaju govorimo o pravima na datoteke. Radnje bi trebale biti iste kao u slučaju imenika

    Skeniranje vaših datoteka na uobičajeni zlonamjerni softver - skeniranje na prisutnost zlonamjernog koda. Kao što vidite, RSFirewall je pronašao jednu datoteku i analizirajući je u uređivač teksta, utvrđeno je da je doista zlonamjeran i ja sam ga uklonio s poslužitelja.

    Sažmimo to

    Nažalost, nije moguće pokriti sve mogućnosti i postavke komponente RSFirewall u jednom materijalu. U sljedećem ćemo članku proučiti konfiguraciju komponente.

    Ako niste spremni sami riješiti problem hakiranja web stranice, pišite putem odjeljka "Kontakti" ili u chatu u donjem desnom kutu zaslona.

    Obrada mjesta provodi se uz naknadu.

    Trenutna cijena rada navedena je na stranici: “Liječenje web stranica (CMS Joomla) od virusa”

    Srdačan pozdrav, Vladimir Egorov

    Ovaj post je potaknut pitanjima nekoliko vlasnika web-mjesta o tome kako ukloniti zlonamjerni kod s njihove web-lokacije. U nastavku ću pokušati opisati slijed jednostavnih koraka, koji ne zahtijeva nikakvo posebno znanje i prvenstveno će biti od koristi početnicima u administriranju internetskih resursa.

    Kako znati je li web stranica postala žrtva napada tijekom kojeg je pogođena zlonamjernim kodom? Prva i najjednostavnija stvar je da je stranica prestala raditi ili ne izgleda onako kako bi "zdrav" resurs trebao izgledati. To se može očitovati pojavom neželjenog sadržaja ili nestankom vašeg sadržaja, stranice se ne učitavaju ili se učitavaju s pogreškama. Osim toga, ako je vaša stranica dodana webmasteru Yandexa ili Googlea, vjerojatno ćete od tih sustava primiti obavijest o zlonamjernom kodu. U nekim slučajevima možete saznati više o ranjivosti iz svog preglednika (snimka zaslona iz Google Chromea).

    U takvim slučajevima krajnje je nepoželjno pokušavati dalje otvoriti stranicu.

    Tražimo zlonamjerni kod na stranici

    Nećemo razumjeti motive osobe koja je instalirala maliciozni kod na vašu stranicu, a još manje ga tražiti. Naš glavni cilj je pronaći "loš" kod i ukloniti ga. Prvo morate skenirati resurs kako biste otkrili sve "zaražene" stranice. To vam omogućuje sužavanje pretraživanja. Na primjer, zlonamjerni kod može se postaviti u obliku Javascript skripte na neke zasebna stranica, recimo, u sadržaj objave ili komentar na nju. U tom slučaju problem se može riješiti preko administratora stranice uklanjanjem takvog koda iz sadržaja/komentara. U suprotnom, morate ga potražiti u izvornom kodu vašeg resursa.

    Za skeniranje web mjesta u potrazi za ranjivostima, možete koristiti https://sitecheck.sucuri.net Kao rezultat toga, možete vidjeti sljedeće:

    Kao što možete vidjeti na snimci zaslona, ​​"loša" skripta je pronađena na nekoliko stranica stranice, pa ćete je morati potražiti u izvornom kodu.

    Ostvarite pristup izvorni kod stranice na nekoliko načina:

  • Najlakši način je kroz administrativnu ploču stranice. U Wordpressu, na primjer, " Izgled" -> "Uređivač". Ova metoda nije sasvim prikladna zbog nedostatka pretraživanja sadržaja datoteka, pa ih morate pažljivo pregledati sve zasebno i potražiti "lošu" skriptu.
  • Mnogi blogovi, korporativni resursi i internetske trgovine nalaze se na poslužiteljima kojima se može pristupiti putem upravljačke ploče hostinga. Često je ovaj panel cPanel. Za pristup morate znati svoju prijavu i lozinku. Obično se šalju prilikom kupnje hostinga osobi koja vrši transakciju. Nakon što se prijavite na upravljačku ploču, možete pregledati apsolutno sve izvorne datoteke kroz “Upravitelj datoteka” i pokušati pronaći one koje sadrže otkrivenu zlonamjernu skriptu.
  • Najprikladniji način je putem FTP klijenta. Ako "komunicirate" sa svojim resursom pomoću FTP klijenta, možete jednostavno pokrenuti pretragu kroz sadržaj izvornih datoteka.

    • Ne pokušavajte pronaći zlonamjerni kod izvorne datoteke Vaše web mjesto, potpuno ga zamjenjujući u pretraživanju. Odaberite njegov jedinstveni dio, kao što je googleleadservices.cn u našem slučaju, i ponovite pretraživanje nekoliko puta.

    Uklanjanje zlonamjernog koda

    Nakon što se zlonamjerni kod otkrije, jednostavno ga treba ukloniti. U našem slučaju, stranica je pokretala Joomlu, a "loša" skripta umetnuta je u index.php u korijenskom direktoriju. Zbog toga je ranjivost otkrivena na nekoliko stranica odjednom, budući da se ovaj index.php koristi pri izgradnji svih stranica resursa.

    Odmah nakon uklanjanja zlonamjernog koda, preporučam promjenu lozinki svih korisnika u upravljačkoj ploči stranice, te pokušajte saznati iskustva drugih administratora koji su se susreli s ovim problemom. Možda će biti potrebno poduzeti neke dodatne mjere.

    Prevencija

    Uvijek je bolje spriječiti nego liječiti, stoga preporučujem:

  • Koristite “dobre” lozinke za sve korisnike stranice (duge, s brojevima, velikim i malim slovima).
  • Shvatite ozbiljno i filtrirajte sadržaj koji na stranici niste generirali vi (objave gostiju, komentari).
  • Nemojte čekati obavijesti, već povremeno skenirajte stranicu u potrazi za ranjivostima.
  • Pravovremeno ažurirajte sustav za upravljanje sadržajem (Wordpress, Joomla, Drupal, ...).

    • Sva pitanja ili komentare ostavite u komentarima.