A rosszindulatú Joomla kód eltávolítása. Joomla logbook rosszindulatú kód
Együtt kell csinálni. Ha megszünteti a feltörés eredeti okát (például a CMS-bővítmény biztonsági rését), de nem távolítja el az összes rosszindulatú fájlt, a támadó ismét hozzáférhet a webhelyhez valamelyik szkriptje segítségével. Ha eltávolítja az összes letöltött rosszindulatú szkriptet, de nem szünteti meg a feltörés okát, a támadó újra feltörheti a webhelyet, és újra letöltheti a szkripteket.
A megfelelő tudással és tapasztalattal rendelkező szakembernek el kell végeznie a rosszindulatú szkriptek eltávolítását és a hackelés okainak elemzését:
- A rosszindulatú szkriptek eltávolításához a PHP programozási nyelv ismerete, valamint a népszerű CMS-ek (Joomla, WordPress stb.) és a hozzájuk tartozó bővítmények „belsejének” ismerete szükséges. Ez a tudás szükséges ahhoz, hogy a parancsfájlokat közvetlenül a CMS-től és a kiterjesztéseit megkülönböztessük az idegen fájloktól, és egyértelműen meg tudjuk határozni, milyen műveleteket hajtanak végre, ha kétes szkriptekkel találkozunk.
- A hackelés okainak elemzéséhez szerveradminisztrációs tapasztalat szükséges. Erre azért van szükség, hogy elemezzük a fiókban lévő fájlok állapotát, módosításuk idejét, valamint ezen adatoknak a szervernaplókkal való összehasonlításához annak megállapításához, hogy a támadó mely műveletei vezettek webhelyek feltöréséhez.
Ezért, ha webhelyét feltörték, az ismételt feltörések elkerülése érdekében javasolt, hogy ne saját kezűleg végezze el a munkát, hanem forduljon szakemberhez, aki elvégzi a szükséges diagnosztikát, és javasolja vagy megteszi a szükséges lépéseket a probléma megoldásához, és ki tudja garantálni a kapott eredmény minőségét.
Vannak azonban olyan intézkedések, amelyek bizonyos esetekben segítik a helyreállítást biztonságos munkavégzés oldal speciális ismeretek nélkül. Az alábbi módszer korlátja, hogy ahhoz, hogy az oldal újra működjön, szükséges a jelenléte biztonsági másolat, amelyet a feltörés előtti időben hoztak létre. Ha a jogsértés dátuma ismeretlen, akkor a rendelkezésre álló legrégebbi biztonsági másolat használatával próbálkozhat ezzel a módszerrel. A második korlátozás az elsőből következően az, hogy a webhely visszaállítása után a biztonsági mentés visszaállítása után hozzáadott adatok (például új cikkek, képek vagy dokumentumok) jönnek létre. Ha az új adatok megőrzése mellett vissza kell állítania a webhelyet, forduljon szakemberhez.
Ezek az intézkedések nem teszik lehetővé, hogy meghatározzuk a webhely feltörésének okát, de mindegyikük célja a behatolás egyik lehetséges okának megszüntetése. Mivel a feltörés pontos oka ismeretlen, mindegyiket végre kell hajtani. A műveletek olyan sorrendben vannak elrendezve, hogy először teljesen kiküszöböljék annak lehetőségét, hogy a támadó jelenleg továbbra is működjön az oldalon vagy a tárhelyfiókon, majd megakadályozza, hogy a támadó a jövőben behatoljon az oldalra.
Az alábbi lépések feltételezik, hogy csak egy webhely van a tárhelyfiókjában. Ha több webhely is van a fiókban, akkor azokat is feltörhetik, és az oldalt rajtuk keresztül is feltörhetik. Vagy át kell vinni azt a helyet, amelyen a helyreállítási munkálatok zajlanak, egy külön fiókba, vagy egyidejűleg a fiókban tárolt összes webhely helyreállítását kell elvégezni.
A műveletek sorrendje fontos, ezért azokat pontosan abban a sorrendben kell végrehajtani, amelyben lent találhatók.
Valamennyi fenti műveletet a megadott sorrendben, kihagyások és változtatások nélkül kell végrehajtani. Ha a műveleteket pontatlanul hajtják végre, akkor rosszindulatú szkriptek vagy sebezhetőségek maradhatnak az oldalon, aminek következtében egy támadó rövid időn belül újra feltörheti. Ha valamilyen oknál fogva nem lehet végrehajtani a fenti lépéseket a feltüntetett formában, forduljon szakemberhez a webhely feltörése utáni helyreállításához.
Ahhoz, hogy webhelyét a jövőben megóvja az ismételt feltörésektől, tartsa be a következő ajánlásokat:Ha SSH-n keresztül fér hozzá a webhelyhez, a következő parancsok futtatásával találhatja meg a beadott kódot tartalmazó fájlokat:
#grep -lr --include=*.php "eval(base64_decode" /pathWebroot #grep -lr --include=*.php "strrev(" /pathWebroot)
Ha nincs hozzáférés, megkérheti a tárhely-támogatási szolgálatot, hogy végezze el ezt Ön helyett, és küldjön jelentést.
Íme egy példa a listára: ./components/com_wrapper/wrapper.php ./components/com_wrapper/controller.php ./components/com_wrapper/router.php ./components/com_wrapper/views/wrapper/view.html.php ./ összetevő html. php ./components/com_finder/helpers/route.php ./components/com_finder/helpers/html/filter.php ./components/com_finder/helpers/html/query.php ./components/com_finder/controllers/suggestions. json. php ./components/com_jshopping/tables/productfiles.php ./components/com_jshopping/tables/statictext.php ./components/com_jshopping/tables/country.php ./components/com_jshopping/tables/productlabel.php . /com_jshopping /tables/shippingext.php .... ./administrator/components/com_jshopping/controllers/orderstatus.php ./administrator/components/com_jshopping/controllers/shippingsprices.php ./administrator/components/com_jshopping/controllers/ php . /administrator/components/com_jshopping/controllers/productlabels.php ./administrator/components/com_jshopping/controllers/categories.php ./administrator/components/com_cache/cache.php ./administrator/components/com_cachemo.del php . /administrator/components/com_cache/controller.php ./administrator/components/com_cache/views/purge/view.html.php ./administrator/components/com_cache/views/cache/view.html.php ./administrator/ Components/com_cache/helpers/cache.php ./administrator/components/com_content/tables/featured.php
Összesen 1606 alkalommal. Gyakorlatilag ennyi PHP fájl s. A beinjektált kód manuális eltávolítása haszontalan. Ez túl sok időt vesz igénybe. Felfedezte és új fájl images/post.php bármely kód futtatásához.
A rosszindulatú kód eltávolítása a fertőzött fájlokbólElőször készítsen teljes biztonsági másolatot webhelyéről arra az esetre, ha valami baj lenne.
Ha webhelyének azonnali funkcionalitása nagyon fontos Önnek, egyszerű parancsok futtatásával eltávolíthatja a beszúrt kódot.
#grep -lr --include=*.php "eval(base64_decode" /pathWebroot | xargs sed -i.bak "s/eval(base64_decode[^;]*;//" #grep -lr --include=*. php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^;]*; @$_([^;]*;//")
A parancsok eltávolítják az ilyen rosszindulatú kódok minden előfordulását a fájlokból, és biztonsági másolatot készítenek róluk a .bak kiterjesztéssel. Ezzel csak időt nyerhet a webhely teljes helyreállításához, de nem menti meg a későbbi támadásoktól. Meg kell érteni, hogy nagy a valószínűsége annak, hogy a fent leírt fájlok, például az images/post.php, bármilyen kód végrehajtásához és régi lyukak telepítéséhez a telepített kiterjesztésekben találhatók.
Harmadik féltől származó bővítményekHa nem fosztották meg a webhely adminisztrációs paneljét, megtekintheti a telepített összetevőket, modulokat, bővítményeket és sablonokat. Ha nincs hozzáférés, akkor FTP-n vagy SSH-n keresztül csatlakozva meg kell tekintenie az oldal tartalmát.
Tekintse meg a modulok listáját #ls ./modules index.html mod_banners mod_login mod_users_latest mod_articles_archive mod_breadcrumbs mod_menu mod_weblinks mod_articles_categories mod_custom mod_random_image mod_whosonline mod_related mod_articles_fems_category der mod_search mod_articles_new s mod_footer mod_stats mod_articles_popular mod_languages mod_syndicate #ls ./administrator/modules index. html mod_latest mod_menu mod_quickicon mod_title mod_custom mod_logged mod_multilangstatus mod_status mod_toolbar mod_feed mod_login mod_popular mod_submenu mod_versionCsak szabványos Joomla modulokat használnak
Tekintse meg az összetevők listáját #ls ./components com_banners com_finder com_media com_search com_wrapper com_contact com_jshopping com_newsfeeds com_users index.html com_content com_mailto com_phocapdf com_weblinks _installer com_weblinks _installer_com_adfcom/s. _media com_phoca pdf com_users com_banners com_contact com_joomlaupdate com_menus com_plugins com_weblinks com_cache com_content com_jshopping com_messages com_redirect index. html com_categories com_cpanel com_languages com_modules com_search com_checkin com_finder com_login com_newsfeeds com_templatesA szabványos komponensek mellett a com_jshopping és a com_phocapdf is használatos.
Tekintse meg a bővítmények listáját #ls ./plugins hitelesítés tartalomszerkesztők-xtd kereső phocapdf kereső felhasználó captcha szerkesztők kiterjesztése index.html gyorsikon rendszerEzenkívül meg kell tekintenie ezen mappák tartalmát. Ezek beépülő modulok csoportjai.
#ls ./plugins/authentication gmail index.html joomla ldap #ls ./plugins/captcha index.html recaptcha #ls ./plugins/content emailcloak geshi joomla pagebreak rokbox kereső index.html loadmodule oldalnavigáció szavazás #ls/editorsplu codemirror index.html none tinymce #ls ./plugins/editors-xtd cikk kép index.html oldaltörés tovább #ls ./plugins/extension index.html joomla #ls ./plugins/finder kategóriák kapcsolattartók tartalom index.html hírfolyamok weblinkek #ls ./plugins/quickicon extensionupdate index.html joomlaupdate #ls ./plugins/search kategóriák névjegyek tartalom index.html hírfolyamok webhivatkozások #ls ./plugins/rendszer gyorsítótár kiemelés nyelvkód napló p3p emlékszem sef debug index.html nyelvszűrő kijelentkezés átirányítás rokbox #ls . /plugins/user contactcreator index.html joomla profil
A szabványos beépülő modulok mellett a phocapdf bővítmény is használatos.
Tekintse meg a sablonok listáját #ls ./templates atomic beez_20 beez5 index.html rendszersablon1A szabványos sablonok mellett a templ1 is használatos.
Fertőzött webhely helyreállítása- Töltse le a legújabb kiadás terjesztési készletét, csomagolja ki az archívumot a jövőbeli webhely könyvtárába, és törölje a telepítési könyvtárat onnan.
- Nevezze át a htaccess.txt fájlt .htaccess névre. Ha olyan utasításokat használt, amelyeket Ön írt le, vigye át azokat a fertőzött példányból.
- A konfiguráció.php fájlt kimásoljuk a fertőzött másolatról, miután előzőleg ellenőriztük, hogy nincs-e benne beinjektált kód.
Harmadik féltől származó bővítmények
- Megtaláljuk a használt harmadik féltől származó Phoca PDF, JoomShopping összetevőket, a "Phoca PDF Content Plugin" bővítményt, letöltés.
- Kicsomagoljuk és átmásoljuk a fájlokat, miután korábban létrehoztunk egy, a fertőzött példányhoz hasonló könyvtárstruktúrát. Ne feledkezzünk meg a lokalizációs fájlokról.
A sablon helyzete kicsit bonyolultabb. A sablont speciális szoftver hozta létre, és nem található. Ki kell majd "kiszednünk belőle mindent, ami felesleges".
Szerencsére 21 PHP fájl van a sablonban, és az összes beszúrt kódot eltávolítottuk a #grep -lr --include=*.php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^ ;]*; @$_([^;]*;//"
Saját fájlok
- Hozzon létre könyvtárakat, ahol képeket, dokumentumokat és egyéb fájlokat tárol, és másolja őket.
A webhelynek azonnal működnie kell, amint lecseréli a régi tartalmat az újra.
Lépjen a webhely adminisztrációs paneljére, módosítsa a CMS-hez való hozzáféréshez használt felhasználónevet és jelszót, és ellenőrizze, hogy a SuperUsers e-mail-címe le lett-e cserélve (a támadó a funkció segítségével visszaállíthatja az elfelejtett jelszót). Soha ne használja a szokásos admin felhasználónevet. Gondosan ellenőrizze az összes felhasználó jogait. Nem zárható ki annak lehetősége, hogy egy támadó másik rendszergazdát telepítsen.
Cserélje ki a felhasználónevet és az adatbázis jelszavát MySQL adatok, ha a szabványos jos_ adatbázistábla előtagot használjuk, akkor azt le kell cserélni egy másikra, ez megakadályozza az SQL injekciós támadás lehetőségét.
A helyreállítási munka végeztével telepítse a BotsGo404 bővítményt.
Ha hasznosnak találta ezt a cikket, szavazzon rá. Ez segít másoknak, hogy gyorsabban megtalálják ezt a cikket sok más, kevésbé hasznos cikk közül.(17 szavazat)
A Joomla nem csak az egyik legnépszerűbb CMS az interneten. Sajnos ez a tartalomkezelő rendszer a leginkább érzékeny a hackertámadásokra. Ma arról fogunk beszélni, hogy mit tegyünk, ha Joomla webhelyét feltörték, valamint megvizsgáljuk a megelőző intézkedéseket és a behatolók elleni küzdelmet.
Az olvasókkal folytatott kommunikáció kénytelen volt beilleszteni egy bekezdést. Nem adunk ingyenes vagy fizetős tanácsadást az Ön oldalának feltörésével kapcsolatban, de készek vagyunk fizetős szolgáltatást nyújtani az oldal hackertámadás utáni kezelésére és helyreállítására.
Miért törnek fel a hackerek egy webhelyet?Nem veszek figyelembe olyan egzotikus eseteket, amikor egy webhely elleni támadást szándékosan, információszerzés céljából hajtanak végre. Mert amikor bizalmas adatokat helyezünk el az interneten, a Joomla kivételével bármit felhasználnak. A modern hackerek motivációja meglehetősen világos, és három fő részre osztható.
Olyan szkriptek kerülnek bevezetésre, amelyek a támadó webhelyére mutató hivatkozásokkal töltik meg az oldalakat. Átirányítási lehetőség lehetséges, amikor a látogatót azonnal elküldik a hacker által kívánt irányba.
Gyakran előfordul, hogy egy támadó hozzáfér az adatbázishoz és az adminisztrációs panelhez, és Ön mások cikkeit és híreit találja az anyagok listájában.
A Joomla fájlok teljesen törölhetők, vagy támadó szkriptekkel helyettesíthetők. Nagy a valószínűsége annak, hogy a látogató valami piros és sötét színben fog látni valamit, ahol az lesz írva, hogy a hackelést egy csodálatos törökországi srác hajtotta végre.
2015-ben a legtöbb feltörés emiatt történt.
Mi az algoritmus a rosszindulatú szkriptek és támadók működéséhez?
A webhely elleni támadást a Joomla CMS vagy összetevő egy biztonsági rése hajtja végre. Vannak esetek, amikor rosszindulatú kód kezdetben jelen van egy telepített bővítményben.
Ez azokra az összetevőkre, bővítményekre és modulokra vonatkozik, amelyeket illegálisan töltöttek le.
Az oldalra való behatolás eredményeként számos script fájl jelenik meg a különböző Joomla könyvtárakban.
A fájlok neve és könyvtárakban való elhelyezése olyan, hogy első pillantásra nem könnyű megkülönböztetni a rosszindulatú szkripteket a „natív” Joomla-fájloktól. Emiatt a webhely „kezelése” gyakran hiányos, és néhány nap vagy hét elteltével újabb köteg spam távozik a domain nevében.
A technikai támogatás szinte azonnal fenyegető levelet küld Önnek, amelyben felajánlja a biztonsági probléma megoldását. A tétlenség a fiók letiltásával és a webhely leállításával fenyeget.
Mi a teendő, ha egy Joomla webhelyet feltörtek?A rosszindulatú szkriptek elleni háború kezdete a tárhelyszolgáltatójával kezdődik. Valószínűleg az ő levele adja az utat a katonai akcióhoz
Sikerük nagyban függ attól, hogy a hosting cég milyen eszközöket bocsát az Ön rendelkezésére. Felsorolom a főbbeket:
A tárhelybe beépített víruskereső panel. Általában nem végez fertőtlenítést, de segít megtalálni a rosszindulatú szkriptek jelentős részét
Hozzáférés SSH-n keresztül. Enélkül lehetetlen a vírusok elleni teljes küzdelemről beszélni.
Gyors és szakképzett műszaki támogatás
Napi biztonsági mentés. Az ideális lehetőség az egy hónappal ezelőtti másolat visszaállítása vagy letöltése
Ha a tárhelyszolgáltató nem biztosít víruskeresőt szoftver(beépíthető a tárhelypanelbe, vagy kérésére a tárhelyszolgáltató önállóan is elindíthatja) - fogd meg a fertőzött oldaladat és változtasd meg a tárhely szolgáltatást nyújtó céget. A piac egyszerűen tele van ilyen ajánlatokkal.
A legtöbb webhely a következő helyen található virtuális tárhely, és mind a négy felsorolt ponton egy masszív ötöst adnék a cégnek, amelynek linkje lent található:
Teljesen más a történet, ha a teljes szervert béreljük. Az első, a harmadik és a negyedik pont teljes mértékben az Ön lelkiismeretén lesz. És a második pont magától értetődik.
Hackelési eljárás1. lépés: Tisztítsa meg a webhelyet rosszindulatú fájlok
Általános szabály, hogy nem telik el sok idő a feltöréstől a technikai támogatástól kapott levélig. Ritka esetekben maga a webhely tulajdonosa fedez fel egy feltörést.
A legegyszerűbb módja a webhely visszaállítása nem fertőzött biztonsági másolatból. Ez azonban csak akkor alkalmas, ha hosszú ideig nem történt változtatás az oldalon.
A rendszeresen frissített oldalon a keresést manuálisan kell végrehajtani. És ezt SSH-n keresztül. A feladat rendkívül egyszerű lesz. Meg kell találnia, hogy mely fájlok változtak a közelmúltban. Például egy hét múlva. Mert operációs rendszer A Debian parancs így nézne ki:
keresse meg a /könyvtárat, ahol a keresést végrehajtják/ -type f -mtime -7
Ennek a parancsnak megfelelően a rendszer megjeleníti azokat a fájlokat, amelyek az elmúlt 7 nap során megváltoztak. Figyelünk a PHP kiterjesztésű fájlokra.
Ők azok, akik veszélyt jelentenek. Ugyanakkor meg kell értenie, hogy a megjelenített fájlok némelyike nem fertőzött, és magához a Joomlához tartozik. Ezért kéznél kell lennie a működő verzió eredeti terjesztésének Ebben a pillanatban.
A képernyőképen két fájlt látunk. Az első valószínűleg vírus. A második az rendszerfájl Joomla.
Honnan vannak ilyen következtetések?
A helyzet az, hogy a /components/com_weblinks/views/category/ könyvtárban elvileg nem szabad start.php fájlnak lennie.
A /logs/ könyvtárban található error.php fájl pedig a CMS része. Ha azonban kifejezetten törli, semmi kritikus nem történik, mivel a Joomla naplók tárolására szolgál.
2. lépés: Védje meg a webhelyet a feltöréstől
Tegyük fel, hogy sikeresen eltávolította az összes rosszindulatú szkriptet. A tárhely technikai támogatása és víruskereső jelentése: "igen, minden tiszta." Mit kell tenni, hogy ez ne forduljon elő?
A Joomla és a bővítmények frissítése a legújabb verzióra
Ha webhelye a Joomla 3.X-ig terjedő verzióján fut, van még egy ok, hogy fontolja meg a frissítést. Az utóbbi időben sok tárhelyszolgáltató ragaszkodik ehhez.
Ezzel nem oldódik meg 100 százalékosan a biztonsági probléma, de a jövőben lehetőség nyílik a rendszer gyors frissítésére és egy gombnyomással telepíthető biztonsági javítások, amelyek az utóbbi időben szinte hetente megjelentek.
Különös figyelmet szeretnék fordítani telepített bővítmények a webhelyén. Minden összetevőt, beépülő modult, modult is frissíteni kell a legújabb verzióra. Végezzen ellenőrzést webhelye adminisztrációs paneljén.
Minden kiterjesztést használnak?
Az alacsony képzettség miatt a modern webmesterek minden problémát megoldanak egy plugin vagy modul telepítésével, bár elegendő néhány sort hozzáadni a webhely sablon kódjához. Vagy módosítsa a CSS-t.
Minél kevesebb további bővítmény található a webhelyen, annál kisebb a valószínűsége annak, hogy feltörik!
RSFirewall komponensA tartalomtól függetlenül a Joomla CMS-t futtató webhely minden nap ki van téve a támadásoknak. Riasztó rendszerességgel fordulnak elő a hackerek, akik kitalálják az adminisztrációs panel jelszavát, és megpróbálnak rosszindulatú kódot bevinni. Lehetetlen egyedül ellenállni a támadásoknak és a behatolásoknak.
Egy olyan komponensre szeretném felhívni a figyelmet, amely rengeteg, a weboldal biztonságával kapcsolatos problémát megold. A neve „RSFirewall”.
Tekintsük röviden az RSFirewall által megoldott főbb képességeket, funkciókat és feladatokat:
A rendszer ellenőrzése a sebezhetőségek szempontjából. A rendszer elemzi az adatbázist, a fájlokat és a környezetet, amelyben a webhely működik
A rendszeren lévő fájlok összehasonlítása az eredeti Joomla disztribúcióval. Ez nagyban leegyszerűsíti a fertőzött fájlok keresését.
Könyvtárak és fájlok jogainak elemzése.
Keressen rosszindulatú kódot tartalmazó fájlokat. A lista megjelenítése után manuálisan kell elemeznie az egyes fájlokat, mivel néhányuk teljesen normális működő kódnak bizonyulhat a Joomla kiterjesztések számára
A bejelentkezési kísérletek naplózása a Joomla adminisztrációs paneljére, valamint azon felhasználók blokkolásának lehetősége, akik bizonyos számú alkalommal rossz bejelentkezési nevet és jelszót adtak meg
Minden webhelylátogatás naplózása és azon IP-címek blokkolásának lehetősége, amelyekről feltörési kísérlet történt
Az oldalhoz való hozzáférés tilalma meghatározott országokból.
A komponens fizetős. A jelenlegi verzió kizárólag a Joomla 3.X verzióihoz érhető el
A cikk írásakor három változatban terjesztik. Az alábbiakban egy táblázat mutatja a költségeket, az előfizetési feltételeket és egy linket arra az oldalra, ahol ezt az előfizetést vásárolt.
Az RSFirewallt az „alapértelmezett” lokalizáció segítségével fogjuk felfedezni. Vagyis a kezelőfelület nyelve az angol marad.
Az alkatrész telepítése szabványos, a bővítménykezelőn keresztül történik. Az összetevő telepítése után lépjen az „Összetevők – RSFirewall – Rendszerellenőrzés” részre.
Megnyílik egy oldal, ahol meg kell vizsgálnunk a Joomla és a szerver konfigurációját, hogy ellenáll-e a hackeléssel szemben. A következőket is keresni fogják:
Joomla fájlok, amelyek módosítottak, és különböznek az eredeti disztribúciótól
rosszindulatú fájlok
a könyvtárakhoz és fájlokhoz való jogok ellenőrzésre kerülnek
Az ellenőrzés megkezdéséhez kattintson a „Rendszerellenőrzés végrehajtása” gombra.
Tekintsük az elemzés eredményét.
Felül láthatja, hogy a komponens a webhely ellenőrzése után hány pontot vagy százalékot rendel hozzá. A „100” érték a legmagasabb pontszám. Jelenleg a tesztelt oldal csak 84 ponttal rendelkezik. Találjuk ki, miért.
Nézzük meg részletesen a listát, ne hagyjuk ki a zölddel kiemelt szöveget.
Joomla konfigurációs részEllenőrizd, hogy a legújabb Joomla! Verzió – Ellenőrizze: ez telepített verzió A Joomla a legújabb. Amint látja, ezzel minden rendben van. A cikk írásakor a Joomla verziója 3.4.8 volt
Ellenőrizze, hogy a legújabb RSFirewall-e van-e! Verzió – Ellenőrizze: az RSFirewall összetevő telepített verziója a legújabb. Ez fontos jellemzője a rendszer biztonságát, mivel az összetevő nem csak a rosszindulatú szkriptek adatbázisát szerzi be, hanem folyamatosan változtatja a funkcionalitást a Joomlában felfedezett biztonsági réseknek megfelelően.
Gyenge adatbázis-jelszó ellenőrzése – Ebben az esetben az összetevő ellenőrzi az adatbázisjelszó feltörési ellenállását.
Annak ellenőrzése, hogy az alapértelmezett "admin" felhasználó aktív-e. - Biztonsági okokból a kiemelt webhely adminisztrátorának bejelentkezési nevének különböznie kell a széles körben használt „admin”-től. Ha a komponens ilyen bejelentkezési névvel rendelkező felhasználót talál az adatbázisban, figyelmeztetés jelenik meg.
Ellenőrzés, hogy beállítottad-e az FTP-jelszót - A Joomla telepítésének vagy beállításainak szerkesztésének szakaszában megengedett fatális hiba. Hozzáférés: FTP protokoll-ban jelzett konfigurációs fájl Joomla. Van egy ugyanilyen tragikus lehetőség is. A Joomla általános beállításainak mentésekor az adminisztrációs panel bejelentkezési neve és jelszava rögzítésre kerül az FTP hozzáférési mezőben. Ezért ügyelünk arra, hogy a konfiguráció.php fájl megfelelő paraméterei üresek legyenek.
Annak ellenőrzése, hogy engedélyezve vannak-e a keresőbarát URL-ek – Ellenőrzés: benne van-e Általános beállítások Joomla SEF URL támogatás.
A configuration.php sértetlenségének ellenőrzése — A configuration.php fájl helyességének és integritásának ellenőrzése.
Annak ellenőrzése, hogy valamelyik adminisztrátori felhasználónak nincs-e gyenge jelszava – A webhely kiemelt rendszergazdáinak összes jelszavának ellenőrzése repedésállóság szempontjából
A munkamenet élettartamának ellenőrzése - A munkamenet élettartamának ellenőrzése, amely a Joomla általános beállításaiban van beállítva. Ha ez meghaladja a 15 percet, figyelmeztetés jelenik meg.
Annak ellenőrzése, hogy vannak-e fájlok a Joomla! ideiglenes mappa – Ebben az esetben ellenőrizni kell, hogy a fájlok a Joomla ideiglenes könyvtárában találhatók-e. Alapértelmezés szerint ez a könyvtár a „tmp” mappa. Ezt a könyvtárat tisztán kell tartani, mert a bővítmények telepítése vagy a Joomla frissítése után szükségtelen archívumok és szkriptek lehetnek ott.
.htaccess keresése – A .htaccess fájl meglétének ellenőrzése. A Joomla telepítése után a htaccess.txt fájl alapértelmezés szerint a webhely gyökerében jön létre. Az Ön feladata, hogy nevezze át .htaccess névre. Pontosan úgy, ahogy meg van írva, ponttal az elején és .txt nélkül a végén
Ellenőrizzük, hogy a Joomla! az ideiglenes mappa nyilvánosan elérhető – Ellenőrzi, hogy az ideiglenes Joomla fájlok könyvtára elérhető-e a számára nyílt hozzáférésű. Mit kell ez alatt érteni? Egyszerűen fogalmazva, beírható-e olyan hivatkozás a böngésző címsorába, mint a www.yoursite.com/tmp?
Nem mindenki tudja, hogy el lehet helyezni egy ideiglenes könyvtárat úgy, hogy csak a Joomla szkriptek férhessenek hozzá. Elegendő egy tetszőleges nevű mappát létrehozni, magasabb szinten, mint a webhely található, és beírni a mappa elérési útját a configuration.php fájlba.
A munkamenetkezelő ellenőrzése – A munkamenetkezelő típusának ellenőrzése. Javasoljuk, hogy az értéket „Nem”-re állítsa. Ezt a Joomla általános beállításaiban lehet megtenni
Szerverkonfiguráció szakaszTérjünk át a következő szakaszra, ahol a szerver konfigurációját elemeztük.
Látjuk, hogy a konfiguráció PHP direktívák az összetevő szempontjából nincs megfelelően konfigurálva.
Nem kell megérteni, hogy melyik irányelv miért felelős. Először azonban meg kell oldania a problémát a Joomla ideiglenes könyvtárával, amelyről fentebb írtam.
Másolja ide HDD számítógépét, és törölje a webhely gyökérkönyvtárából, mert csak tájékoztató jellegű, és megmondja a PHP direktívák jelentését, amelyeket be kell illesztenie a php.ini fájlba.
Hogy hogyan találja meg a szerveren, és hogy engedélyezett-e a hozzáférés, azt a tárhelyszolgáltatójánál kell egyeztetni. A PHP direktívák gyakran a tárhelypanel beállításainak módosításával módosulnak. Ezért itt nincs univerzális recept.
Szkennelési eredmény szakaszItt vannak a rendszer vizsgálatának eredményei. Eredményeik tanulmányozását javaslom.
A Joomla! (CMS) fájlok – be ez a szekció a CMS Joomla fájlok vizsgálatának eredménye megjelenik, és összehasonlítja az eredeti disztribúcióval a sértetlenség és a fájlok lehetséges módosításai szempontjából. Nem csak a szkriptek kerülnek összehasonlításra, hanem a kép- és CSS-fájlok is. Nos, ez minden.
A mappák ellenőrzése – FTP-n keresztül keresse fel mindegyiket, és győződjön meg arról, hogy mentes a rosszindulatú szkriptektől
Fájlok vizsgálata – ebben az esetben fájljogokról beszélünk. A műveleteknek ugyanazoknak kell lenniük, mint a könyvtárak esetében
Fájlok ellenőrzése gyakori rosszindulatú programok után – rosszindulatú kód keresése. Mint látható, az RSFirewall talált egy fájlt, és amikor elemezte azt szöveg szerkesztő, valóban rosszindulatúnak találták, és én eltávolítottam a szerverről.
Foglaljuk összeSajnos nem lehet egy anyagban lefedni az RSFirewall komponens összes képességét és beállítását. A következő cikkben megvizsgáljuk az összetevők konfigurációját.
Ha nem áll készen arra, hogy önállóan megoldja a webhely feltörésének problémáját, írjon a „Kapcsolatok” szakaszba, vagy a képernyő jobb alsó sarkában található chatbe.
A helyszíni kezelés térítés ellenében történik.
A munka aktuális költsége a következő oldalon látható: „Webhelyek (CMS Joomla) kezelése vírusoktól”
Üdvözlettel, Vladimir Egorov
Ezt a bejegyzést több webhelytulajdonos kérdése indította arra vonatkozóan, hogyan távolítsák el a rosszindulatú kódokat webhelyükről. Az alábbiakban megpróbálom leírni a sorrendet egyszerű lépéseket, amely nem igényel különleges ismereteket, és elsősorban kezdőknek lesz hasznos az internetes források kezelésében.
Honnan tudhatja, hogy egy webhely olyan támadás áldozatává vált, amely során rosszindulatú kódot találtak el? Az első és legegyszerűbb dolog az, hogy a webhely leállt, vagy nem úgy néz ki, mint egy „egészséges” erőforrásnak. Ez megnyilvánulhat nemkívánatos tartalom megjelenésében vagy a tartalom eltűnésében, az oldalak nem töltődnek be, vagy hibásan töltődnek be. Ezen túlmenően, ha webhelyét felveszi a Yandex vagy a Google webmester oldalára, akkor valószínűleg értesítést kap ezektől a rendszerektől a rosszindulatú kódokról. Bizonyos esetekben a sérülékenységről a böngészőből tájékozódhat (képernyőkép a Google Chrome-ból).
Ilyen esetekben nagyon nem kívánatos az oldal további megnyitása.
Rosszindulatú kódot keresünk az oldalonNem fogjuk megérteni annak a személynek az indítékait, aki rosszindulatú kódot telepített az Ön webhelyére, és még kevésbé fogjuk megkeresni azt. Fő célunk a "rossz" kód megtalálása és eltávolítása. Először is át kell vizsgálnia az erőforrást az összes „fertőzött” oldal észleléséhez. Ez lehetővé teszi a keresés szűkítését. Például rosszindulatú kódot lehet elhelyezni Javascript-szkript formájában egyes esetekben külön oldal, mondjuk, egy bejegyzés vagy az ahhoz fűzött megjegyzés tartalmába. Ebben az esetben a probléma az oldal adminján keresztül megoldható úgy, hogy eltávolítja az ilyen kódot a tartalomból/kommentből. Ellenkező esetben meg kell keresnie az erőforrás forráskódjában.
A sebezhetőségek kereséséhez használja a https://sitecheck.sucuri.net webhelyet. Ennek eredményeként a következőket láthatja:
Amint a képernyőképen is látható, a „rossz” szkript az oldal több oldalán is megtalálható, ezért a forráskódban kell keresni.
Szerezzen hozzáférést a forráskód webhely többféle módon:
Ne próbáljon rosszindulatú kódot találni benne forrás fájlok Az Ön webhelye, teljesen helyettesítve azt a keresésben. Válassza ki annak egyedi részét, például esetünkben a googleleadservices.cn-t, és ismételje meg a keresést többször.
Rosszindulatú kód eltávolításaA rosszindulatú kód észlelése után egyszerűen el kell távolítani. Esetünkben az oldalon a Joomla futott, és a „rossz” szkript bekerült a gyökérkönyvtár index.php fájljába. Ez az oka annak, hogy a sérülékenységet egyszerre több oldalon fedezték fel, mivel ezt az index.php-t használják az erőforrás összes oldalának felépítéséhez.
Közvetlenül a rosszindulatú kód eltávolítása után azt javaslom, hogy változtassa meg az összes felhasználó jelszavát a webhely vezérlőpultján, és próbálja meg tájékozódni más rendszergazdák tapasztalatairól, akik találkoztak ezzel a problémával. Szükség lehet további intézkedések megtételére.
MegelőzésA megelőzés mindig jobb, mint a gyógyítás, ezért javaslom:
Kérjük, hagyjon fel bármilyen kérdést vagy megjegyzést a megjegyzésekben.