###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Eliminarea codului Joomla rău intenționat. Jurnalul de jurnal Joomla cod rău intenționat

    20.11.2019 Știri

    Trebuie făcut împreună. Dacă eliminați cauza inițială a hack-ului (de exemplu, o vulnerabilitate în extensia CMS), dar nu eliminați toate fișierele rău intenționate, atacatorul va putea obține din nou acces la site folosind unul dintre scripturile sale. Dacă eliminați toate scripturile rău intenționate descărcate, dar nu eliminați cauza hackului, atacatorul va putea să pirateze din nou site-ul și să descarce din nou scripturile pe acesta.

    Un specialist cu cunoștințele și experiența corespunzătoare ar trebui să efectueze lucrări pentru a elimina scripturile rău intenționate și pentru a analiza cauzele hackingului:

    • Pentru a elimina scripturile rău intenționate, aveți nevoie de cunoștințe despre limbajul de programare PHP, precum și despre „interiorul” CMS-ului popular (Joomla, WordPress etc.) și extensii pentru acestea. Aceste cunoștințe sunt necesare pentru a distinge scripturile direct de CMS și extensiile acestuia de fișierele străine și, de asemenea, pentru a putea determina fără ambiguitate ce acțiuni efectuează atunci când întâlnesc scripturi dubioase.
    • Pentru a analiza cauzele hackingului, este necesară experiența în administrarea serverului. Acest lucru este necesar pentru a analiza starea fișierelor din cont, momentul în care au fost modificate și, de asemenea, pentru a compara aceste date cu jurnalele de server pentru a determina ce acțiuni ale atacatorului au dus la piratarea site-urilor.

    Prin urmare, dacă site-ul dvs. a fost piratat, este recomandat, pentru a evita hack-urile repetate, să nu faceți singur munca, ci să contactați un specialist care va efectua diagnosticele necesare și va recomanda sau întreprinde acțiunile necesare pentru a rezolva problema, si cine poate garanta calitatea rezultatului obtinut.

    Cu toate acestea, există o serie de măsuri care în unele cazuri ajută la restabilire munca sigura site fără cunoștințe speciale. Limitarea metodei de mai jos este că, pentru ca site-ul să funcționeze din nou, necesită prezența lui copie de rezervă, creat la momentul înainte de hack. Dacă data încălcării este necunoscută, puteți încerca această metodă folosind cea mai veche copie de rezervă disponibilă. A doua limitare, ca o consecință a primei, este că, după restaurarea site-ului, datele adăugate site-ului după ce au fost create backup-ul de restaurare (de exemplu, articole noi, imagini sau documente). Dacă trebuie să restabiliți site-ul păstrând date noi, trebuie să contactați un specialist.

    Aceste măsuri nu ne permit să stabilim cauza hack-ului site-ului, dar fiecare dintre ele are ca scop eliminarea uneia dintre cauzele potențiale ale pătrunderii. Deoarece motivul exact al hack-ului este necunoscut, este necesar să le efectuați pe toate. Acțiunile sunt aranjate într-o astfel de ordine încât mai întâi să elimine complet posibilitatea ca un atacator să continue să opereze pe site sau pe contul de găzduire în acest moment, iar apoi să împiedice atacatorul să pătrundă pe site în viitor.

    Pașii de mai jos presupun că aveți un singur site web pe contul dvs. de găzduire. Dacă există mai multe site-uri pe cont, atunci acestea ar putea fi și sparte, iar site-ul ar putea fi spart prin intermediul lor. Este necesar fie să transferați site-ul cu care se efectuează lucrările de restaurare într-un cont separat, fie să efectuați restaurarea pentru toate site-urile găzduite în cont în același timp.

    Ordinea acțiunilor este importantă, așa că este necesar să le efectuați în ordinea exactă în care sunt situate mai jos.

  • Imediat după descoperirea că un site a fost piratat, este necesar să blocați complet accesul vizitatorilor la acesta. Acest lucru, în primul rând, va împiedica atacatorul să desfășoare activități rău intenționate pe site și, în al doilea rând, nu îi va permite să interfereze cu lucrările de restaurare. Acest pas este foarte important, deoarece eliminarea scripturilor rău intenționate și eliminarea cauzei hack-ului nu se întâmplă peste noapte - de regulă, durează câteva ore. Dacă site-ul rămâne accesibil din exterior, atacatorul va putea să reîncarce scripturi în secțiunea site-ului care a fost deja șters. În acest caz, un atacator poate folosi diferite adrese IP pentru a se conecta, astfel încât refuzul accesului doar la o listă de adrese IP nu va funcționa. Pentru a vă asigura că site-ul este curățat de scripturile rău intenționate detectate, este necesar să împiedicați complet accesul unui atacator pe site, ceea ce poate fi făcut numai folosind blocare completă site pentru orice vizitator. Contactați serviciul de asistență tehnică al găzduirii care găzduiește site-ul dvs. pentru a-l bloca.
  • După blocarea site-ului, trebuie să verificați computerele de pe care lucrați cu site-ul cu un antivirus modern cu baze de date de viruși actualizate. Dacă site-ul a fost spart prin furtul parolelor contului folosind un virus, trebuie să vă asigurați că munca in continuare cu un site piratat se efectuează de pe un computer pe care nu există viruși, altfel după schimbarea parolelor de acces pot fi furate din nou.
  • După blocarea site-ului și verificarea virușilor, trebuie să schimbați toate parolele de acces la contul dvs.: acces prin FTP, prin SSH, precum și acces la panoul de control al găzduirii. Dacă un atacator a accesat fișierele de cont folosind una dintre aceste metode, odată ce parolele sunt schimbate, nu va mai putea face acest lucru.
  • După schimbarea parolelor, trebuie să distrugi toate procesele serverului care rulează sub contul pe care este întreținut site-ul. Lansat de un atacator în fundal procesele, fără a fi distruse, vor putea reinstala scripturi rău intenționate pe site după lucrările de restaurare. Pentru a preveni acest lucru, toate procesele care rulează înainte ca site-ul să fie blocat trebuie distruse. Site-ul ar trebui să fie deja blocat în acest moment, astfel încât atacatorul să nu poată lansa noi procese accesând unul dintre scripturile sale de pe site. Pentru a distruge procesele care rulează în contul dvs., contactați serviciul de asistență tehnică al găzduirii care găzduiește site-ul dvs.
  • Acum este imposibil să pătrundeți site-ul din exterior și puteți începe să îl restaurați.
  • Inainte de actiunile urmatoareștergeți toate fișierele existente ale site-ului pentru a vă asigura că nu există scripturi rău intenționate sau scripturi CMS în care atacatorul a inserat cod rău intenționat. Acest pas este, de asemenea, important deoarece la restaurarea unui site dintr-o copie de rezervă, fișierele care existau înainte de restaurare nu sunt întotdeauna șterse. Dacă, după restaurarea dintr-o copie de rezervă, vechile scripturi rău intenționate rămân pe site, atacatorul va putea reintra pe site. Puteți evita acest lucru ștergând toate fișierele site-ului înainte de a efectua recuperarea.
  • După ștergerea tuturor fișierelor site-ului, restaurați site-ul dintr-o copie de rezervă creată înainte de a fi piratat. Adesea este suficient să restaurați numai fișierele site-ului, dar dacă, după restaurarea acestora, se observă erori în funcționarea site-ului, este necesar să restaurați complet site-ul: atât fișierele, cât și baza de date.
  • După restaurarea dintr-o copie de rezervă, actualizați sistemul de gestionare a conținutului (CMS) și extensiile la cele mai recente versiuni. Acest lucru este necesar pentru a exclude prezența unor vulnerabilități cunoscute pe site prin care ar putea fi piratat. De regulă, actualizarea se poate face prin secțiunea de administrare CMS. Pentru obtinerea instrucțiuni complete Pentru a actualiza CMS-ul, trebuie să accesați site-ul web al dezvoltatorului sistemului. Este important să actualizați nu numai CMS-ul în sine, ci și toate extensiile acestuia, deoarece hacking-ul are loc adesea printr-o vulnerabilitate prezentă într-una dintre extensiile CMS (de exemplu, pluginuri, teme, widget-uri etc.). În acest moment, este încă imposibil să deblocați site-ul pentru vizitatori, deoarece acesta poate fi încă vulnerabil. Pentru a accesa site-ul pentru actualizări, vă rugăm să contactați suport tehnic furnizor de găzduire care găzduiește site-ul dvs. și cereți să permiteți accesul la site numai de la adresa IP a computerului dvs. Puteți afla adresa dvs. IP, de exemplu, la inet.yandex.ru.
  • După actualizarea sistemului de gestionare a site-ului și a extensiilor acestuia, accesați secțiunea de administrare a site-ului și schimbați parola de acces administrator la acesta. Asigurați-vă că printre utilizatorii site-ului nu există alți utilizatori cu privilegii administrative (ar fi putut fi adăugați de un atacator) și, dacă sunt găsiți, ștergeți-i.
  • Acum că site-ul a fost restaurat dintr-o copie de rezervă și nu conține scripturi rău intenționate, CMS-ul și extensiile sale au fost actualizate la ultimele versiuni, în care nu există vulnerabilități, iar parolele de acces la site și contul de găzduire au fost schimbate, puteți redeschide site-ul pentru vizitatori.

    • Toate acțiunile de mai sus trebuie efectuate în conformitate cu ordinea specificată, fără omisiuni sau modificări. Dacă acțiunile sunt efectuate incorect, pe site pot rămâne scripturi rău intenționate sau vulnerabilități, drept urmare acesta poate fi spart din nou de către un atacator după o perioadă scurtă de timp. Dacă dintr-un motiv oarecare nu este posibil să efectuați pașii de mai sus în forma în care sunt indicați, contactați un specialist pentru a efectua lucrări de restaurare a site-ului după un hack.

    Pentru a vă proteja site-ul de hack-uri repetate în viitor, trebuie să respectați următoarele recomandări:
  • Urmăriți actualizările CMS-ului și extensiile acestuia pe site-urile web ale dezvoltatorilor și actualizați-le prompt la cele mai recente versiuni. Dacă un comentariu de actualizare afirmă că remediază o vulnerabilitate, instalați actualizarea cât mai curând posibil.
  • Lucrați cu site-ul și contul de găzduire numai de pe computere care sunt protejate de viruși de antivirusuri moderne cu baze de date de viruși actualizate constant.
  • Utilizați parole complexe, astfel încât acestea să nu poată fi ghicite printr-o căutare în dicționar.
  • Nu salvați parolele FTP și SSH în programele de conectare la site și nu salvați parola de acces în zona administrativă a site-ului și panoul de control al găzduirii din browser.
  • Din când în când (de exemplu, o dată la trei luni), schimbați parolele pentru accesarea site-ului și a contului de găzduire.
  • Dacă au fost detectați viruși pe computerul de pe care lucrați cu site-ul, schimbați cât mai repede parolele pentru accesarea site-ului și contul de găzduire. Trebuie să schimbați toate parolele: parolele de acces prin FTP, SSH, parola din panoul administrativ al site-ului, precum și parola din panoul de control al găzduirii.
  • Nu oferiți acces la site terților decât dacă sunteți încrezător că și aceștia vor urma aceste instrucțiuni.

    • Dacă aveți acces la site prin SSH, puteți găsi fișiere cu cod injectat rulând următoarele comenzi:

    #grep -lr --include=*.php "eval(base64_decode" /pathWebroot #grep -lr --include=*.php "strrev(" /pathWebroot)

    Dacă nu există acces, puteți cere echipei de asistență pentru găzduire să facă acest lucru pentru dvs. și să vă trimită un raport.


    Iată un exemplu de listare: ./components/com_wrapper/wrapper.php ./components/com_wrapper/controller.php ./components/com_wrapper/router.php ./components/com_wrapper/views/wrapper/view.html.php ./ componente/ com_banners/models/banner.php ./components/com_banners/models/banners.php ./components/com_banners/controller.php ./components/com_banners/router.php ./components/com_finder/views/search/view. html. php ./components/com_finder/helpers/route.php ./components/com_finder/helpers/html/filter.php ./components/com_finder/helpers/html/query.php ./components/com_finder/controllers/suggestions. json. php ./components/com_jshopping/tables/productfiles.php ./components/com_jshopping/tables/statictext.php ./components/com_jshopping/tables/country.php ./components/com_jshopping/tables/productlabel.php ./components /com_jshopping /tables/shippingext.php .... ./administrator/components/com_jshopping/controllers/orderstatus.php ./administrator/components/com_jshopping/controllers/shippingsprices.php ./administrator/components/com_jshopping/controllers/vendors. php . /administrator/components/com_jshopping/controllers/productlabels.php ./administrator/components/com_jshopping/controllers/categories.php ./administrator/components/com_cache/cache.php ./administrator/components/com_cache/models/cache. php . /administrator/components/com_cache/controller.php ./administrator/components/com_cache/views/purge/view.html.php ./administrator/components/com_cache/views/cache/view.html.php ./administrator/ componente/ com_cache/helpers/cache.php ./administrator/components/com_content/tables/featured.php

    Total 1606 apariții. Asta e practic tot fișier PHP s. Eliminarea manuală a codului injectat este inutilă. Acest lucru va dura prea mult timp. Descoperit şi fișier nou images/post.php pentru a executa orice cod.

    Eliminarea codului rău intenționat din fișierele infectate

    Mai întâi ar trebui să faceți o copie de rezervă completă a site-ului dvs. în cazul în care ceva nu merge bine.

    Dacă funcționalitatea imediată a site-ului dvs. este foarte importantă pentru dvs., puteți elimina codul injectat rulând comenzi simple.

    #grep -lr --include=*.php "eval(base64_decode" /pathWebroot | xargs sed -i.bak "s/eval(base64_decode[^;]*;//" #grep -lr --include=*. php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^;]*; @$_([^;]*;//"

    Comenzile vor elimina toate aparițiile unui astfel de cod rău intenționat din fișiere și vor face copii de rezervă ale acestora cu extensia .bak. Acest lucru vă va permite doar să câștigați timp pentru a restabili complet site-ul, dar nu vă va salva de atacurile ulterioare. Trebuie înțeles că există o mare probabilitate de a avea fișiere precum images/post.php descrise mai sus pentru executarea oricărui cod și găuri vechi în extensiile instalate.

    Extensii de la terți

    Dacă nu ați fost privat de panoul administrativ al site-ului, puteți vizualiza componentele instalate, modulele, pluginurile și șabloanele. Dacă nu există acces, trebuie să vizualizați conținutul site-ului conectându-vă prin FTP sau SSH.

    Uită-te la lista de module #ls ./modules index.html mod_banners mod_login mod_users_latest mod_articles_archive mod_breadcrumbs mod_menu mod_weblinks mod_articles_categories mod_custom mod_random_image mod_whosonline mod_articles_category mod_feed testm mod_articles_wrapper mods mod_articles_wra. _articles_new s mod_footer mod_stats mod_articles_popular mod_languages ​​​​mod_syndicate #ls ./administrator/modules index. html mod_latest mod_menu mod_quickicon mod_title mod_custom mod_logged mod_multilangstatus mod_status mod_toolbar mod_feed mod_login mod_popular mod_submenu mod_version

    Sunt utilizate numai module standard Joomla

    Uitați-vă la lista de componente #ls ./components com_banners com_finder com_media com_search com_wrapper com_contact com_jshopping com_newsfeeds com_users index.html com_content com_mailto com_phocapdf com_weblinks #ls ./administrator/components com_admin com_config com_config com_installer_conjoancom_com_media com_config com_installer_com_com_config. omlaupdate com_menus com_plugins com_weblinks com_cache com_content com_jshopping com_messages com_redirect index. html com_categories com_cpanel com_languages ​​​​com_modules com_search com_checkin com_finder com_login com_newsfeeds com_templates

    Pe lângă componentele standard, sunt folosite com_jshopping și com_phocapdf.

    Uită-te la lista de pluginuri #ls ./plugins autentificare conținut editors-xtd finder phocapdf căutare utilizator captcha editori extensie index.html sistem de pictograme rapide

    În plus, trebuie să vizualizați conținutul tuturor acestor foldere. Sunt grupuri de pluginuri.

    #ls ./plugins/authentication gmail index.html joomla ldap #ls ./plugins/captcha index.html recaptcha #ls ./plugins/content emailcloak geshi joomla pagebreak rokbox finder index.html loadmodule pagenavigation vote #ls ./plugins/editors codemirror index.html nici unul tinymce #ls ./plugins/editors-xtd imagine articol index.html ruptură de pagină citiți mai multe #ls ./plugins/extension index.html joomla #ls ./plugins/finder categorii contacte conținut index.html fluxuri de știri linkuri web #ls ./plugins/quickicon extensionupdate index.html joomlaupdate #ls ./plugins/search categorii contacte conținut index.html fluxuri de știri linkuri web #ls ./plugins/system cache evidențiază codul de limbă jurnalul p3p reține sef depanare index.html filtru de limbă deconectare redirecționare rokbox #ls . /plugins/user contactcreator index.html profil joomla

    Pe lângă pluginurile standard, este folosit pluginul phocapdf.

    Uită-te la lista de șabloane #ls ./templates atomic beez_20 beez5 index.html system templ1

    Pe lângă șabloanele standard, se folosește templ1.

    Restaurarea unui site infectat
    • Descărcați kitul de distribuție al celei mai recente ediții, despachetați arhiva în directorul viitorului site și ștergeți directorul de instalare din acesta.
    • Redenumiți fișierul htaccess.txt în .htaccess. Dacă a folosit directive pe care le-ați notat, transferați-le din copia infectată.
    • Copiem fișierul configuration.php din copia infectată, verificând în prealabil absența codului injectat în acesta.

    Extensii de la terți

    • Găsim componentele terțe folosite Phoca PDF, JoomShopping, pluginul „Phoca PDF Content Plugin”, descărcare.
    • Despachetăm și copiem fișierele, având în prealabil creat o structură de directoare similară cu cea a copiei infectate. Nu uitați de fișierele de localizare.

    Situația cu șablonul este puțin mai complicată. Șablonul a fost generat de un software special și nu este posibil de găsit. Va trebui să „alegem tot ce nu este necesar” din el.

    Din fericire, în șablon există 21 de fișiere PHP și tot codul injectat a fost eliminat cu comanda #grep -lr --include=*.php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^ ;]*; @$_([^;]*;//"

    Fișiere proprii

    • Creați directoare în care ați păstrat imagini, documente și alte fișiere și copiați-le.

    Site-ul ar trebui să înceapă să funcționeze de îndată ce înlocuiți conținutul vechi cu unul nou.

    Accesați panoul administrativ al site-ului, schimbați numele de utilizator și parola pentru accesarea CMS-ului și vedeți dacă e-mailul SuperUsers a fost înlocuit (un atacator poate folosi funcția pentru a recupera o parolă uitată). Nu utilizați niciodată numele de utilizator standard admin. Examinați cu atenție drepturile tuturor utilizatorilor. Nu poate fi exclusă posibilitatea ca un atacator să instaleze un alt administrator.

    Înlocuiți numele de utilizator și parola bazei de date Date MySQL, dacă se folosește prefixul standard de tabelă a bazei de date jos_, acesta trebuie înlocuit cu altul, acest lucru va preveni posibilitatea unui atac de injecție SQL.

    După finalizarea lucrărilor de restaurare, instalați pluginul BotsGo404.


    Dacă ați găsit acest articol util, vă rugăm să votați pentru el. Acest lucru îi va ajuta pe alții să găsească acest articol mai repede de la multe altele care sunt mai puțin utile.(17 voturi)

    Joomla nu este doar unul dintre cele mai populare CMS de pe Internet. Din păcate, acest sistem de management al conținutului este cel mai susceptibil la atacurile hackerilor. Astăzi vom vorbi despre ce să faceți dacă site-ul dvs. Joomla este piratat și ne vom uita, de asemenea, la măsurile preventive și de combatere a intrușilor.

    Comunicarea cu cititorii m-a forțat să adaug un paragraf. Nu oferim consultații gratuite sau plătite legate de piratarea site-ului dvs., dar suntem gata să vă oferim un serviciu plătit pentru tratarea și restaurarea site-ului după un atac de hacker.

    De ce hackerii pirata un site web?

    Nu voi lua în considerare cazurile exotice când un atac asupra unui site are loc intenționat pentru a obține informații. Pentru că atunci când plasați date confidențiale pe Internet, se folosește orice în afară de Joomla. Motivația hackerilor moderni este destul de clară și poate fi împărțită în trei secțiuni principale.

    Promovarea site-ului web al atacatorului.

    Sunt introduse scripturi care umplu paginile cu link-uri către site-ul web al atacatorului. O opțiune de redirecționare este posibilă, atunci când vizitatorul este trimis imediat în direcția dorită de hacker.

    Există adesea cazuri când un atacator obține acces la baza de date și la panoul administrativ și găsești articole și știri ale altora în lista de materiale.

    Hacking pentru a crește stima de sine a unui hacker

    Fișierele Joomla pot fi fie șterse complet, fie înlocuite cu scripturi pentru atacatori. Există o mare probabilitate ca vizitatorul să vadă ceva în culori roșii și închise, unde se va scrie că hack-ul a fost efectuat de un tip minunat din Turcia.

    Trimiterea de spam în numele site-ului dvs.

    În 2015, cele mai multe hack-uri au avut loc din acest motiv.

    Care este algoritmul pentru funcționarea scripturilor și atacatorilor rău intenționați?

    Un atac asupra unui site este efectuat printr-o vulnerabilitate din CMS-ul sau componenta Joomla. Există cazuri când codul rău intenționat este prezent inițial într-o extensie instalată.

    Acest lucru se aplică acelor componente, pluginuri, module care au fost descărcate ilegal.

    Rezultatul pătrunderii în site este apariția a numeroase fișiere script în diferite directoare Joomla.

    Numele fișierelor și plasarea lor în directoare sunt de așa natură încât la prima vedere nu este ușor să distingem scripturile rău intenționate de fișierele „native” Joomla. Din acest motiv, „tratamentul” site-ului este adesea incomplet, iar după câteva zile sau săptămâni pleacă un alt lot de spam în numele domeniului tău.

    Aproape imediat, suportul tehnic de găzduire vă trimite o scrisoare de amenințare, oferindu-vă să rezolvați problema de securitate. Inacțiunea amenință să vă blocheze contul și să închideți site-ul.

    Ce să faci dacă un site Joomla este piratat?

    Începutul războiului împotriva scripturilor rău intenționate va începe cu furnizorul dvs. de găzduire. Cel mai probabil, scrisoarea lui este cea care va da voie pentru acțiunea militară

    Succesul lor depinde în mare măsură de ce instrumente vă pune la dispoziție compania de găzduire. Voi enumera pe cele principale:

    Panou antivirus încorporat în găzduire. De regulă, nu efectuează dezinfecția, dar va ajuta la găsirea unei părți semnificative a scripturilor rău intenționate.

    Acces prin SSH. Fără el, este imposibil să vorbim despre o luptă completă împotriva virușilor.

    Suport tehnic prompt și calificat

    Zilnic backup. Opțiunea ideală este capacitatea de a restaura sau descărca o copie de acum o lună

    Dacă furnizorul dvs. de găzduire nu oferă antivirus software(poate fi încorporat în panoul de găzduire sau lansat independent de furnizorul de găzduire, la cererea dvs.) - luați site-ul dvs. infectat și schimbați compania care furnizează serviciul de găzduire. Piața este pur și simplu plină cu astfel de oferte.

    Cele mai multe site-uri sunt găzduite pe gazduire virtuala, și aș da un punct solid la toate cele patru puncte enumerate companiei, linkul către care este mai jos:

    Este cu totul altă poveste dacă închiriezi întregul server. Primul, al treilea și al patrulea puncte vor fi în întregime pe conștiința ta. Iar punctul doi va fi de la sine înțeles.

    Procedura de hacking

    Pasul 1. Curățați site-ul de fișiere rău intenționate

    De regulă, nu durează mult timp de la un hack la o scrisoare de la asistența tehnică de găzduire. În cazuri rare, proprietarul site-ului însuși descoperă un hack.

    Cea mai ușoară modalitate este de a restaura site-ul dintr-o copie de rezervă neinfectată. Cu toate acestea, este potrivit numai dacă nu s-au făcut modificări site-ului de mult timp.

    Pe un site actualizat regulat, căutarea va trebui făcută manual. Și faceți acest lucru prin SSH. Sarcina va fi extrem de simplă. Trebuie să aflați ce fișiere s-au schimbat recent. De exemplu, într-o săptămână. Pentru sistem de operare Comanda Debian ar arăta astfel:

    găsiți /directorul unde se efectuează căutarea/ -type f -mtime -7

    Conform acestei comenzi, sistemul va afișa acele fișiere care s-au modificat în ultimele 7 zile. Acordăm atenție fișierelor cu extensia PHP.

    Ei sunt cei care reprezintă amenințarea. În același timp, ar trebui să înțelegeți că unele dintre fișierele afișate ar putea să nu fie infectate și să aparțină Joomla în sine. Prin urmare, ar trebui să aveți la îndemână distribuția originală a versiunii în care funcționează acest moment.

    În captură de ecran vedem două fișiere. Primul este cel mai probabil un virus. Al doilea este fișier de sistem Joomla.

    De unde astfel de concluzii?

    Faptul este că, în principiu, în directorul /components/com_weblinks/views/category/ nu ar trebui să fie prezent niciun fișier start.php.

    Și fișierul error.php din directorul /logs/ face parte din CMS. Cu toate acestea, dacă este șters în mod specific, nu se va întâmpla nimic critic, deoarece servește ca stocare pentru jurnalele Joomla.

    Pasul 2. Protejați site-ul de hacking

    Să presupunem că ați eliminat cu succes toate scripturile rău intenționate. Suport tehnic pentru găzduire și antivirus au raportat: „da, totul este curat”. Ce trebuie făcut pentru a preveni acest lucru?

    Actualizarea Joomla și extensiile la cea mai recentă versiune

    Dacă site-ul tău rulează pe versiunea Joomla până la 3.X, există un alt motiv să te gândești la actualizare. În ultimul timp, mulți furnizori de găzduire au insistat asupra acestui lucru.

    Acest lucru nu va rezolva problema de securitate 100 la sută, dar în viitor veți avea ocazia să actualizați rapid sistemul și să instalați corecții de securitate cu un clic pe un singur buton, care au fost lansate recent aproape în fiecare săptămână.

    Vreau să acord o atenție deosebită extensii instalate pe site-ul dvs. Fiecare componentă, plugin, modul trebuie, de asemenea, actualizat la cea mai recentă versiune. Efectuați un audit în panoul administrativ al site-ului dvs.

    Sunt folosite toate extensiile?

    Datorită calificărilor scăzute, webmasterii moderni rezolvă orice problemă instalând un plugin sau un modul, deși este suficient să adăugați câteva rânduri la codul șablonului site-ului web. Sau modificați CSS-ul.

    Cu cât sunt mai puține extensii suplimentare pe site-ul dvs., cu atât este mai puțin probabil să fie piratat!

    Componenta RSFirewall

    Indiferent de conținut, un site web care rulează Joomla CMS este susceptibil la atacuri în fiecare zi. Hackerii care ghicesc parola pentru panoul administrativ și încearcă să introducă cod rău intenționat apar cu o regularitate alarmantă. Este imposibil să reziste singur atacurilor și intruziunilor.

    Aș dori să vă atrag atenția asupra unei componente care rezolvă un număr foarte mare de probleme legate de securitatea site-ului. Numele său este „RSFirewall”.

    Să luăm în considerare pe scurt principalele capabilități, funcții și sarcini rezolvate de RSFirewall:

    Verificarea sistemului pentru vulnerabilități. Sunt analizate baza de date, fișierele și mediul în care funcționează site-ul

    Comparația fișierelor de pe sistemul dvs. cu distribuția originală Joomla. Acest lucru simplifică foarte mult căutarea fișierelor infectate.

    Analiza drepturilor asupra directoarelor și fișierelor.

    Căutați fișiere cu cod rău intenționat. După ce lista este afișată, va trebui să analizați manual fiecare fișier, deoarece unele dintre ele se pot dovedi a fi un cod de lucru destul de normal pentru extensiile Joomla

    Înregistrarea încercărilor de conectare la panoul de administrare Joomla și abilitatea de a bloca utilizatorii care au introdus login și parola greșite de un anumit număr de ori

    Înregistrarea oricăror vizite pe site și capacitatea de a bloca adrese IP de la care a fost făcută o încercare de hacking

    Interzicerea accesului la site din țările specificate.

    Componenta este plătită. Versiunea actuală este disponibilă exclusiv pentru versiunile Joomla 3.X

    La momentul scrierii acestui articol este distribuit în trei versiuni. Mai jos este un tabel care arată costul, condițiile de abonament și un link către pagina unde acest abonament cumparat.

    Vom explora RSFirewall folosind localizarea „implicit”. Adică limba interfeței va rămâne engleza.

    Instalarea componentei este standard, realizată prin managerul de extensie. După ce componenta este instalată, accesați „Componente - RSFirewall - Verificare sistem”


    Se va deschide o pagină în care ni se va cere să verificăm configurația Joomla și a serverului pentru rezistența la hacking. Se vor căuta și următoarele:

    Fișierele Joomla care au fost modificate și diferă de omologii lor de distribuția originală

    fișiere rău intenționate

    drepturile asupra directoarelor și fișierelor vor fi verificate

    Pentru ca verificarea să înceapă, faceți clic pe butonul „Efectuați verificarea sistemului”.


    Să luăm în considerare rezultatul analizei.

    În partea de sus puteți vedea numărul de puncte sau procente pe care componenta le atribuie după verificarea site-ului. O valoare de „100” este cel mai mare scor. În acest moment, site-ul testat are doar 84 de puncte. Să ne dăm seama de ce.


    Să privim lista în detaliu, fără a exclude textul evidențiat în verde.

    Secțiunea de configurare Joomla

    Verificați dacă aveți cel mai recent Joomla! Versiune — Verificați: este versiunea instalată Joomla este cel mai recent. După cum puteți vedea, totul este în regulă cu asta. La momentul scrierii acestui articol, versiunea Joomla era 3.4.8

    Verificați dacă aveți cel mai recent RSFirewall! Versiune - Verificare: versiunea instalată a componentei RSFirewall este cea mai recentă. Acest caracteristică importantă securitatea sistemului dvs., deoarece de la versiune la versiune componenta nu numai că dobândește o bază de date de scripturi rău intenționate, dar își schimbă constant funcționalitatea în funcție de vulnerabilitățile descoperite în Joomla.

    Verificarea dacă aveți o parolă slabă a bazei de date - În acest caz, componenta verifică rezistența la hacking a parolei bazei de date.

    Se verifică dacă utilizatorul „admin” implicit este activ. - Din motive de securitate, autentificarea administratorului super site-ului ar trebui să fie diferită de „admin” utilizat pe scară largă. Dacă componenta găsește un utilizator cu această autentificare în baza de date, va apărea un avertisment.

    Verificarea dacă ați setat parola FTP - În etapa instalării Joomla sau editarea setărilor acestuia, este permis eroare fatala. Acces prin protocol FTP indicat în Fișier de configurare Joomla. Există și o opțiune la fel de tragică. Când salvați setările generale Joomla, datele de conectare și parola pentru panoul administrativ sunt înregistrate în câmpul de acces FTP. Prin urmare, ne asigurăm că parametrii corespunzători din fișierul configuration.php sunt goli.


    Verificarea dacă aveți URL-uri prietenoase pentru motoarele de căutare activate - Verificarea: este inclusă în setari generale Suport URL Joomla SEF.

    Verificarea integrității configurației.php — Verificarea corectitudinii și integrității fișierului configuration.php.

    Verificarea dacă utilizatorii administratori au parole slabe - Verificarea tuturor parolelor super-administratorilor site-ului dvs. pentru rezistența la spargere

    Verificarea duratei de viață a sesiunii - Verificarea duratei de viață a sesiunii, care este setată în setările generale Joomla. Dacă depășește 15 minute, va apărea un avertisment.

    Verificați dacă au mai rămas fișiere în Joomla! folder temporar - În acest caz, se verifică dacă fișierele se află în directorul temporar Joomla. În mod implicit, acest director este folderul „tmp”. Trebuie să păstrați acest director curat, deoarece după instalarea extensiilor sau actualizarea Joomla, pot exista arhive și scripturi inutile acolo.

    Verificarea .htaccess - Verificarea existenței fișierului .htaccess. După instalarea Joomla, fișierul htaccess.txt este creat implicit în rădăcina site-ului. Sarcina ta este să-l redenumiți în .htaccess. Exact așa cum este scris, cu punct la început și fără .txt la sfârșit

    Se verifică dacă Joomla! folderul temporar este accesibil public - Verifică dacă directorul pentru fișierele temporare Joomla este accesibil acces deschis. Ce se înțelege prin asta? Mai simplu spus, este posibil să tastați un link precum www.yoursite.com/tmp în bara de adrese a browserului dvs.?

    Nu toată lumea știe că este posibil să plasați un director temporar, astfel încât doar scripturile Joomla să îl poată accesa. Este suficient să creați un folder cu un nume arbitrar la un nivel mai mare decât directorul în care se află site-ul și să scrieți calea către acest folder în fișierul configuration.php

    Verificarea handlerului de sesiune - Verificarea tipului de handler de sesiune. Ni se recomandă să setăm valoarea la „Nu”. Acest lucru se poate face în setările generale ale Joomla

    Secțiunea de configurare a serverului

    Să trecem la următoarea secțiune, unde a fost analizată configurația serverului.

    Vedem că configurația directive PHP din punctul de vedere al componentei nu sunt configurate corect.

    Nu este nevoie să înțelegem care directivă este responsabilă pentru ce. Cu toate acestea, mai întâi trebuie să rezolvați problema cu directorul temporar Joomla, despre care am scris mai sus.

    Copiați-l în HDD computerul dvs. și ștergeți-l de la rădăcina site-ului, deoarece este doar în scop informativ și vă spune sensul directivelor PHP pe care ar trebui să le introduceți în php.ini.

    Cum să îl găsiți pe server și dacă accesul este permis acolo ar trebui verificat cu furnizorul dvs. de găzduire. Adesea, directivele PHP sunt modificate prin modificarea setărilor panoului de găzduire. Prin urmare, aici nu există o rețetă universală.

    Secțiunea Rezultate scanare

    Iată rezultatele scanării sistemului dvs. Vă sugerez să studiați rezultatele lor.


    Scanarea integrității Joomla! (CMS) fișiere - în aceasta sectiune rezultatul scanării fișierelor CMS Joomla va fi afișat și comparat cu distribuția originală pentru integritate și posibile modificări ale fișierelor. Nu numai scripturile vor fi comparate, ci și fișierele imagine și CSS. Ei bine, asta-i tot.

    Scanarea folderelor - scanați prin FTP pentru a le vizita pe fiecare și asigurați-vă că sunt curate de scripturi rău intenționate

    Scanarea fișierelor dvs. - în acest caz vorbim despre drepturile la fișiere. Acțiunile ar trebui să fie aceleași ca în cazul directoarelor

    Scanarea fișierelor pentru malware obișnuit - scanarea pentru prezența codului rău intenționat. După cum puteți vedea, RSFirewall a găsit un fișier și când l-a analizat editor de text, sa constatat că este cu adevărat rău intenționat și a fost eliminat de pe server de mine.

    Să rezumam

    Din păcate, nu este posibil să acoperiți toate capabilitățile și setările componentei RSFirewall într-un singur material. În articolul următor vom studia configurația componentelor.

    Dacă nu sunteți pregătit să rezolvați singur problema hacking-ului site-ului, scrieți prin secțiunea „Contacte” sau în chatul din colțul din dreapta jos al ecranului.

    Tratarea site-ului se efectuează contra cost.

    Costul actual al lucrării este indicat pe pagina: „Tratamentul site-urilor web (CMS Joomla) împotriva virușilor”

    Cu stima, Vladimir Egorov

    Această postare a fost generată de întrebările mai multor proprietari de site-uri despre cum să eliminați codul rău intenționat de pe site-ul lor. Mai jos voi încerca să descriu succesiunea pași simpli, care nu necesită cunoștințe speciale și va fi util în primul rând începătorilor în administrarea resurselor Internet.

    De unde știi dacă un site web a devenit victima unui atac în timpul căruia a fost lovit de cod rău intenționat? Primul și cel mai simplu lucru este că site-ul a încetat să funcționeze sau nu arată așa cum ar trebui să arate o resursă „sănătoasă”. Acest lucru se poate manifesta prin apariția unui conținut nedorit sau prin dispariția conținutului dvs., paginile nu se încarcă sau nu se încarcă cu erori. În plus, dacă site-ul dvs. este adăugat la Yandex sau Google webmaster, este posibil să primiți o notificare de la aceste sisteme despre cod rău intenționat. În unele cazuri, puteți afla despre vulnerabilitate din browser (captură de ecran din Google Chrome).

    În astfel de cazuri, este extrem de nedorit să încercați să deschideți pagina în continuare.

    Căutăm cod rău intenționat pe site

    Nu vom înțelege motivele persoanei care a instalat cod rău intenționat pe site-ul dvs., cu atât mai puțin să îl căutăm. Scopul nostru principal este să găsim codul „prost” și să îl eliminam. În primul rând, trebuie să scanați resursa pentru a detecta toate paginile „infectate”. Acest lucru vă permite să restrângeți căutarea. De exemplu, codul rău intenționat ar putea fi plasat sub forma unui script Javascript pe unele pagină separată, să zicem, în conținutul unei postări sau a unui comentariu despre aceasta. În acest caz, problema poate fi rezolvată prin intermediul administratorului site-ului prin eliminarea unui astfel de cod din conținut/comentar. În caz contrar, trebuie să-l cauți în codul sursă al resursei tale.

    Pentru a scana un site pentru vulnerabilități, puteți utiliza https://sitecheck.sucuri.net Ca rezultat, puteți vedea următoarele:

    După cum puteți vedea din captură de ecran, scriptul „rău” a fost găsit pe mai multe pagini ale site-ului, așa că va trebui să îl căutați în codul sursă.

    Obțineți acces la cod sursa site în mai multe moduri:

  • Cea mai ușoară cale este prin intermediul panoului de administrare a site-ului. În Wordpress, de exemplu, „ Aspect" -> "Editor". Această metodă nu este complet convenabilă din cauza lipsei de căutare a conținutului fișierelor, așa că trebuie să le căutați cu mare atenție pe toate separat și să căutați un script „prost”.
  • Multe bloguri, resurse corporative și magazine online sunt situate pe servere care pot fi accesate prin panoul de control al găzduirii. Adesea, acest panou este cPanel. Pentru a obține acces, trebuie să vă cunoașteți login-ul și parola. Acestea sunt de obicei trimise la achiziționarea de găzduire către persoana care efectuează tranzacția. După conectarea la panoul de control, puteți vizualiza absolut toate fișierele sursă prin „Manager de fișiere” și puteți încerca să le găsiți pe cele care conțin scriptul rău intenționat detectat.
  • Cea mai convenabilă modalitate este printr-un client FTP. Dacă „comunicați” cu resursa dumneavoastră folosind un client FTP, puteți efectua cu ușurință o căutare prin conținutul fișierelor sursă.

    • Nu încercați să găsiți cod rău intenționat în fișiere sursă Site-ul dvs., înlocuindu-l complet în căutare. Selectați partea sa unică, cum ar fi googleleadservices.cn în cazul nostru și repetați căutarea de mai multe ori.

    Eliminarea codului rău intenționat

    Odată ce este detectat codul rău intenționat, acesta trebuie pur și simplu eliminat. În cazul nostru, site-ul rula Joomla, iar scriptul „prost” a fost inserat în index.php în directorul rădăcină. De aceea vulnerabilitatea a fost descoperită pe mai multe pagini deodată, deoarece acest index.php este folosit la construirea tuturor paginilor resursei.

    Imediat după eliminarea codului rău intenționat, recomand schimbarea parolelor tuturor utilizatorilor din panoul de control al site-ului și, de asemenea, încercarea de a găsi experiențele altor administratori care au întâmpinat această problemă. Poate fi necesar să luați unele măsuri suplimentare.

    Prevenirea

    Prevenirea este întotdeauna mai bună decât vindecarea, așa că recomand:

  • Folosiți parole „bune” pentru toți utilizatorii site-ului (lungi, cu cifre, litere mari și mici).
  • Luați în serios și filtrați conținutul care nu este generat pe site de dvs. (postări ale invitaților, comentarii).
  • Nu așteptați notificări, ci scanați periodic site-ul pentru vulnerabilități.
  • Actualizați în timp util sistemul de management al conținutului (Wordpress, Joomla, Drupal, ...).

    • Vă rugăm să lăsați orice întrebări sau comentarii în comentarii.