1. Dom
  2. Pytanie i odpowiedź
  3. Joomla! 2.5.4 Hacked: problemy z diagnozą

Joomla! 2.5.4 Hacked: problemy z diagnozą

2012-06-14 14 views
5

Moja strona Joomla 2.5.4 została wczoraj pęknięta. Co więcej, forum Joomla jest obecnie niedostępne i nie mogę nawet uruchomić narzędzia diagnostycznego Joomla. (fpa-en.php)Joomla! 2.5.4 Hacked: problemy z diagnozą

Podążyłem za instrukcjami Joomla dotyczącymi diagnozy bez powodzenia. (Zobacz poniżej) Wysłałem również e-mail do mojego hosta (jestem na wspólnym serwerze, ale korzystam z hosta zalecanego przez Joomla, który jest specjalistą od stron Joomla). Moje pytanie brzmi: co mam teraz zrobić?

Oto informacje, które dotychczas otrzymałem.

Korzystanie z Joomla 2.54 (najnowsze). Wszystkie rozszerzenia zostały zaktualizowane do najnowszej wersji, a żadne nie znajdują się na liście rozszerzeń narażonych na atak Joomla.

Hasła innych administratorów zostały zmienione, ale nie moje na szczęście.

Usunięto tabelę użytkowników, co powoduje, że Menedżer użytkowników w sekcji administracyjnej jest bezużyteczny.

Według dzienników atak hit następujące pliki w tej kolejności:

  1. /administrator/index.php
  2. /index.php (korzeń)
  3. /plugins/authentication/joomla/joomla .php
  4. /plugins/user/joomla/joomla.php

a następnie zmienia się do użytkowników i user_notes tabelach.

Nie ma śmieci w obu index.php

Atak IP został 199.15.234.216, który jest z serwera Fort Worth w supremetelecom.com

szczęście mam kopie zapasowe i nie było oszpecenie, ale dopóki nie dostanę fpa-en.php do pracy i dostępu do forów Joomla, nie jestem pewien co do d0 innych niż zmiana wszystkich haseł i zablokowanie ip.

Z góry dziękuję za pomoc!

Źródło

2012-06-14 user1456634

+0

exploit zero-day? –

+0

Prawdopodobnie SQL injection – SomeKittens

+0

Przez fpa-en.php masz na myśli "Forum Post Assistant"? (Uwaga: nie jest to produkt Joomla!). – Craig

Odpowiedz

12

Najpierw zresetuj hasła wszystkich administratorów, w tym swoich, a następnie zmień je i upewnij się, że zawierają one litery i cyfry. Następnie zmień hasło dla głównego panelu sterowania za pomocą generatora haseł, jeśli je posiada. Jeśli nie, użyj generatora haseł online. Po wykonaniu tej czynności zmień hasło do nazwy użytkownika bazy danych i nie zapomnij również zaktualizować pliku configuration.php za pomocą nowego hasła.

Po drugie, pobierz i zainstaluj Admin Tools, co zwiększy bezpieczeństwo Twojej witryny w przyszłości. Narzędzia administracyjne są również wyposażone w przycisk Emergency Offline, który jest przydatny.

Następnie pobierz i zainstaluj Saxum IP Logger, który prześle wszystkich zarejestrowanych użytkowników, podając ich adres IP, kraj itd., A także zablokuje adresy IP za pomocą dołączonej wtyczki.

Następnie przejdź do panelu sterowania hosta i przejrzyj dzienniki, aby sprawdzić, które adresy IP zostały wprowadzone na Twojej stronie i podczas dostępu do plików. Adres IP, który odpowiada edytowanym plikom, można następnie zablokować za pomocą wtyczki, o której wspomniałem wcześniej. Joomla 2.5 jest bardzo trudne do zhakowania, więc raczej masz rozbudowane i źle opracowane rozszerzenie SQL. Dlatego powinieneś zawsze wybierać popularne rozszerzenia do zainstalowania na swojej stronie, gdy są one powiązane z bazą danych.

Mam nadzieję, że pomoże to w przyszłości. Pozdrawiam

EDYCJA: Możesz również zabezpieczyć hasłem folderów w FTP dla dodatkowego bezpieczeństwa.

Można również znaleźć this extension całkiem użyteczne

Źródło

2012-06-14 16:42:32 Lodder

+0

Hej Wszystko - Po pierwsze, mam nadzieję, że nie będzie to dzień zero. Po drugie, przykro mi, miałem na myśli Forum Post Assistant. Lodder i Riley, bardzo pomocne komentarze. Wprowadziłem sugerowane zmiany: nowe hasła, przywrócone pliki i bazę danych ze zdrowej kopii zapasowej, zablokowałem ip atakujących i korzystam z narzędzi administracyjnych Emergency Offline. Jestem jednak oszołomiony, ponieważ rozszerzenia, z których korzystam, mają, jak sądzę, dobrą reputację: Narzędzia administracyjne, Kopia zapasowa Akeeba, RSFirewall i Blokada konta YKhoon (Brute Force Prevention). Żadne nie znajdują się na podatnej liście rozszerzeń. Niestety, zastanawiam się, czy na jednym z komputerów moich administratorów był wirus? – user1456634

+0

Jeszcze jedno ... plik konfiguracyjny, a także folder tymczasowy i katalogi były już poniżej katalogu głównego. – user1456634

+1

wirus z komputera, który został przesłany, nie został zaprogramowany do ataku, który opisałeś.Najprawdopodobniej był to zastrzyk SQL. – Lodder

-2

Przeprowadzki swoją stronę administratora poprzez edycję plików config.php .. i edytować ustawienia uprawnień FTP. Jeśli Twój administracyjny adres URL logowania był standardową lokalizacją. (www.site.com/administrator) zmienić tę lokalizację i zablokować dostęp za pomocą hostującego panelu sterowania do tylko niektórych adresów IP (a nawet ograniczyć dostęp do godzin dostępności). jedna osoba z dostępem superużytkownikowym Naprawdę nie jest wydajna ani bezpieczna, aby inni użytkownicy, którzy wprowadzają drobne zmiany na stronie internetowej z uprawnieniami administratora, mogą przypadkowo powodować problemy, są to podstawowe kroki i można zrobić o wiele więcej. Wyślij wiadomość e-mail, jeśli potrzebujesz pomocy/instrukcji krok po kroku.Miej nadzieję, że wszystko idzie dobrze

Źródło

2012-06-14 17:34:09

+0

nie można po prostu zmienić nazwy folderu z "administratora" na coś innego. Spowoduje to problem podczas instalowania rozszerzeń. – Lodder

+0

również, jeśli odnosisz się do ustawień chmod, gdy wspomnisz o ustawieniach FTP, zakładam, że masz na myśli zmianę folderów z 755 i plików z 644 na coś mniejszego, ale to również uniemożliwi prawidłowe zainstalowanie rozszerzeń, jeśli w ogóle nie, – Lodder

+0

Hi - I nie ufać FTP; po prostu użyj cPanel. Uprawnienia zostały ustawione na 755 i 644. Arg. – user1456634

1

Po odzyskaniu tego, upewnij się, że umieszczasz hasło w katalogu/administrator z .htaccess, zakładając, że jest to serwer oparty na systemie Linux

Źródło

2012-10-02 15:20:08 Edward

0

Kilka kroków, które pomogą ci zidentyfikować punkt dostępu. Również zależy, czy masz dostęp do niektórych narzędzi po stronie serwera.

  1. Skontaktuj się z hostem i zapytaj go, czy uruchamia Mod_Sec, jeśli tak, zapytaj go o flagę Mod_sec dla tego adresu IP.
  2. Zapytaj hosta, czy działa jakikolwiek typ narzędzi do usuwania złośliwego oprogramowania - jeśli tak, poproś o zeskanowanie konta.
  3. Jeśli masz dostęp do powłoki, sprawdź, jakie były najnowsze zmiany plików ... Po stronie plików tmp i pamięci podręcznej.

Mocowanie Hack 1. Zmiana wszystkich haseł - 2. Install project honey pot. 3. Narzędzia administratora instalacji jest dobre, ale trzeba wersję Pro naprawdę uzyskać dostęp do narzędzi bezpieczeństwa. 4. Migracja do hosta, który specjalizuje się w platformach Joomla, w większości przypadków mają już konta skonfigurowane dla typowych problemów bezpieczeństwa w Joomla.

Zhakowanie naprawdę jest do bani ... Powodzenia!

Źródło

2014-12-24 05:11:51 Cloakendagger

 Powiązane problemy

  • Brak powiązanych problemów^_^