1. дома
  2. Вопрос и ответ
  3. Joomla! 2.5.4 Взломанный: возникли проблемы с диагнозом

Joomla! 2.5.4 Взломанный: возникли проблемы с диагнозом

2012-06-14 1 views
5

Мой сайт Joomla 2.5.4 был взломан прошлой ночью. Более того, форум Joomla в настоящее время недоступен, и я даже не могу запустить диагностическую утилиту Joomla. (fpa-en.php)Joomla! 2.5.4 Взломанный: возникли проблемы с диагнозом

Я следовал инструкциям Joomla для диагностики без каких-либо успехов. (См. Ниже). Я также отправил по электронной почте свой веб-хост (я на общем сервере, но я использую хост, рекомендованный Joomla, который является специалистом на сайтах Joomla). Итак, мой вопрос: что мне делать дальше?

Вот информация, которую я имею до сих пор.

Использование Joomla 2.54 (последняя версия). Все расширения были обновлены до последней версии, и ни один из них не включен в список уязвимых расширений Joomla.

Пароли других администраторов были изменены, но не мои, к счастью.

Таблица User_notes удалена, что делает Менеджера пользователей в разделе администратора бесполезным.

По бревнам атака попала следующие файлы в этой последовательности:

  1. /administrator/index.php
  2. /index.php (Root)
  3. /плагины/аутентификации/Joomla/Joomla .php
  4. /plugins/user/joomla/joomla.php

, а затем изменения в таблицах пользователей и user_notes.

Там нет старья в любом index.php

Attack внутрибрюшинно был 199.15.234.216, который с сервером Fort Worth из supremetelecom.com

К счастью, у меня есть резервные копии и не было порчи, но пока я не могу получить fpa-en.php для работы и доступа к форумам Joomla, я не уверен, что делать с d0, кроме изменения всех паролей и блокировки ip.

Заранее благодарим за любую помощь!

источник

2012-06-14 user1456634

+0

эксплуатация с нулевым днем? –

+0

Вероятно, SQL-инъекция – SomeKittens

+0

По fpa-en.php вы имеете в виду «Помощник по форуму»? (Обратите внимание, что это не продукт Joomla!). – Craig

ответ

12

Во-первых, сбросьте пароли всех администраторов, включая ваши, затем измените их и убедитесь, что они содержат буквы и цифры. Затем измените пароль для панели управления хостом, используя генератор паролей, если они предоставят один. Если нет, используйте генератор паролей онлайн. После этого измените пароль для имени своей базы данных и не забудьте также обновить файл config.php с новым паролем.

Во-вторых, скачайте и установите Admin Tools, что добавит вам дополнительную безопасность на ваш сайт в будущем. Инструменты администратора также поставляются с кнопкой «Автономная автономная», которая полезна.

Затем скачайте и установите Saxum IP Logger, который будет отслеживать всех зарегистрированных пользователей, предоставляя вам свой IP-адрес, страну и т. Д., А также вы можете блокировать IP-адреса, используя плагин, который поставляется вместе с ним.

Далее перейдите на панель управления хостом и посмотрите журналы, чтобы узнать, какие IP-адреса вошли в ваш сайт и во время доступа к файлам. IP-адрес, который соответствует редактируемым файлам, затем можно заблокировать с помощью упомянутого выше плагина. Joomla 2.5 очень сложно взломать, поэтому вполне вероятно, что у вас есть расширение, которое плохо развито и позволяет SQL-инъекцию. Поэтому вы всегда должны выбирать популярные расширения для установки на свой сайт, когда они связаны с базой данных.

Надеюсь, это поможет вам в будущем. С уважением

EDIT: вы также можете защитить паролем свои папки на FTP для дополнительной безопасности.

Вы также можете найти this extension весьма полезным

источник

2012-06-14 16:42:32 Lodder

+0

Привет всем - Во-первых, я надеюсь, что это не нулевой день. Во-вторых, извините, я имею в виду помощника форума. Lodder и Riley, очень полезные комментарии. Я внес изменения: новые пароли, восстановленные файлы и базу данных из здорового резервного копирования, заблокировали злоумышленников ip и использую Admin Tools Emergency Offline. Я запутался, потому что расширения, которые я использую, я думаю, имеют хорошую репутацию: Admin Tools, Akeeba Backup, RSFirewall и YKhoon Account Lock (Brute Force Prevention). Ни один из них не включен в список уязвимых расширений. Увы, мне интересно, был ли вирус на одном из моих компьютеров-админов? – user1456634

+0

Еще одна вещь ... файл конфигурации, а также папка temp и logs уже находятся под корнем. – user1456634

+1

вирус с компьютера, который был загружен, не был бы запрограммирован на описанную вами атаку.Скорее всего, это SQL-инъекция. – Lodder

-2

Перенесите вашу страницу администратора путем редактирования файлов config.php .. и редактировать настройки доступа по FTP. Если ваш адрес входа в администрацию был стандартным. (www.site.com/administrator) измените это местоположение и заблокируйте доступ с помощью панели управления хостингом только к определенному IP-адресу (и даже ограничьте доступ к часам доступности. Сколько у вас учетных записей администратора. один человек с супер-доступом пользователя. На самом деле непродуктивно или безопасно иметь других пользователей, которые выполняют незначительные изменения на веб-сайте с правами администратора, и они могут случайно вызвать проблемы. Это основные шаги, и вы можете сделать гораздо больше. Отправьте электронное письмо, если вам нужна помощь/пошаговые инструкции. Надеюсь, все пойдет хорошо.

источник

2012-06-14 17:34:09

+0

вы не можете просто изменить имя папки с «администратора» на что-то другое. Это вызовет проблему при установке расширений. – Lodder

+0

также, если вы ссылаетесь на настройки chmod при упоминании настроек FTP, я предполагаю, что вы имеете в виду изменение папок с 755 и файлов с 644 на что-то меньшее, но это также предотвратит правильную установку расширений, если не на всех – Lodder

+0

Hi-I недоверие к FTP; просто используйте cPanel. Разрешения были установлены на уровне 755 и 644. Argg. – user1456634

1

После того, как вы оправились от этого, убедитесь, что вы поместили пароль в каталог/administrator с .htaccess, предполагая, что это сервер на базе Linux .

источник

2012-10-02 15:20:08 Edward

0

Пара шагов, которые помогут вам определить точку доступа. Также зависит от того, имеете ли вы доступ к некоторым инструментам на стороне сервера.

  1. Обратитесь к хозяину и спросите их, если они запустили Mod_Sec, если спросить их об этом флаг Mod_sec для этого IP-адреса.
  2. Спросите хост, запускают ли они какие-либо инструменты maldet - если это так, попросите проверить свою учетную запись.
  3. Если у вас есть доступ к оболочке, запустите проверку последних изменений файлов ... Сторона из файлов tmp и кеша.

Крепление хак 1. Изменить все ваши пароли - 2. Install project honey pot. 3. Администратор инструменты установить это хорошо, но вам нужно про версию, чтобы действительно получить доступ к средствам безопасности. 4. Перейдите на хост, который специализируется на платформах Joomla, в большинстве случаев у них уже есть учетные записи, настроенные для общих проблем безопасности в Joomla.

Получение взлома действительно отстой ... Удачи!

источник

2014-12-24 05:11:51 Cloakendagger

 Смежные вопросы

  • Нет связанных вопросов^_^