จะทำอย่างไรถ้าเว็บไซต์ Joomla ของฉันถูกแฮ็ก

ฉันมีเว็บไซต์ Joomla 2.5 เมื่อวานนี้ฉันไม่สามารถลงชื่อเข้าใช้แผงผู้ดูแลระบบได้ ฉันเช็คเอาต์ตารางผู้ใช้ ฉันช็อคเมื่อฉันเห็นว่าฟิลด์ชื่อผู้ใช้ของผู้ใช้ทั้งหมดเป็น ' ผู้ดูแลระบบ ' และรหัสผ่านคือ ' 268e27056a3e52cf3755d193cbeb0594 ' โดยทั่วไปฉันจะไม่ใช้ส่วนขยายของบุคคลที่สามที่ไม่น่าเชื่อถือ / ไม่น่าเชื่อถือ

มีใครที่พบปัญหาเดียวกันนี้หรือไม่ ถ้าใช่คุณช่วยบอกฉันได้ว่าอะไรคือสาเหตุและวิธีแก้ปัญหาคืออะไร?

สิ่งที่ฉันแนะนำให้คุณทำทันทีคือ:

1. สร้างการติดตั้ง Joomla ใหม่บนโดเมนย่อยหรือโฮสต์ท้องถิ่น
2. สร้างบัญชีผู้ใช้ขั้นสูงด้วยรหัสผ่านที่คาดเดายาก
3. คัดลอกแฮรหัสผ่านจาก#__usersตารางจากบัญชีที่คุณสร้างขึ้นใหม่และแทนที่อันเก่า

ฉันไม่แน่ใจว่าแฮชและชื่อผู้ใช้มีการเปลี่ยนแปลงอย่างไร แต่อาจเป็นเพราะสาเหตุบางประการ ตรวจสอบให้แน่ใจเสมอว่าคุณกำลังใช้งาน Joomla รุ่นล่าสุดและส่วนขยายเวอร์ชันล่าสุด มีส่วนขยายค่อนข้างน้อยที่ทำให้ไซต์มีความเสี่ยงต่อการแทรก SQL ฉันไม่สามารถเน้นความสำคัญของการรักษาสิ่งต่าง ๆ ให้ทันสมัยอยู่เสมอ

คุณอาจต้องการเริ่มพิจารณาโยกย้ายไปยัง Joomla 3.3 โดยเร็วที่สุดเนื่องจากเวอร์ชันนี้มีวิธีการเข้ารหัสรหัสผ่านที่ปลอดภัยที่สุด (bcrypt)

และตามที่ @Brian ได้กล่าวไว้ขอแนะนำให้อัปเดตรหัสผ่านฐานข้อมูลของคุณเป็นสิ่งที่ดีกว่า สิ่งที่ดีอีกข้อที่ควรคำนึงถึงคือการเปลี่ยนคำนำหน้าตารางฐานข้อมูลของคุณ ไซต์ Joomla จำนวนมากใช้jos_ซึ่งคุณสามารถเปลี่ยนเป็นสิ่งที่แปลกใหม่กว่าเดิมโดยใช้ส่วนขยายเช่นเครื่องมือผู้ดูแลระบบซึ่งถูกกล่าวถึงในคำตอบอื่น ๆ

เพื่อให้เว็บไซต์ของคุณปลอดภัยเสมอคุณต้องมีนโยบายความปลอดภัยที่เข้มงวด:

1. อัปเดต Joomla เป็นเวอร์ชันล่าสุด
2. ใช้เฉพาะธีมจากนักพัฒนาที่มีชื่อเสียง (ไม่มีข้อยกเว้น) และอัปเดตเป็นเวอร์ชันล่าสุด
3. ใช้เฉพาะส่วนขยายจากนักพัฒนาที่รู้จักกันดี (ไม่มีข้อยกเว้น) และอัปเดตเป็นเวอร์ชันล่าสุด
4. ปรับใช้ส่วนขยายความปลอดภัยสำหรับ Joomla Hardening (ต้องเป็นผู้ดูแลระบบของ Akeeba และฟรี)

กรุณาตรวจสอบรายการตรวจสอบความปลอดภัยนี้:

รายการตรวจสอบความปลอดภัย / คุณถูกแฮ็กหรือลบล้าง http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

เส้นทางที่ปลอดภัยสำหรับการบรรเทาภัยพิบัติ

บันทึกไฟล์ configuration.php และรูปภาพและไฟล์ส่วนบุคคลของคุณทีละไฟล์ (ไม่ใช่โฟลเดอร์เนื่องจากอาจมีไฟล์ที่ไม่ต้องการ) b ล้างทั้งโฟลเดอร์ที่ Joomla! มีการติดตั้ง c. อัปโหลดแพคเกจใหม่เต็มรูปแบบใหม่ทั้งหมดสะอาดรุ่นล่าสุดของ joomla 1.5.x หรือ Joomla 2.5.x, joomla 3.x (ลบด้วยโฟลเดอร์การติดตั้ง) d. อัปโหลดไฟล์และรูปภาพการกำหนดค่าของคุณอีกครั้ง อี อัปโหลดใหม่หรือติดตั้งส่วนขยายรุ่นล่าสุดของคุณอีกครั้งเทมเพลต (ดียิ่งขึ้นคือการใช้สำเนาที่สะอาดดั้งเดิมเพื่อให้แน่ใจว่าแฮ็กเกอร์ / defacer ไม่ได้ทิ้งไฟล์เชลล์สคริปต์ไว้ในเว็บไซต์ของคุณ) ในการดำเนินการนี้จะทำให้ไซต์ของคุณอยู่ในสถานะออนไลน์ประมาณ 15 นาที หากต้องการติดตาม html ที่ถูกแฮ็ก / ที่ถูกแฮ็กอาจใช้เวลาเป็นชั่วโมงหรือนานกว่านั้น

สิ่งนี้อาจเป็นสิ่งที่น่าหงุดหงิดมากบางครั้งเว็บไซต์ไม่สามารถอัปเดตได้ด้วยเหตุผลหลายประการ แต่เพื่อความช่วยเหลือที่ดีที่สุดโปรดรวมเวอร์ชันเต็มเช่น 2.5.9 หรือบางอย่าง หากคุณลบส่วนขยายออกไปแล้วอาจเป็นไปได้ว่ารุ่นเก่ากว่าของ Joomla อาจเป็นเหตุผล

เราเคยเห็นบางสิ่งที่คล้ายกันในเว็บไซต์ของเรามาก่อนหรือไม่บนเซิร์ฟเวอร์ที่ใช้ร่วมกัน สิ่งนี้สามารถเกิดขึ้นได้แม้ในไซต์ที่สะอาดบนเซิร์ฟเวอร์ที่ใช้ร่วมกันหากมีบัญชีหนึ่งบัญชีบนเซิร์ฟเวอร์ที่ใช้ร่วมกันถูกโจมตีก็อาจทำให้เซิร์ฟเวอร์ทั้งหมดเสียหายได้ มีไม่มากที่คุณสามารถทำได้เกี่ยวกับเรื่องนี้อย่างใดอย่างหนึ่งไม่มีอะไรที่ Joomla สามารถป้องกันการถูกเอารัดเอาเปรียบและเหตุผลหนึ่งที่ทำให้โฮสต์ที่ใช้ร่วมกันอาจมีปัญหาได้ แม้ว่าสิ่งนี้จะขึ้นอยู่กับโฮสต์ แต่อย่างพื้นที่เว็บไซต์หรือ hostgator นั้นค่อนข้างดีในการรักษาโครงสร้างพื้นฐานที่สมบูรณ์

ดังนั้นฉันขอแนะนำให้ทำการสแกนมัลแวร์เพื่อดูว่ามีอะไรบ้างที่เป็นไปได้มากที่สุดถ้าพวกเขาถูกโจมตีฐานข้อมูลของคุณเช่นนั้นพวกเขาจะฉีดไฟล์จำนวนมาก เป็นการดีที่สุดที่จะเรียกคืนจากการสำรองข้อมูลในกรณีนี้และอัปเดตแล้วสแกนมัลแวร์

ดูที่เครื่องมือผู้ดูแลระบบโดย akeeba แต่ก็มีเครื่องมือที่มีประโยชน์เพื่อรักษาความปลอดภัยเว็บไซต์ของคุณ

ดูเหมือนว่าเว็บไซต์ของคุณถูกแฮ็ค

เหตุผลสำหรับเว็บไซต์ Joomla ที่ถูกแฮ็ก

เหตุผลบางประการที่แฮ็กเกอร์สามารถเข้าถึงเว็บไซต์ของคุณ ได้แก่ :

1. ส่วนขยายของบุคคลที่สามที่มีช่องโหว่
2. ช่องโหว่ Joomla
3. บัญชีอื่นที่มีช่องโหว่ในเซิร์ฟเวอร์ที่ใช้ร่วมกันเดียวกัน
4. กำหนดค่า / ดูแลรักษาเซิร์ฟเวอร์ / โฮสต์สภาพแวดล้อมไม่ดี
5. คอมพิวเตอร์ที่ถูกบุกรุกซึ่งมีข้อมูลประจำตัวของเว็บไซต์ถูกเก็บไว้
6. รหัสผ่านที่อ่อนแอจะถอดรหัสผ่านการโจมตีด้วยกำลังดุร้าย

การใช้ส่วนขยายของบุคคลที่สามที่ได้รับการสนับสนุนน้อยที่สุดจากนักพัฒนาที่มีชื่อเสียงนั้นเป็นแนวปฏิบัติที่ดี แต่โปรดจำไว้ว่าคุณต้องปรับปรุง Joomla และส่วนขยายของบุคคลที่สามให้ทันสมัยอยู่เสมอเพื่อให้ช่องโหว่นั้นได้รับการแก้ไข

โซลูชั่นสำหรับเว็บไซต์ Joomla ที่ถูกแฮ็ก

1. คืนค่าจากการสำรองข้อมูลแบบใหม่ทั้งหมด อัปเดต Joomla และส่วนขยายของบุคคลที่สามทั้งหมดเป็นเวอร์ชันล่าสุด นี่เป็นวิธีแก้ปัญหาที่ดีถ้าคุณรู้ว่าเว็บไซต์ถูกบุกรุก แต่เวลานั้นยากที่จะตัดสินด้วยความมั่นใจ

2. เช็ดเว็บไซต์และสร้างใหม่ตั้งแต่ต้นโดยใช้รุ่นล่าสุดของ Joomla และส่วนขยายของบุคคลที่สาม นี่ไม่ใช่วิธีการแก้ปัญหาที่ใช้งานได้จริงเนื่องจากมีงานที่เกี่ยวข้อง แต่สามารถให้ความมั่นใจในระดับสูงว่าการติดเชื้อจะกำจัดให้หมดไป

3. ทำความสะอาดเว็บไซต์โดยใช้เครื่องมือรักษาความปลอดภัยhttps://mysites.guru (เดิมคือ myjoomla.com) หรือที่คล้ายกันทำการกู้คืนไฟล์คอร์ที่ถูกเปลี่ยนกลับไปเป็นไฟล์ต้นฉบับลบมัลแวร์และติดตั้งส่วนขยายของบุคคลที่สามตามต้องการ อัปเดต Joomla และส่วนขยายของบุคคลที่สามทั้งหมดเป็นเวอร์ชันล่าสุด

คุณควรปรับปรุง Joomla, โฮสติ้งและรหัสผ่านฐานข้อมูล

ในทางปฏิบัติตัวเลือกที่ 3 มักใช้งานได้ดีสำหรับฉัน

พิจารณาปรับปรุงความปลอดภัยของเว็บไซต์ตามรายการตรวจสอบความปลอดภัยอย่างเป็นทางการและ"วิธีติดตั้ง Joomla ใหม่อย่างปลอดภัยหรือไม่"

วันนี้ฉันพบปัญหาเดียวกันอีกครั้ง ไม่ใช่ joomla หรือส่วนขยาย เป็นเพราะฉันได้ตั้งค่าไฟล์และไดเรกทอรีทั้งหมด 'CHMOD เป็น 775 ฉันได้ทำมันเพื่อปรับปรุง joomla ให้ง่ายขึ้น

หลังจากอ่านhttp://www.itoctopus.com/the-mass-username-password-update-hack-in-joomlaฉันได้ดูวันที่เปลี่ยนไดเรกทอรีและตรวจสอบคนที่มีค่าแตกต่างกัน

ฉันใช้ WinSCP สำหรับการเข้าถึง FTP ฉันเห็นไฟล์. php 5 ไฟล์พร้อมไอคอนทางลัดซึ่งฉันไม่สามารถเปิดดูเนื้อหาได้

1. settings.php
2. e107_config.php
3. config.php
4. conf_global.php
5. WP-config.php

และยังรวมถึงไดเรกทอรี

1. config.php
2. configure.php

ฉันได้ลบพวกเขาและคืนค่าเว็บไซต์จากการสำรองข้อมูล และฉันสัญญาว่าฉันจะไม่ให้สิทธิ์การเขียนสำหรับกลุ่มข้อมูล www ยกเว้นไดเร็กตอรี่รูปภาพ