wtorek, 13 sierpień 2013 18:45

Jak włamali mi się na Joomla!

Oceń ten artykuł
(2 głosów)

Włamanie na stronę Joomla! Przede wszystkim panikować... nie trzeba jak się ma kopie zapasową :)

Z pewnością zauważyłeś, że ataki na Joomla są coraz częstsze. Ataki są zawsze ale nas interesują ataki które kończą się sukcesem czyli nasza witryna pada! Oczywiście to nie tylko ataki na Joomla, ale na WordPressa, Drupala i inne CMS.


Po czym rozpoznać, że strona jest zainfekowana:

 

  • Po wejściu na stronę program antywirusowy wyświetla monit ostrzegający
  • Sprawdzasz pozycję w Google ? Nagle widzisz, że wszystko leci na łeb na szyję i twoja strona na kluczowe frazy się nie wyświetla
  • Wpisujesz adres strony w wyszukiwarce i widzisz dziwne teksty na Twojej stronie albo ostrzeżenie Google, że strona "Mogła paść ofiarą ataku"

Nie każde włamanie da się rozpoznać od razu. Ja bym podzielił włamania na kilka kategorii:

  • Zmiana strony głównej - od razu widzimy, że takie włamanie jest
  • Przekierowania na inne strony np. porno albo hazardowe. Co ciekawe wirusy są coraz ambitniejsze. Ostatnio spotkałem się z takim, że jeżeli wpisałeś adres z "palca" w pasek adresu to nic się nie działo. Natomiast kiedy wpisałeś w wyszukiwarkę i z SERP-ów (czyli wyników wyszukiwań) wybrałeś swoją stronę naglę Cię przekierowywuje na inne strony
  • Ciche włamanie - Twoje konto służy do SPAM-owania. Najczęścej po kilku dniach dziwisz się dlaczego Twoje e-maile nie dochodzą.

Co jest przyczyną włamań

  • Brak aktualizacji Joomla
  • Pozostawienie niezabezpieczonych folderów
  • Brak aktualizacji rozszerzeń (np. dużo włamań jest przez starą wersję JCE)
  • Włamanie na cały serwer - niewiele poradzimy
  • Wirus na naszym komputerze łączy się za pomocą FTP i wgrywa szkodliwe skrypty na serwer.

 

Masz wirusy na stronie? Strona padła? Pomożemy!


Jeśli nie jesteś pewien czy Twoja strona jest zainfekowana spróbuj np. tego narzędzia www.virustotal.com, które przeskanuje Twoją witrynę używając silniki najpopularniejszych programów antywirusowych.

Może zrobię reklamę programowi Bitdefedner ale on najlepiej wykrywa zainfekowane strony ...
Dobra mamy włamanie / wirusa co dalej. Logujemy się na ftp i patrzymy co się stało.


Po datach można łatwo zobaczyć kiedy, ktoś majstrował przy stronie. Jak widać większość plików pochodzi z 2008r a tu kilka plików zostało zmienionych 2013r! Folder TMP też został zmodyfikowany.
Większość wirusów jest ukrytych w plikach typu PHP. Więc przypatrzmy się dwóm plikom.
1.php (uwaga  nazwa pliku na Twoim serwerze może być inna)


Po uruchomieniu skryptu PHP odkoduje tam kod zawarty no i proszę.

i mamy dostęp do całego serwera :) Czyli już wiem jak mi się włamali. Przez ten skrypt mogę wgrywać pliki, kasować, zmieniać, wysyłać maile, sterować kontem.
No ale jak on się znalazł na serwerze? Wystarczy znaleźć lukę w systemie i wgrać ten plik. Później haker ma tylko z górki.
Widać, że plik 1.php został wgrany 2013-06-17 przez którego, ktoś zmienił zawartość pliku index.php 2013-08-06.
W celu sprawdzenia czy na serwerze nie ma innych modyfikacji, proponuje wyszukać wszystkie pliki które były modyfikowane właśnie po tym 2013-06-17
Jak za pewne wiesz plik index.php jest pierwszym plikiem, który się uruchamia na serwerze (zaraz po index.html. w standardowej konfiguracji)


No dobra ale jak się komuś na mój serwer udało wgrać plik 1.php? W statystykach widać, że ktoś skanował całą Joomle ( np. jomscan) aż znalazł dziurę.

Np. w wersji Joomla 1.5.5 mogłeś wpisać adres Twoja_Strona.pl/index.php?option=com_user&view=reset&layout=confirm
w podanym polu wpisać '
A w następnym kroku mogłeś zmienić hasło administratora. Proste? Proste!


Więc masz już świadomość nie aktualizowane  = niebezpieczne
Zazwyczaj wirusy pojawiają się w plikach index.php gdyż one są głównie uruchamiane na serwerze.
Teraz kolejny etap przed nami CZYSZCZENIE. I tu można to zrobić na kilka sposobów


Sposób 1

Bierzemy listę plików zmodyfikowanych, otwieramy je i szukamy kodu, który przypomina wirusa. Dla osób które choć trochę znają się na PHP znalezienie takich modyfikacji nie będzie trudne.


Sposób 2

Jest przydatny kiedy wirusów jest milion i Twoja strona nie ma zbyt dużo zainstalowanych rozszerzeń i porobionych modyfikacji. Kasujemy wszystkie pliki Joomla (ooo tak, ale pamiętaj o zrobieniu kopi wcześniej) oprócz configuration.php (sprawdzamy, czy nie był modyfikowany) wrzucamy wszystkie pliki z nowej aktualnej instalacji Joomla . Ostatnim krokiem będzie skasowanie folderu installation. Strona powinna działać, ale zobaczysz, że coś jest nie tak z szablonem. Wystarczy, że ze starych plików z folderu templates/Twój_Szablon przekopiujesz folder i wrzucisz go z powrotem. Oczywiście tu zostaje zabawa z zainstalowaniem na nowo wszystkich rozszerzeń.
Myśl, długofalowo
Teraz pamiętaj aby zabezpieczyć Joomle przed atakami czyli:

  • Aktualizuj system i wszystkie dodatki
  • Daj odpowiednie prawa plikom i folderom
  • Zmień hasła do FTP. Nie przechowuj ich zapisanych na komputerze
  • Zawsze posiadaj kopię zapasową
  • A jak nie przestrzegasz tych zasad, to jak już się włamią to skorzystaj z naszej oferty odwirusowywania :)


Skorzystaj z naszej oferty administrowania serwisami na Joomla! Już od 100zł miesięcznie.


Czytany 5291 razy Ostatnio zmieniany wtorek, 17 wrzesień 2013 11:46

Wideo Joomla!

Poznaj Joomla! i inne systemy CMS. Naucz się kompleksowo tworzyć strony WWW

Najbliższe szkolenia

Przepraszamy, brak imprez.