Apa yang harus dilakukan jika situs web Joomla saya diretas?

10

Saya memiliki situs web Joomla 2.5. Kemarin saya tidak bisa masuk panel administrator. Saya memeriksa tabel pengguna. Saya terkejut ketika saya melihat bahwa semua bidang nama pengguna pengguna adalah ' admin ' dan kata sandi ' 268e27056a3e52cf3755d193cbeb0594 '. Saya biasanya tidak menggunakan ekstensi pihak ketiga yang tidak terkenal / tidak dapat diandalkan.

Adakah orang di sini yang mengalami masalah yang sama? Jika ya, dapatkah Anda memberi tahu saya apa alasannya dan apa solusinya?

security zkanoca
sumber
7
Anda mungkin ingin memeriksa daftar ekstensi Joomla yang rentan untuk melihat apakah ada ekstensi Anda yang terdaftar.
TryHarder

Jawaban:

8

Apa yang saya sarankan Anda lakukan langsung adalah:

  1. Buat instalasi baru Joomla di subdomain atau localhost,
  2. Buat akun pengguna super dengan kata sandi yang kuat
  3. Salin kata sandi hash dari #__userstabel dari akun Anda yang baru dibuat dan ganti yang lama.

Saya tidak yakin bagaimana hash dan nama pengguna diubah tetapi itu bisa menjadi beberapa alasan. Selalu pastikan Anda menjalankan versi terbaru Joomla dan versi ekstensi terbaru. Ada beberapa ekstensi di luar sana yang membuat situs rentan terhadap suntikan SQL. Saya tidak bisa menekankan betapa pentingnya memperbarui hal-hal tersebut.

Anda mungkin ingin mulai mempertimbangkan untuk bermigrasi ke Joomla 3.3 sesegera mungkin, karena versi ini menyediakan salah satu metode enkripsi kata sandi yang paling aman (bcrypt).

Dan seperti yang disebutkan @Brian, memperbarui kata sandi basis data Anda ke sesuatu yang lebih kuat sangat disarankan. Hal lain yang baik untuk dipertimbangkan adalah juga mengubah awalan tabel database Anda. Banyak situs Joomla menggunakan jos_yang dapat Anda ubah menjadi sesuatu yang sedikit lebih unik menggunakan ekstensi seperti Alat Admin yang disebutkan dalam jawaban lain

Lodder
sumber
2
Saya akan menambahkan, mengubah kata sandi basis data Anda menjadi sesuatu yang lebih kuat juga.
Brian Peat
8

Agar situs web Anda selalu diamankan, Anda memerlukan kebijakan keamanan yang ketat:

  1. Perbarui Joomla ke versi terbaru
  2. Gunakan HANYA tema dari pengembang terkenal (tanpa pengecualian), DAN perbarui ke versi terbaru
  3. Gunakan HANYA ekstensi dari pengembang terkenal (tanpa pengecualian), DAN perbarui ke versi terbaru
  4. Menerapkan ekstensi keamanan untuk Joomla Hardening (Akeeba Admin adalah suatu keharusan, dan gratis)

Harap periksa daftar periksa keamanan ini:

Daftar Periksa Keamanan / Anda diretas atau dirusak http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Rute aman untuk bantuan bencana

Sebuah. simpan file configuration.php dan gambar serta file pribadi Anda satu per satu, (bukan folder karena mungkin berisi file yang tidak diinginkan) b. bersihkan seluruh folder tempat Joomla! dipasang c. unggah paket lengkap bersih baru versi terbaru joomla 1.5.x atau Joomla 2.5.x, joomla 3.x (minus folder instal) d. unggah ulang file & gambar konfigurasi Anda. e. pasang kembali atau instal ulang versi terbaru dari ekstensi Anda, templat (bahkan lebih baik adalah dengan menggunakan salinan bersih asli untuk memastikan bahwa peretas / pengganggu tidak meninggalkan file skrip shell di situs Anda) f. Untuk melakukan ini akan mengambil situs Anda off line selama sekitar 15 menit. Untuk melacak html Anda yang diretas / rusak mungkin membutuhkan waktu berjam-jam atau bahkan lebih lama.

Anibal
sumber
1
Perhatikan bahwa hanya versi berbayar dari Alat Admin Akeeba yang memiliki Firewall Aplikasi Web (WAF).
Neil Robertson
6

Ini bisa menjadi sesuatu yang sangat membuat frustrasi, kadang-kadang situs tidak dapat tetap diperbarui karena berbagai alasan, meskipun untuk bantuan terbaik, harap sertakan versi lengkap, seperti 2.5.9 atau sesuatu. Jika Anda telah menghapus ekstensi sebagai kemungkinan, maka versi Joomla yang lebih lama bisa menjadi alasannya.

Kami telah melihat sesuatu yang serupa di situs kami sebelumnya, apakah itu di server bersama? Ini dapat terjadi bahkan di situs bersih di server bersama, jika satu akun di server bersama terkena, itu bisa membahayakan seluruh server. Tidak banyak yang dapat Anda lakukan tentang hal itu, tidak ada yang dimiliki Joomla yang dapat mencegah eksploit semacam itu dan salah satu alasannya mengapa shared host dapat bermasalah. Meskipun ini tergantung pada host, yang seperti siteground atau hostgator cukup bagus untuk menjaga infrastruktur mereka tetap utuh.

Jadi saya akan merekomendasikan melakukan pemindaian malware untuk melihat apa yang diambilnya, kemungkinan besar jika mereka menekan database Anda seperti itu maka mereka memiliki banyak file yang disuntikkan. Yang terbaik untuk memulihkan dari cadangan dalam kasus ini dan memperbarui, kemudian memindai malware.

Lihat juga alat Admin oleh akeeba, ia memiliki beberapa alat yang berguna untuk mengamankan situs Anda.

Jordan Ramstad
sumber
4

Tampaknya situs web Anda diretas.

Alasan untuk Situs Web Joomla yang Diretas

Beberapa alasan peretas mendapatkan akses ke situs web Anda adalah:

  1. ekstensi pihak ketiga dengan kerentanan
  2. kerentanan Joomla
  3. akun lain dengan kerentanan di server bersama yang sama
  4. lingkungan server / hosting yang tidak terkonfigurasi dengan baik
  5. kompromi komputer lokal yang memiliki kredensial situs web yang tersimpan di dalamnya
  6. kata sandi yang lemah di-crack melalui serangan brute force

Menggunakan sedikit ekstensi pihak ketiga yang didukung dengan baik dari pengembang terkemuka adalah praktik yang baik, tetapi ingat juga bahwa Anda perlu memperbarui Joomla dan ekstensi pihak ketiga agar kerentanan ditambal sebelum dapat dieksploitasi oleh peretas.

Solusi untuk Situs Web Joomla yang Diretas

  1. Pulihkan dari cadangan bersih. Perbarui Joomla dan semua ekstensi pihak ketiga ke versi terbaru. Ini adalah solusi yang baik jika Anda tahu kapan tepatnya situs web itu dikompromikan tetapi waktunya sulit untuk ditentukan dengan keyakinan.

  2. Hapus situs web dan bangun kembali dari awal menggunakan versi Joomla dan ekstensi pihak ketiga yang terbaru. Ini biasanya bukan solusi praktis karena pekerjaan yang terlibat tetapi dapat memberikan tingkat kepercayaan yang tinggi bahwa infeksi telah diberantas.

  3. Bersihkan situs web menggunakan alat keamanan komersial https://mysites.guru (sebelumnya myjoomla.com) atau yang serupa, memulihkan file inti yang diubah kembali ke aslinya, menghapus malware dan menginstal ulang ekstensi pihak ketiga sesuai kebutuhan. Perbarui Joomla dan semua ekstensi pihak ketiga ke versi terbaru.

Anda juga harus memperbarui kata sandi Joomla, hosting dan basis data.

Dalam praktiknya, opsi 3 biasanya bekerja dengan baik untuk saya.

Pertimbangkan untuk meningkatkan keamanan situs web sesuai dengan Daftar Periksa Keamanan resmi dan "Bagaimana cara mengamankan instalasi Joomla baru?"

Neil Robertson
sumber
3

Hari ini saya mengalami masalah yang sama lagi. Ini bukan joomla atau ekstensinya. Itu karena saya telah mengatur semua file dan direktori CHMOD ke 775. Saya telah melakukannya hanya untuk memperbarui joomla lebih mudah.

Setelah membaca http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , saya telah melihat perubahan tanggal direktori dan menyelidiki yang memiliki nilai yang berbeda.

Saya menggunakan WinSCP untuk akses FTP. Saya telah melihat 5 file .php dengan ikon cara pintas yang tidak dapat saya buka untuk melihat isinya.

  1. Settings.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. wp-config.php

dan juga di direktori include

  1. config.php
  2. configure.php

Saya telah menghapusnya dan mengembalikan situs web dari cadangan. Dan saya berjanji, saya tidak akan memberikan akses tulis untuk grup data-www kecuali direktori gambar.

zkanoca
sumber