Was tun, wenn meine Joomla-Website gehackt wurde?

10

Ich habe eine Joomla 2.5-Website. Gestern konnte ich mich nicht im Administratorfenster anmelden. Ich habe die Benutzertabelle ausgecheckt. Ich war schockiert, als ich sah, dass das Feld für den Benutzernamen aller Benutzer " admin " und die Passwörter " 268e27056a3e52cf3755d193cbeb0594 " waren. Ich verwende im Allgemeinen keine unbekannten / unzuverlässigen Erweiterungen von Drittanbietern.

Ist hier jemand, der auf dasselbe Problem gestoßen ist? Wenn ja, können Sie mir sagen, was der Grund ist und was die Lösung ist?

zkanoca
quelle
7
Möglicherweise möchten Sie die Liste der anfälligen Joomla-Erweiterungen überprüfen, um festzustellen , ob eine Ihrer Erweiterungen aufgeführt ist.
TryHarder

Antworten:

8

Ich empfehle Ihnen, Folgendes sofort zu tun:

  1. Erstellen Sie eine neue Installation von Joomla auf einer Subdomain oder einem lokalen Host.
  2. Erstellen Sie ein Superuser-Konto mit einem sicheren Passwort
  3. Kopieren Sie den Kennwort-Hash aus der #__usersTabelle aus Ihrem neu erstellten Konto und ersetzen Sie das alte.

Ich bin nicht sicher, wie die Hashes und Benutzernamen geändert wurden, aber es könnte einige Gründe geben. Stellen Sie immer sicher, dass Sie die neueste Version von Joomla und die neueste Version von Erweiterungen ausführen. Es gibt einige Erweiterungen, die Websites für SQL-Injektionen anfällig machen. Ich kann nicht betonen, wie wichtig es ist, die Dinge auf dem neuesten Stand zu halten.

Möglicherweise möchten Sie die Migration auf Joomla 3.3 so bald wie möglich in Betracht ziehen, da diese Version eine der sichersten Kennwortverschlüsselungsmethoden (bcrypt) bietet.

Und wie @Brian bereits erwähnt hat, wird dringend empfohlen, Ihr Datenbankkennwort auf etwas Stärkeres zu aktualisieren. Eine weitere gute Sache, die Sie berücksichtigen sollten, ist das Ändern der Präfixe Ihrer Datenbanktabelle. Viele Joomla-Websites verwenden, jos_die Sie mithilfe einer Erweiterung wie Admin Tools, die in der anderen Antwort erwähnt wurde, in etwas Einzigartigeres ändern können

Lodder
quelle
2
Ich würde hinzufügen, ändern Sie Ihr Datenbankkennwort auch in etwas Stärkeres.
Brian Peat
8

Um Ihre Website immer sicher zu halten, benötigen Sie eine strenge Sicherheitsrichtlinie:

  1. Aktualisieren Sie Joomla auf die neueste Version
  2. Verwenden Sie NUR Themen von bekannten Entwicklern (keine Ausnahmen) UND aktualisieren Sie auf die neueste Version
  3. Verwenden Sie NUR Erweiterungen von bekannten Entwicklern (keine Ausnahmen) UND aktualisieren Sie auf die neueste Version
  4. Implementieren Sie eine Sicherheitserweiterung für Joomla Hardening (Akeeba Admin ist ein Muss und kostenlos)

Bitte überprüfen Sie diese Sicherheitscheckliste:

Sicherheitscheckliste / Sie wurden gehackt oder unkenntlich gemacht http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Ein sicherer Weg zur Katastrophenhilfe

ein. Speichern Sie die Datei configuration.php sowie Ihre Bilder und persönlichen Dateien nacheinander (nicht den Ordner, da er möglicherweise unerwünschte Dateien enthält). b. Wischen Sie den gesamten Ordner ab, in dem Joomla! installiert ist c. Laden Sie ein neues sauberes Vollpaket hoch, die neueste Version von Joomla 1.5.x oder Joomla 2.5.x, Joomla 3.x (abzüglich des Installationsordners). d. Laden Sie Ihre Konfigurationsdatei und Bilder erneut hoch. e. Laden Sie die neuesten Versionen Ihrer Erweiterungen und Vorlagen erneut hoch oder installieren Sie sie neu (noch besser ist es, saubere Originalkopien zu verwenden, um sicherzustellen, dass der Hacker / Defacer keine Shell-Skriptdateien auf Ihrer Site hinterlassen hat) f. Dazu wird Ihre Site für ca. 15 Minuten offline geschaltet. Das Aufspüren Ihres gehackten / unleserlichen HTML kann Stunden oder sogar länger dauern.

Anibal
quelle
1
Beachten Sie, dass nur die kostenpflichtige Version von Akeeba Admin Tools über die Web Application Firewall (WAF) verfügt.
Neil Robertson
6

Dies kann sehr frustrierend sein. Manchmal kann eine Website aus verschiedenen Gründen nicht aktualisiert werden. Um die beste Hilfe zu erhalten, geben Sie bitte die Vollversion wie 2.5.9 oder ähnliches an. Wenn Sie bereits Erweiterungen als Möglichkeit entfernt haben, könnte eine ältere Version von Joomla der Grund sein.

Wir haben auf unseren Websites schon einmal etwas Ähnliches gesehen. War es auf einem gemeinsam genutzten Server? Dies kann sogar an einem sauberen Standort auf einem gemeinsam genutzten Server passieren. Wenn ein Konto auf dem gemeinsam genutzten Server getroffen wird, kann dies den gesamten Server gefährden. Sie können auch nicht viel dagegen tun, nichts, was Joomla hat, kann einen solchen Exploit verhindern, und dies ist einer der Gründe, warum gemeinsam genutzte Hosts problematisch sein können. Obwohl dies vom Host abhängt, sind solche wie Siteground oder Hostgator ziemlich gut darin, ihre Infrastruktur intakt zu halten.

Daher würde ich empfehlen, einen Malware-Scan durchzuführen, um zu sehen, was er aufnimmt. Wenn sie Ihre Datenbank so treffen, werden ihnen wahrscheinlich viele Dateien injiziert. In diesem Fall ist es am besten, aus dem Backup wiederherzustellen und dann den Malware-Scan zu aktualisieren.

Schauen Sie sich auch die Admin-Tools von akeeba an. Es enthält einige nützliche Tools zum Sichern Ihrer Website.

Jordan Ramstad
quelle
4

Es scheint, dass Ihre Website gehackt wurde.

Gründe für eine gehackte Joomla-Website

Einige der Gründe, warum Hacker Zugriff auf Ihre Website erhalten, sind:

  1. eine Drittanbietererweiterung mit einer Sicherheitsanfälligkeit
  2. eine Joomla-Sicherheitslücke
  3. ein anderes Konto mit einer Sicherheitsanfälligkeit auf demselben freigegebenen Server
  4. schlecht konfigurierte / gewartete Server- / Hosting-Umgebung
  5. kompromittierter lokaler Computer, auf dem Website-Anmeldeinformationen gespeichert sind
  6. schwache Passwörter, die durch Brute-Force-Angriffe geknackt wurden

Die Verwendung einer minimalen Anzahl gut unterstützter Erweiterungen von Drittanbietern von seriösen Entwicklern ist eine gute Vorgehensweise. Beachten Sie jedoch auch, dass Sie die Erweiterungen von Joomla und Drittanbietern auf dem neuesten Stand halten müssen, damit Schwachstellen gepatcht werden, bevor sie von Hackern ausgenutzt werden können.

Lösungen für eine gehackte Joomla-Website

  1. Wiederherstellung von einem sauberen Backup. Aktualisieren Sie Joomla und alle Erweiterungen von Drittanbietern auf die neuesten Versionen. Dies ist eine gute Lösung, wenn Sie wissen, wann genau die Website kompromittiert wurde, das Timing jedoch schwer mit Sicherheit zu bestimmen ist.

  2. Löschen Sie die Website und erstellen Sie sie mit aktuellen Versionen von Joomla und Erweiterungen von Drittanbietern von Grund auf neu. Dies ist aufgrund der damit verbundenen Arbeit normalerweise keine praktische Lösung, kann jedoch ein hohes Maß an Sicherheit dafür bieten, dass die Infektion beseitigt wird.

  3. Bereinigen Sie die Website mit dem kommerziellen Sicherheitstool https://mysites.guru (ehemals myjoomla.com) oder ähnlichem, stellen Sie alle geänderten Kerndateien wieder auf die Originale zurück, entfernen Sie Malware und installieren Sie bei Bedarf Erweiterungen von Drittanbietern neu. Aktualisieren Sie Joomla und alle Erweiterungen von Drittanbietern auf die neuesten Versionen.

Sie sollten auch die Joomla-, Hosting- und Datenbankkennwörter aktualisieren.

In der Praxis funktioniert Option 3 normalerweise gut für mich.

Erwägen Sie, die Sicherheit der Website gemäß der offiziellen Sicherheitscheckliste und "Wie sichert man eine neue Joomla-Installation?" Zu verbessern.

Neil Robertson
quelle
3

Heute bin ich wieder auf das gleiche Problem gestoßen. Es ist nicht Joomla oder seine Erweiterungen. Das liegt daran, dass ich das CHMOD aller Dateien und Verzeichnisse auf 775 eingestellt habe. Ich habe es nur getan, um Joomla einfacher zu aktualisieren.

Nachdem ich http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla gelesen habe , habe ich mir die Änderungsdaten von Verzeichnissen angesehen und diejenigen untersucht, die unterschiedliche Werte haben.

Ich benutze WinSCP für den FTP-Zugang. Ich habe 5 .php-Dateien mit Verknüpfungssymbol gesehen, die ich nicht öffnen kann, um deren Inhalt anzuzeigen.

  1. Settings.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. wp-config.php

und auch im Includes-Verzeichnis

  1. config.php
  2. configure.php

Ich habe sie gelöscht und die Websites aus dem Backup wiederhergestellt. Und ich verspreche, ich werde keinen Schreibzugriff für die www-Datengruppe außer dem Bilderverzeichnis gewähren.

zkanoca
quelle