Joomla взломан. Как предотвратить? [закрыто]

Итак, один из моих сайтов (на Joomla) взломан, как в 6-й раз ...

Я не буду рассказывать вам никаких историй. Только факты:

Во-первых, я обнаружил, что в индексном файле шаблона появился некоторый инопланетный код:

<div id='hideMe'> <p>Every person knows the large quan...|...ur cure Viagra <a href="xxxxx">Viagra</a> </div><script type='text/javascript'>if(document.getElementById('hideMe') != null){document.getElementById('hideMe').style.visibility = 'hidden';document.getElementById('hideMe').style.display = 'none';}</script>

Затем я нашел в папке tmp файл с именем asd.php

с содержанием:http://www.codr.cc/bb027a

Я попытался расшифровать это и получил что-то вроде:http://www.codr.cc/97c183

Как это случилось? Как хакер получил доступ к созданию файла? Всего папок перми было 755, а файлов - 644.

У Joomla нет небезопасных модулей, компонентов или шаблонов. Все актуально.

Что еще я должен сделать, чтобы предотвратить будущие взломы?

Ответы на вопрос(2)

На вашем сайте установлены очень старые расширения: Это главная и наиболее распространенная причина взломанного сайта Joomla. Вы должны всегда обновлять свои расширения, и если вы используете расширение, которое больше не поддерживается, попробуйте найти альтернативу. Если нет, попросите разработчика взглянуть на это расширение, чтобы убедиться, что у него нет проблем с уязвимостью.Вы используете старую версию Joomla: Мы знаем, что трудно поддерживать ваш веб-сайт Joomla в актуальном состоянии с последней версией, особенно если у вас есть множество расширений (компонентов, модулей, плагинов), которые будут повреждены при обновлении Joomla. Но вы должны сделать это, вы не можете продолжать использовать устаревшую версию навсегда.У вас есть права на запись в ваш файл .htacess: По умолчанию ваш файл .htaccess имеет права на запись, потому что Joomla должна его обновить, особенно когда вы используете SEF. Проблема в том, что это сделает ваш .htaccess уязвимым для атак, направленных на его изменение. Вы должны всегда устанавливать разрешение .htaccess на 444 (r – r – r–) или, возможно, 440 (r – r—–).У вас есть права на запись в файлы * .php: Ни веб-сервер, ни весь мир не должны иметь разрешений на запись для ваших файлов Joomla * .php. Вы должны убедиться, что разрешения всех ваших * .php установлены на 444.Разрешение пользователям загружать скрипты: Например, если компонент принимает изображения, вы должны убедиться, что только изображения могут быть загружены. Пользователи не должны иметь возможность загружать скрипты (такие как * .php файлы)Предоставление разрешений на выполнение для общедоступных каталогов: В этом контексте под общими каталогами подразумеваются те каталоги, в которые пользователи могут загружать свои файлы. Представьте, что кто-то загружает файл в один из ваших каталогов (тем или иным способом). Если этот файл является сценарием и если этот каталог позволяет запускать сценарии, то этот человек может легко запустить вредоносный сценарий. Для общедоступных (загружаемых) каталогов должно быть предоставлено разрешение 766 (владелец может читать, писать и выполнять. Остальные могут только читать и писать).Использование невыдающихся расширений: Вы должны всегда использовать расширения, которые используются и проверены многими людьми. Использование расширения, которое используется очень немногими людьми, не является хорошей практикой и может взломать ваш сайт (злоумышленник может использовать несколько методов, таких как XSS, SQL-инъекция и т. Д.). Если вы чувствуете необходимость использовать такое расширение,Попросите разработчика проверить его на предмет безопасности. Предоставление учетных данных ненадежным разработчикам. Нельзя доверять свои учетные данные веб-сайту ненадежным разработчикам. И, если вам действительно нужно, то измените все свои пароли, как только разработчик закончит работу.Предоставление всех возможных разрешений пользователю базы данных: Как только ваш сайт Joomla настроен, пользователь базы данных должен только вставлять строки, строки UPDATE, строки DELETE и таблицы CREATE. Он не должен удалять таблицы или базы данных. Убедитесь, что для пользователя базы данных Joomla предоставлены только необходимые разрешения.Уверенность в том, что ваш сайт не может быть взломан или никто не взломает ваш сайт: Независимо от того, есть ли у вас небольшой благотворительный сайт или огромный школьный сайт, ваш сайт может быть взломан. Многие хакеры используют программное обеспечение для сканирования Интернета на наличие уязвимостей и атакуют их только потому, что могут! Всегда серьезно относитесь к безопасности вашего сайта, не думайте, что если вы слишком маленький, никто не подумает взломать ваш сайт, или что если вы слишком большой, вы достаточно защищены, и никто не сможет взломать ваш сайт.

какой из них влияет на вас, и исправьте ошибки, которые вы сделали.

Обновить

Контрольный список безопасности / Вас взломали или испортили

Joomla Security

Список уязвимых расширений

 rook18 окт. 2012 г., 21:09
+1 хороший пост. Ваш # 9 не относится к MySQL, стек запросов запрещен во всех базах данных, кроме MS-SQL, Access и SQLite. Однако MySQL имеет file_priv, который является наиболее опасным разрешением в mysql, потому что вы можете использовать его для чтения и создания файлов, и для него не требуется стек запросов.
Решение Вопроса

и ваша система взломана. Вы удаляете инфекцию, и бот просто восстанавливает ее.

Это произошло потому, что ваше программное обеспечение устарело. Вероятно, какой-то плагин или даже Joomla сам по себе очень стар.

Как это предотвратить? Ну, вы можете посмотреть руководства по упрочнению системы, и их там много. Независимо от этого, вы должны начать с нуля. Полностью переустановите Joomla и все его компоненты в стиле выжженной земли. Убедитесь, что в новой системе все обновлено.

Если у вас все еще есть проблемы,нанять профессионала.

 Trajektorijus18 окт. 2012 г., 20:21
Но каждый раз взломать по-другому. Это началось с eval (base64_decode ()) в каждом файле .php. Способен ли бот сделать это? Кстати, Joomla последняя, шаблон тоже. На самом деле все актуально.
 rook18 окт. 2012 г., 20:32
@Trajektorijus - это либо каждый раз новый хакер, либо ваша система продается другому хакеру, вроде шлюхи. Ваша система защищена почти каждым новым взломщиком, в этом я на 100% уверен. Так что не имеет значения, если вы исправите первоначальную уязвимость, вы должны начать с нуля.

Ваш ответ на вопрос