Блог старого компьютера

Блог старого компьютера


Главная Joomla Взломали сайт на Joomla - что делать?

Взломали сайт на Joomla - что делать?

04.05.2013 14:15 Администратор Joomla
Печать PDF

Как не странно в наше время мало кто уделяет особое внимание безопасности сайта. В большинстве случаев человек делает сайт на всем что найдет в интернете. Шаблон из интернета, бесплатная cms скачанная с подозрительного сайта, куча лишних модулей и компонентов. Из всего этого делается коктель и заливается на хостинг. В сторону безопасности даже взгляда не сделано, в результате на вашем сайте происходят какие то странные действия, то дизайн поедет, то сайт начинает долго грузится, в резальтате поиска причин вы натыкаетесь на какие то новые файлы который к движку никакого отношения не имеют, а в файлах которые имеют прямое отношение к движку оказываются различные зашифрованные скрипты, фреймы, ридеректы порой даже организовывается спам рассылка.

 Сегодня мы попытаемся изучить некоторые моменты безопасности которые необходимо сделать после взлома сайта (хотя эти все действия необходимо сделать перед заливкой сайта на хостинг). Так как тема находится в разделе joomla то и говорить мы будем на тему этой бесплатной cms. Некоторые аспекты которые озвучим подойдут и для других систем управления.

И так если вы обнаружили что на вашем сайта протекают какие то странные действия и сайт живет какой то своей жизню то первым делом необходимо сделать следующее:

  1. Изучите тщательно логи, пообщайтесь с хостером, попытайтесь обнаружить каким образом ваш сайт взломали (к сожалению врятли ваш хостер вам поможет, а сами вы не имея должного опыта явно ничего не обнаружите)
  2. Слить архив сайта на ваш ПК
  3. Тщательно проверить сайт скриптом ai-bolit и удалить все найденные вредоносные вхождения (будьте внимательны не удалите лишний файл или код, если не уверены сверьте файл с исходным файлом движка либо компонента)
  4. Удалите неиспользуемые компоненты, модули и плагины (по сути лучше использовать свой дырявый компонент чем какой то популярный с уязвимостями - в популярном компоненте все дыры известны и неприятели ищут именно его, а изучать дыры в вашем компоненте мало кто станет, тем более что этот компонент только на вашем сайте) это поможет уменьшить круг подозреваемых.
  5. Если вы используете joomla 1.5 то удалите из корня следующие файлы лишние файлы CHANGELOG.phpconfiguration.php-distCOPYRIGHT.phpCREDITS.phpINSTALL.phpLICENSE.phpLICENSES.php - эти файлы совершенно не нужны они лишь отвлекают внимание от более важных файлов, в многих случаях в эти файлы записывают shell скрипт. Эти файл в работе движка joomla не участвуют.
  6. Так же удалите изображения которые вы не используете, обратите внимание на папку images и на вложенную в нее stories (я бы порекомендовал бы не использовать эти папки, а изменить эту папку другой напрмер uploads). В папке stories проверьте все gif файлы, и файлы .htaccess. В файлах gif обычно может сидеть закодированный shell, а с помощью файла .htaccess этот gif файл выполняется. Удалите эти файлы если вы их обнаружили.

Далее необходимо как можно тщательнее избавится от признаком joomla (именно по этом признаку ваш сайт и ищет злоумышленник) для этого делаем следующее:

  1. Убираем возможность просмотра позиций шаблона как это сделать описано тут
  2. Убрать meta тег generator описано тут
  3. Убрать неиспользуемые js библиотеки описано тут
  4. Меняем пароль на админку сайта на сложный, меняем логин пользователя admin, меняем id пользователя admin, последнее описано тут, остальное можно сделать в админке сайта.
  5. Переносим админку сайта описано тут

Такое ощущение что еще что то забыл, ну да ладно если вспомню то дополню позже. Далее давайте перейдем к настройке хостинга. Для этого в файле php.ini необходимо запретить некоторые небезопасные функции. Об это я описал  тут (если вы не знаете как найти файл php.ini то можно воспользоваться этой статьей при условии что у вас есть доступ к ssh). К великому разочарованию у вас возможно нету доступа к php.ini, к ssh и даже хостер откажется вам делать эти изменения. В таком случае я бы порекомендовал сменить хостинг, плюсом важно выбирать хостинг с круглосуточной поддержкой - это ВАЖНО!

Далее зайдите в админку вашего сайта в "Общие настройки" во вкладку "Система" и проверьте список файлов которые можно загружать на сайт используя Медиа менеджер. Уберите лишние расширения. Кстати лишним не будет если вы смените префикс jos у таблиц баз данных и смените его в файле configuration.php.

После того как все действия проделаны заливаем сайт на его хостинг и продолжаем работу с ним.

  1. Кладем в папки с изображениями (папка images) файл htaccess что за файл и какое у него должно быть содержимое написано тут. Благодаря этому в этих папках запуск скриптов будет невозможен, а зачем нам запуск скриптов в папке изображений? Этим htaccess файлам назначаем права 444, на всякий пожарный. 
  2. Назначаем права на файлы и папки, процесс установки прав через ssh описан тут 
  3. Назначаем права на файл configuration.php 444 и на файл htaccess в корне сайта, да и на другие.

Далее включаем все возможные логи на хостинге и время от времени их мониторим.

И еще одно важное действие, это установить компонент безопасности m5 который поможет вам следить за вашими файлами. Об компоненте безопасности m5 есть статья тут.

На этом статью я закончу, по сути этих действий хватает от серьезного взлома сайта. В следующей статье я опишу еще несколько важных действий которые необходимо сделать.

Добавить комментарий


Защитный код
Обновить

Поиск

Голосование

Что Вы думаете на счет битрикса?
 

Все материалы раздела