So your Joomla site got hacked, now what?

Опубликовано: 15.06.2017

видео So your Joomla site got hacked, now what?

Hacked Joomla New

Одной из часто встречающихся обстоятельств инфецирования является не обновление ядра CMS после разработки веб-сайта на Joomla. При этом не обновляться Джумла может как в границах 1-го поколения (к примеру настоящая версия 2.5.14, животрепещущая 2.5.28), так и в границах нескольких поколений (настоящая версия 1.5.28 животрепещущая 2.5.28 либо 3.4.0).



Отсутствие обновлений в любом варианте имеет потенциальную опасность, потому что фактически каждое обновление призвано закрыть уязвимость, которая выявилась в процессе эксплуатации версии CMS. Но не обновление в границах нескольких поколений более небезопасно, потому что устаревшие версии Joomla уже не обновляются и соответственно бреши в их безопасности не запираются.


Fixing a hacked Joomla web site

При этом при обновлении Joomla могут появляться ошибки, к чему необходимо быть готовым, имея достаточный уровень тех подготовки.

Пример такового PHP-скрипта (вставлен на странички Джумлы):

Некие взломщики помещают  в одну из папок веб-сайта отдельные HTML-страницы со ссылкой на какие-нибудь мед веб-сайты (к примеру о виагре), которые нереально продвинуть в поисковых системах, из-за запрета рекламы этих тем.

Незащищённость административной панели Joomla – это последующая причина взлома веб-сайта. Взломщикам не составляет труда выяснить, пропарсив просторы веба, какие веб-сайты изготовлены на платформе Джумла. Причина в том, что нередко в самих шаблонах пишется о том, какая CMS употребляется на веб-сайте, также ее версия. В почти всех файлах веб-сайта в верхней их части пишется о том, что файл сотворен на CMS Joomla.

Узнав, что веб-сайт сотворен на Джумле просто найти адресок панели управления веб-сайтом. Обычно она находиться тут: http://site.by/administrator  Если взломщик знает, где панель управления веб-сайтом, означает он сумеет испытать взломать ее методом полного перебора, брутфорс (англ. brute force – грубая сила). Т.е. особая программка взломщика делает много  запросов к администратор панели, автоматом подставляя в поля ввода логина и пароля разные их варианты. Есть статистика о том, что количество часто встречающихся паролей около 10 000.

 

В практике также нередко видишь, что люди не обожают делать сложные пароли, потому что их тяжело уяснить. Также нередко они делают один логин/пароль для различных доступов (повторяющиеся пароли). И этим нередко пользуются взломщики.

Еще одна очевидная причина взлома – похищение логина, пароля от хостинга, FTP (протокол передачи файлов) либо административной панели при помощи вируса, который установлен на компьютере вебмастера. Потому на компьютерах, где хранятся такие учетные данные, в неотклонимом порядке должен быть установлено антивирусное ПО, и компьютер должен временами сканироваться на предмет нахождения вредных программ.

Предпосылкой взлома, также может стать «открытая переадресация», когда гость по задумке обладателя сайта может перенаправляться на нужную страничку урлом вида:

Но в такую переадресацию взломщик может подставлять свои адреса для перенаправления гостей на свои веб-сайты.

Взлом также может произойти и в итоге подбора/похищения пароля к базе данных. Тут взломщик делает особые SQL-запросы и располагает собственный контент на веб-сайте.

Это очень трудно сделать, если вы фактически не заглядываете в файлы веб-сайта на хостинге, не анализируете их. Понятно, что в силу собственной подготовки, не все могут это делать. Потому для облегчения этой задачки поисковые машины Yandex (Yandex) и Google (Гугл) сделали для вебмастеров особые кабинеты, в каких можно регистрировать собственный веб-сайт и получать статистику по нему.

В случае возникновения заморочек с работой веб-сайта, инфецирования поисковые машины в оперативном порядке отправляют вам сообщение (в кабинет либо на e-mail).

Также о инфецировании можно выяснить из поисковой выдачи, когда в сниппете веб-сайта пишется строчка о том, что веб-сайт взломан и может нанести вред компу.

Это сразу плохо сказывается на популярности веб-сайта, потому что многие юзеры не будут перебегать на веб-сайт с таким сообщением. Потому необходимо сделать максимум усилий, чтоб в недлинные сроки снять это предупреждение, за ранее очистив и защитив веб-сайт. Запрос в поисковые машины о снятии предупреждения также делается из кабинета вебмастера.

В практике встречались случаи, когда факт инфецирования лицезрел только Google, а Yandex не лицезрел. Ситуация была, когда хакерский скрипт вставлялся на все странички веб-сайта. Возможно, это связано с тем, что сейчас поисковой бот Google лучше регистрирует содержимое скрипта, чем Yandex. Отсюда можно сделать малость филистерский, но нужный на сей день вывод, что с Гугла перебегать на веб-сайты безопаснее, чем с Yandex'а.

Сначала поменяйте все пароли, по которым можно получить доступ к веб-сайту: это хостинг, FTP, администратор панель.

Позже обратитесь к спецам по устранению уязвимостей на веб-сайте, его очистке от хакерских скриптов, обновлению ядра, если это нужно. Также сообщите вашему провайдеру хостинга о произошедшем взломе.

Если у вас есть  специальные способности по работе с HTML-, PHP-файлами веб-сайта на Джумле, вы сможете испытать без помощи других вернуть правильную работу веб-сайта. Для этого вам нужно провести анализ файлов на предмет нахождения в их постороннего кода, проверить административную панель на предмет возникновения новых юзеров с функцией администрирования веб-сайтом. Также отлично поглядеть панели вебмастера Гугла и Yandex'а, потому что взломщики могут в их также изменять опции (к примеру, уменьшать частоту посещения веб-сайта поисковым роботом).

Если вам нужна оперативная помощь по защите вашего веб-сайта, очистке его от вирусов и посторониих ссылок смело обращайтесь к нам – в Агентство J2, тел.: +375 29 314-34-64