web-dev-qa-db-fra.com

Quelqu'un essaie d'attaquer mon site Web Joomla avec plusieurs adresses IP différentes

J'ai un problème grave ici. Quelqu'un essaie de me connecter par force brute à mon site. J'ai déjà des plugins pour annuler cette attaque. Je donne seulement 3 tentatives de connexion, puis il bloque cette adresse IP. Le problème ici est qu'il a utilisé 1000 adresses IP différentes pour se connecter au compte administrateur.

C'est une sorte d'attaque DDoS. Quelle est la meilleure solution pour cela? Mon site est fait avec Joomla 3 CMS. Aussi, je ne suis pas un expert en sécurité.

Et en plus, j'ai récemment découvert qu'il y avait un téléchargement de fichier malveillant, mais heureusement, cela a été neutralisé par un plugin que j'utilise.

PDATE:

J'ai trouvé quelque chose d'étonnant. Quand j’ai été attaqué au départ par un fichier malveillant, mon fichier robots.txt a été supprimé par eux. J'ai pu arrêter le téléchargement en modifiant le fichier .htaccess, mais je n'ai pas remarqué que le fichier robots.txt était manquant. Je pense que cela a donné un chemin libre à tous les robots. Je suis toujours au travail et cherche d'autres échappatoires.

4
Amit Ray

Toutes les réponses suggérées, je le ferais aussi. Si vous voulez un autre niveau de sécurité, j'activerais l'authentification de base Apache

http://httpd.Apache.org/docs/current/howto/auth.html

avec un nom d'utilisateur/mot de passe sur votre URL d'administrateur dans Joomla (assurez-vous que cette URL est accessible uniquement via https). Ceci est effectué dans votre fichier httpd.conf, dans lequel vous générez un fichier chiffré avec un mot de passe qui est comparé aux informations d'identification du nom d'utilisateur/du mot de passe lors de l'accès au modèle d'URL correspondant.

De cette manière, l'attaquant doit également connaître le nom d'utilisateur/mot de passe de l'URL protégée par Apache avant de tenter une attaque par force brute. Apache rejettera toutes les demandes avec un message "Autorisation requise" et protégera votre instance joomla contre les bombardements.

À mon avis, votre chemin d’URL d’administrateur ne devrait jamais être exposé à Internet sans une protection supplémentaire.

4
Rob Mascaro

Donc, c'est la même vieille histoire.

Mais d'abord, il y a peu de choses à faire:

Tout d'abord, analysez votre site avec un outil antivirus. Alors fais ceci:

  1. Mettre à jour tous les composants/plugins
  2. Mettez à jour votre Joomla avec la dernière version
  3. Limitez le téléchargement de fichiers uniquement aux extensions autorisées (par exemple, .pdf, .doc, .docx)
  4. Peut-être mettre quelques éléments supplémentaires avant le téléchargement (par exemple captcha ou une question qui nécessite une réponse pour pouvoir télécharger le fichier).
  5. Changez votre mot de passe

// Si votre composant est compromis, essayez de rechercher une autre option. Il y a beaucoup de composants qui font la même chose.

En outre, il existe un outil en ligne qui peut vous aider ici.

Les sites compromis sont souvent liés à du code JavaScript malveillant dans le but d’attaquer les utilisateurs de votre installation Joomla.

3
Josip Ivic

Je vous suggère d’analyser l’ensemble de votre serveur pour rechercher des fichiers malveillants.

Pour la sécurité du site, je pense que vous utilisez déjà Akeeba Admin Tools. Si vous le faites, changez l'URL de l'administrateur avec des caractères aléatoires. De cette façon, l'attaque par les forces brutes échouera avant même d'avoir atteint la page de connexion.

Sinon, changez tous les mots de passe, y compris ftp, le compte administrateur joomla et les comptes root.

2
Mg Thar