web-dev-qa-db-fra.com

Que faire si mon site Web Joomla est piraté?

J'ai un site web Joomla 2.5. Hier, je n'ai pas pu me connecter au panneau de l'administrateur. J'ai vérifié la table des utilisateurs. J'ai été choqué quand j'ai vu que le champ du nom d'utilisateur de tous les utilisateurs était 'admin' et les mots de passe étaient '268e27056a3e52cf3755d193cbeb0594'. Je n'utilise généralement pas d'extensions tierces non connues/peu fiables.

Est-ce que quelqu'un ici a rencontré le même problème? Si oui, pouvez-vous me dire quelle en est la raison et quelle est la solution?

security
10
zkanoca

Aujourd'hui, j'ai rencontré le même problème à nouveau. Ce n'est pas joomla ou ses extensions. C'est parce que j'ai défini le CHMOD de tous les fichiers et répertoires sur 775. Je l'ai fait juste pour mettre à jour joomla plus facilement.

Après avoir lu http://www.itoctopus.com/the-mass-nomutilisateur-password-update-hack-in-joomla , j’ai examiné les dates de modification des annuaires et examiné ceux qui ont des valeurs.

J'utilise WinSCP pour l'accès FTP. J'ai vu 5 fichiers .php avec une icône de raccourci que je ne peux pas ouvrir pour afficher leur contenu.

  1. Paramètres.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. wp-config.php

et aussi dans le répertoire includes

  1. config.php
  2. configure.php

Je les ai supprimés et restaurer les sites Web à partir de la sauvegarde. Et je vous promets que je ne donnerai pas d'accès en écriture au groupe www-data sauf au répertoire images.

3
zkanoca

Ce que je vous recommande de faire tout de suite, c'est:

  1. Créer une nouvelle installation de Joomla sur un sous-domaine ou localhost,
  2. Créez un compte super utilisateur avec un mot de passe strong
  3. Copiez le hachage du mot de passe à partir du #__users table à partir de votre compte nouvellement créé et remplacez l’ancien.

Je ne suis pas sûr de la façon dont les hachages et les noms d'utilisateur ont été changés, mais cela peut être dû à plusieurs raisons. Assurez-vous toujours que vous utilisez la dernière version de Joomla et la dernière version des extensions. Il existe de nombreuses extensions qui rendent les sites vulnérables aux injections SQL. Je ne peux pas souligner combien il est important de garder les choses à jour.

Vous voudrez peut-être commencer à envisager de migrer vers Joomla 3.3 dès que possible, car cette version fournit l'une des méthodes de cryptage des mots de passe les plus sécurisées (bcrypt).

Et, comme @Brian l’a mentionné, il est vivement recommandé de mettre à jour votre mot de passe de base de données en un nom plus puissant. Une autre bonne chose à prendre en compte est également de changer vos préfixes de table de base de données. Beaucoup de sites Joomla utilisent jos_ que vous pouvez changer pour quelque chose d'un peu plus unique en utilisant une extension telle que Outils d'administration, qui a été mentionnée dans l'autre réponse

8
Lodder

Pour que votre site Web soit toujours sécurisé, vous avez besoin d'une politique de sécurité stricte:

  1. Mettre à jour Joomla à la dernière version
  2. Utilisez SEULEMENT des thèmes de développeurs connus (sans exception), ET mettez à jour à la dernière version
  3. Utilisez SEULEMENT les extensions de développeurs connus (sans exception), ET mettez à jour à la dernière version
  4. Implémentez une extension de sécurité pour Joomla Hardening (Akeeba Admin est un must, c'est gratuit)

Veuillez vérifier cette liste de contrôle de sécurité:

Liste de contrôle de sécurité/Vous avez été piraté ou dégradé http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Une voie sûre pour les secours en cas de catastrophe

une. enregistrez le fichier configuration.php ainsi que vos images et vos fichiers personnels un par un (et non le dossier car il peut contenir des fichiers indésirables) b. essuyez le dossier entier où Joomla! est installé c. Téléchargez une nouvelle version complète de la dernière version de joomla 1.5.x ou Joomla 2.5.x, joomla 3.x (sans le dossier d’installation) d. re-télécharger votre fichier de configuration et vos images. e. Transférez ou réinstallez les dernières versions de vos extensions et modèles (il est même préférable d'utiliser des copies originales neutres pour vous assurer que le hacker/defacer n'a laissé aucun fichier de script Shell sur votre site) f. Pour ce faire, votre site sera déconnecté pendant environ 15 minutes. Retrouver votre code HTML piraté/dégradé peut prendre des heures, voire davantage.

8
Anibal

Cela peut être quelque chose de très frustrant, parfois, un site ne peut pas rester à jour pour diverses raisons, bien que pour une meilleure aide, veuillez inclure la version complète, comme la 2.5.9 ou quelque chose du genre. Si vous avez déjà supprimé des extensions en tant que possibilité, une version plus ancienne de Joomla pourrait en être la raison.

Nous avons déjà vu quelque chose de similaire sur nos sites, était-ce sur un serveur partagé? Cela peut se produire même sur un site propre sur un serveur partagé. Si un compte sur le serveur partagé est touché, le serveur tout entier risque d'être compromis. Vous ne pouvez pas faire grand chose à ce sujet non plus, rien de ce que Joomla n'a pu empêcher un tel exploit et c'est l'une des raisons pour lesquelles des hôtes partagés peuvent être problématiques. Bien que cela dépende de l'hôte, des sites tels que siteground ou hostgator sont plutôt efficaces pour garder leur infrastructure intacte.

Je recommanderais donc de faire un scan des logiciels malveillants pour voir ce qu’il capte, le plus souvent s’ils frappent votre base de données de cette façon, alors beaucoup de fichiers seront injectés. Dans ce cas, le mieux est de restaurer à partir d'une sauvegarde et de le mettre à jour, puis de rechercher les logiciels malveillants.

Consultez également les outils d’administration d’Akeeba. Il contient des outils utiles pour sécuriser votre site.

6
Jordan Ramstad

Il semble que votre site Web ait été piraté.

Raisons pour un site Web piraté Joomla

Certaines des raisons pour lesquelles les pirates informatiques ont accès à votre site Web sont:

  1. une extension tierce avec une vulnérabilité
  2. une vulnérabilité de Joomla
  3. un autre compte avec une vulnérabilité sur le même serveur partagé
  4. environnement serveur/hébergement mal configuré/maintenu
  5. ordinateur local compromis qui contient des informations d'identification de site Web
  6. mot de passe faible fissuré par des attaques par force brute

L'utilisation d'un nombre minimal d'extensions tierces bien prises en charge par des développeurs de bonne réputation est une bonne pratique, mais souvenez-vous également que vous devez maintenir à jour les extensions Joomla et tierces afin que les vulnérabilités soient corrigées avant qu'elles ne puissent être exploitées par des pirates.

Solutions pour un site Web piraté Joomla

  1. Restaurer à partir d'une sauvegarde propre. Mettez à jour Joomla et toutes les extensions tierces avec les dernières versions. C'est une bonne solution si vous savez à quel moment exactement le site Web a été compromis, mais il est difficile de déterminer avec précision le moment choisi.

  2. Nettoyez le site Web et reconstruisez-le à partir de zéro en utilisant des versions à jour de Joomla et des extensions tierces. En règle générale, ce n'est pas une solution pratique en raison du travail que cela implique, mais cela peut fournir un degré élevé de confiance dans le fait que l'infection est éliminée.

  3. Nettoyez le site Web à l'aide de l'outil de sécurité commerciale https://mysites.gur (anciennement myjoomla.com) ou d'un outil similaire, en restaurant les fichiers principaux modifiés dans leur version d'origine, en supprimant les logiciels malveillants et en réinstallant les extensions tierces nécessaires. . Mettez à jour Joomla et toutes les extensions tierces avec les dernières versions.

Vous devez également mettre à jour les mots de passe Joomla, hébergement et base de données.

En pratique, l'option 3 fonctionne généralement bien pour moi.

Envisagez d’améliorer la sécurité du site Web conformément aux instructions officielles liste de contrôle de la sécurité et "Comment sécuriser une nouvelle installation de Joomla?"

4
Neil Robertson