Joomla 1.5 - Odvirování napadených stránek
Návody pro C4
K dispozici je stránka o aplikaci Joomla 1.5, na které naleznete popis, návody, screenshoty, reference, rozšíření, graf popularity, statistiky a diskuze.
Návod na odvirování aplikace Joomla 1.5
Jelikož opakovaně došlo k napadení stránek s aplikací Joomla 1.5, připravili jsme návod, jak stránky odvirovat. Doporučujeme si nejdříve celý článek přečíst.
Způsob napadení stránek
Neaktualizovaná aplikace a její rozšíření
Za většinu útoků může neaktualizovaná instalace. Uživatel si vytvoří stránky, ale již se o ně dále nestará. Pro aplikaci Joomla a její rozšíření (komponenty, moduly a pluginy) vycházejí aktualizace, které opravují nejenom chyby staré verze, ale hlavně bezpečnostní díry. Pokud uživatel neudržuje stránky aktuální, útočník díru zneužije k napadení stránek. U aplikace Joomla 1.5 se ve většině případů jednalo o problém staré verze editoru JCE a jeho rozšíření ImageManager.
Zavirovaný počítač
Další možností je zavirovaný počítač, na kterém má uživatel uložené přístupové údaje k FTP serveru (např. v aplikaci Total Commander). Získáním údajů má útočník plný přístup na server s instalací aplikace. Více o webových virech.
Jednoduchá přístupová hesla
Uživatelé často podceňují tvar přístupových hesel. Jednoduchá hesla na FTP server, k databázi nebo do administrace pak útočník bez problému prolomí. Proto je důležité používat složitější tvar hesel (např. 1s5er4P6). Také většina uživatelů ponechává uživatelské jméno administrátora stránek "admin", takže útočníkovi pak stačí zjistit heslo. Ideální je přejmenovat účet administrátora na jiný tvar a použít složitější tvar hesla.
Obnovení stránek ze zálohy
Zákazníci Webhostingu C4 mají k dispozici 30denní zálohy stránek dostupné přes FTP protokol, které lze použít pro obnovu stránek. Před použitím zálohy prověřte její obsah, jestli již neobsahuje škodlivý kód.
Odstavení stránek
Pokud máte stránky umístěné na Webhostingu C4, tak u napadené instalace dochází z naší strany k blokaci http komunikace vytvořením souborů .htaccess a .htpasswd. Na stránky lze přistoupit až po zadání správných přístupových údajů, které zákazník nalezne v emailu o kompromitovaném webu. Pokud tyto soubory odstraníte bez vyřešení problému, bude pozastavena celá doména.
Důležité kroky před vstupem na stránky
Změna přístupových hesel
Protože si útočník mohl zjistit např. přístupové údaje k databázi, změňte si v administračním systému vaší domény přístupová hesla na FTP server (sekce IV. Weby) a k databázi (sekce VI. MySQL databáze).
Následně si na FTP serveru v souboru configuration.php upravte heslo pro připojení k databázi na řádku:
var $password = 'puvodni-heslo-databaze';
Postup naleznete v návodu Joomla 1.5 - Konfigurační soubor v odstavci "Úprava připojení k databázi".
Zamezení přístupu na stránky
Jste-li zákazníkem Webhostingu C4 a obdrželi jste zprávu o kompromitovaném webu, můžete tuto část přeskočit. V opačném případě je nutné zamezit přístup na stránky, aby stále nedocházelo k zneužití nevyžádaných skriptů. Pomocí návodu Generátor hesla pro soubor .htpasswd si zabezpečte kořenovou složku s instalací aplikace. Pokud již využíváte standardní soubor .htaccess aplikace Joomla 1.5, tak stačí vygenerované řádky přidat do tohoto souboru. Přístup na stránky pak bude možný pouze po zadání správných přístupových údajů.
Identifikace napadených souborů
Datum úpravy souboru nebo adresáře
Každý FTP klient (např. Total Commander) zobrazuje datum úpravy/vytvoření souboru nebo adresáře, podle kterého lze identifikovat poslední změny na serveru. Podle data projděte všechny soubory a adresáře a škodlivý kód (příp. celý soubor) odstraňte. Tato analýza ale nemusí být vždy dostačující, protože útočník může data jednoduše upravit.
Použití Version verification tool
Šikovný nástroj pro identifikaci rozdílů v instalaci je Version verification tool. Komponenta vypíšete seznam souborů, které se liší od původních souborů dané verze. Instalace komponenty probíhá standardně pomocí sekce "Rozšíření - Instalovat/Odinstalovat".
Druhy škodlivého obsahu
Vlastní PHP soubor
Útočník vloží na server vlastní PHP soubor se skriptem, který pak zneužije např. k rozesílání spamu. Ukázka souborů:
images/stories/dz.php images/stories/lznauw.php images/stories/story.php tmp/semi.php tmp/tes.php tmp/nwo.php tmp/wegh.php
Názvy souborů bývají většinou nesmyslné. Projděte všechny složky a škodlivé soubory ze serveru smažte. Například složka images a její podsložky by neměly obsahovat vůbec žádné PHP soubory. Nežádoucí soubory lze také identifikovat podle přístupů v access logu stránek, který je k dispozici dole v administračním systému domény.
Vložení nežádoucího skriptu
Útočník přidá do zdrojového kódu vlastní skript. Pomocí FTP klienta ho můžete vyzkoušet najít (např. Total Commander - Příkazy - Hledat - Hledat text). Pro hledání v obsahu použijte tyto řetězce (každý zvlášť):
(base64_decode( <iframe
Nežádoucí obsah stačí ze souboru odstranit. Kód také může mít nesmyslný tvar "E8dy2cA54fw1sD5w4c2uf...".
Přesměrování pomocí .htaccess
Útočník vloží do souboru .htaccess přesměrování na jinou stránku. Takže zkontrolujte obsah souboru v kořenové složce instalace.
Aktualizace stránek
Po odstranění nežádoucího kódu již můžete na stránky vstoupit. Ale je nutné je zabezpečit, aby se útok neopakoval.
Aktualizace aplikace Joomla
Pokud nepoužíváte poslední verzi aplikace Joomla 1.5.26, stáhněte si aktualizační balíček Joomla_1.5.0_to_1.5.26-Stable-Patch_Package.zip. Balíček rozbalte a zkopírujte do kořenové složky instalace vaší aplikace Joomla 1.5. Při kopírování potvrďte přepis souborů.
Aktualizace rozšíření
V administraci aplikace Joomla zkontrolujte verze všech rozšíření (komponent, modulů a pluginů) a staré verze zaktualizujte. Hlavně nezapomeňte na problémový editor JCE. Pokud některé rozšíření nevyužíváte, je lepší ho úplně smazat.
Kontrola uživatelských účtu a změna hesel
Ve správci uživatelů (sekce "Uživatelská část - Správce uživatelů") projděte seznam účtů a nechtěné smažte nebo zablokujte. Důležitým krokem je změna původních hesel u všech účtů, jinak by útočník mohl stránky znovu zkompromitovat. Doporučujeme použít složitější tvar hesla (např. Rt42sxW+), protože jednoduché heslo roboti časem prolomí a problém s napadením stránek by se opakoval. Pokud používáte pro účet administrátora uživatelské jméno "admin", upravte ho na jiný tvar.
Dokončení
Pokud jste provedli všechny kroky odvirování, můžete na serveru smazat soubory .htaccess a .htpasswd (příp. smazat přidané řádky v souboru .htaccess, nebo vrátit původní soubor .htaccess). Tím dojde ke zrušení zamezení přístupu na stránky.
Doporučení
Pravidelné aktualizace
Aplikaci a její rozšíření vždy udržujte aktuální, jinak se útok bude opakovat.
Komponenty, moduly a pluginy
Na stránkách používejte pouze prověřená rozšíření. Rozšíření, která nevyužíváte, ze stránek smažte.
Zabezpečení administrace
Poslední dobou evidujeme masivní útoky na prolomení hesla do administrace aplikace Joomla. Pomocí návodu Joomla - Zabezpečení administrace aplikujte opatření, které nežádoucí útoky eliminuje.
Zálohování
Provádějte pravidelné zálohy stránek. Buď můžete využít komponentu Akeeba Backup, nebo lze stránky zálohovat manuálně (zkopírování obsahu ze serveru pomocí FTP klienta a export databáze). Při napadení si stránky jednoduše obnovíte z nezavirované zálohy a následně je zabezpečíte. Ušetříte tak čas strávený nad hledáním škodlivého obsahu. Zákazníci Webhostingu C4 mají k dispozici 30denní zálohy stránek dostupné přes FTP protokol (viz Obnovení stránek ze zálohy).
Pomoc s odvirováním
Netroufáte-li si na odvirování stránek sami, můžete se obrátit na některého z našich partnerů, který se aplikaci Joomla věnuje.
Migrace na novější verzi
Jelikož podpora aktualizací Joomla 1.5 již skončila, doporučujeme migraci na novější verzi Joomla 3.
Aktualizace
Z bezpečnostních důvodů doporučujeme pravidelně provádět aktualizaci aplikace.
Diskuzní fórum pro aplikaci Joomla 1.5
Nové diskuzní téma můžete založit v sekci Joomla.
| Témata | Reakce | Poslední příspěvek |
|---|---|---|
| Joomla - Přesměrování testovacího webu | 6 | 02.12.2022 07:36 |
| Joomla 4 - Nový návod na instalaci a stránka o aplikaci | 0 | 27.10.2021 16:38 |
| Joomla 1.5 - Error 500 při editaci z frontendu | 1 | 09.08.2021 11:23 |
| Joomla - Zabezpečení formuláře na webu | 1 | 25.01.2021 13:05 |
| Joomla - Nefunkční iframe v Chrome 86 | 1 | 16.10.2020 15:15 |
| Joomla - Nemožnost přihlášení do administrace webu v Chrome 86 | 4 | 15.10.2020 20:14 |
| Joomla - Na http adrese chyba "Forbidden You don't have permission to access / on this server." | 3 | 10.07.2020 09:40 |
| Joomla - Nelze najít file installation/index.php - 500 Internal server error | 3 | 01.07.2020 11:26 |
| Joomla - Nefunkční web a admin po instalaci šablony | 3 | 15.04.2020 09:47 |
| Phoca Guestbook - Migrace z Joomla 1.5 do Joomla 3 | 21 | 02.12.2019 14:42 |
Kompletní výpis diskuzních témat pro aplikaci Joomla 1.5
Změny a kontroly
K dispozici je kompletní přehled všech změn a kontrol v tomto návodu.
Joomla 1.5 - Odvirování napadených stránek
| Aplikace: | Joomla 1.5 |
| Ověřeno pro: | Joomla 1.5.26 |
| Publikace: | 2.4.2013 |
| Změna: | 4.11.2013 |
| Kontrola: | 30.3.2015 |
| Přehled změn a kontrol | |
Diskuzní fórum
- Webové aplikace
- Tvorba web stránek
- PHP, MySQL
Joomla partneři
- PekneWeby
http://pekneweby.cz - FORdesign - webdesign studio
http://www.for-design.cz - WebSite4u.cz
http://www.website4u.cz - AW-dev, v.o.s.
http://www.aw-dev.cz/ - Pavel Grof - PG servis
http://www.pg-servis.cz - Vít Kratochvíl
http://web.statek-vysoke.cz/
