Joomla 1.5 - Odvirování napadených stránek



K dispozici je stránka o aplikaci Joomla 1.5, na které naleznete: popis aplikace, screenshoty stránek, návody pro aplikaci, reference aplikace, rozšíření pro aplikaci, graf popularity, statistiky aplikace, diskuze k aplikaci. - Zobrazit stránku aplikace

Návod na odvirování aplikace Joomla 1.5

Jelikož opakovaně došlo k napadení stránek s aplikací Joomla 1.5, připravili jsme návod, jak stránky odvirovat. Doporučujeme si nejdříve celý článek přečíst.

Způsob napadení stránek

Neaktualizovaná aplikace a její rozšíření

Za většinu útoků může neaktualizovaná instalace. Uživatel si vytvoří stránky, ale již se o ně dále nestará. Pro aplikaci Joomla a její rozšíření (komponenty, moduly a pluginy) vycházejí aktualizace, které opravují nejenom chyby staré verze, ale hlavně bezpečnostní díry. Pokud uživatel neudržuje stránky aktuální, útočník díru zneužije k napadení stránek. U aplikace Joomla 1.5 se ve většině případů jednalo o problém staré verze editoru JCE a jeho rozšíření ImageManager.

Zavirovaný počítač

Další možností je zavirovaný počítač, na kterém má uživatel uložené přístupové údaje k FTP serveru (např. v aplikaci Total Commander). Získáním údajů má útočník plný přístup na server s instalací aplikace. Více o webových virech.

Jednoduchá přístupová hesla

Uživatelé často podceňují tvar přístupových hesel. Jednoduchá hesla na FTP server, k databázi nebo do administrace pak útočník bez problému prolomí. Proto je důležité používat složitější tvar hesel (např. 1s5er4P6). Také většina uživatelů ponechává uživatelské jméno administrátora stránek "admin", takže útočníkovi pak stačí zjistit heslo. Ideální je přejmenovat účet administrátora na jiný tvar a použít složitější tvar hesla.

Obnovení stránek ze zálohy

Zákazníci Webhostingu C4 mají k dispozici 30denní zálohy stránek dostupné přes FTP protokol, které lze použít pro obnovu stránek. Před použitím zálohy prověřte její obsah, jestli již neobsahuje škodlivý kód.

Odstavení stránek

Pokud máte stránky umístěné na Webhostingu C4, tak u napadené instalace dochází z naší strany k blokaci http komunikace vytvořením souborů .htaccess a .htpasswd. Na stránky lze přistoupit až po zadání správných přístupových údajů, které zákazník nalezne v emailu o kompromitovaném webu. Pokud tyto soubory odstraníte bez vyřešení problému, bude pozastavena celá doména.

Důležité kroky před vstupem na stránky

Změna přístupových hesel

Protože si útočník mohl zjistit např. přístupové údaje k databázi, změňte si v administračním systému vaší domény přístupová hesla na FTP server (sekce IV. Weby) a k databázi (sekce VI. MySQL databáze).

Následně si na FTP serveru v souboru configuration.php upravte heslo pro připojení k databázi na řádku:

var $password = 'puvodni-heslo-databaze';

Postup naleznete v návodu Joomla 1.5 - Konfigurační soubor v odstavci "Úprava připojení k databázi".

Zamezení přístupu na stránky

Jste-li zákazníkem Webhostingu C4 a obdrželi jste zprávu o kompromitovaném webu, můžete tuto část přeskočit. V opačném případě je nutné zamezit přístup na stránky, aby stále nedocházelo k zneužití nevyžádaných skriptů. Pomocí návodu Generátor hesla pro soubor .htpasswd si zabezpečte kořenovou složku s instalací aplikace. Pokud již využíváte standardní soubor .htaccess aplikace Joomla 1.5, tak stačí vygenerované řádky přidat do tohoto souboru. Přístup na stránky pak bude možný pouze po zadání správných přístupových údajů.

Identifikace napadených souborů

Datum úpravy souboru nebo adresáře

Každý FTP klient (např. Total Commander) zobrazuje datum úpravy/vytvoření souboru nebo adresáře, podle kterého lze identifikovat poslední změny na serveru. Podle data projděte všechny soubory a adresáře a škodlivý kód (příp. celý soubor) odstraňte. Tato analýza ale nemusí být vždy dostačující, protože útočník může data jednoduše upravit.

Použití Version verification tool

Šikovný nástroj pro identifikaci rozdílů v instalaci je Version verification tool. Komponenta vypíšete seznam souborů, které se liší od původních souborů dané verze. Instalace komponenty probíhá standardně pomocí sekce "Rozšíření - Instalovat/Odinstalovat".

Druhy škodlivého obsahu

Vlastní PHP soubor

Útočník vloží na server vlastní PHP soubor se skriptem, který pak zneužije např. k rozesílání spamu. Ukázka souborů:

images/stories/dz.php
images/stories/lznauw.php
images/stories/story.php
tmp/semi.php
tmp/tes.php
tmp/nwo.php
tmp/wegh.php

Názvy souborů bývají většinou nesmyslné. Projděte všechny složky a škodlivé soubory ze serveru smažte. Například složka images a její podsložky by neměly obsahovat vůbec žádné PHP soubory. Nežádoucí soubory lze také identifikovat podle přístupů v access logu stránek, který je k dispozici dole v administračním systému domény.

Vložení nežádoucího skriptu

Útočník přidá do zdrojového kódu vlastní skript. Pomocí FTP klienta ho můžete vyzkoušet najít (např. Total Commander - Příkazy - Hledat - Hledat text). Pro hledání v obsahu použijte tyto řetězce (každý zvlášť):

(base64_decode(
<iframe

Nežádoucí obsah stačí ze souboru odstranit. Kód také může mít nesmyslný tvar "E8dy2cA54fw1sD5w4c2uf...".

Přesměrování pomocí .htaccess

Útočník vloží do souboru .htaccess přesměrování na jinou stránku. Takže zkontrolujte obsah souboru v kořenové složce instalace.

Aktualizace stránek

Po odstranění nežádoucího kódu již můžete na stránky vstoupit. Ale je nutné je zabezpečit, aby se útok neopakoval.

Aktualizace aplikace Joomla

Pokud nepoužíváte poslední verzi aplikace Joomla 1.5.26, stáhněte si aktualizační balíček Joomla_1.5.0_to_1.5.26-Stable-Patch_Package.zip. Balíček rozbalte a zkopírujte do kořenové složky instalace vaší aplikace Joomla 1.5. Při kopírování potvrďte přepis souborů.

Aktualizace rozšíření

V administraci aplikace Joomla zkontrolujte verze všech rozšíření (komponent, modulů a pluginů) a staré verze zaktualizujte. Hlavně nezapomeňte na problémový editor JCE. Pokud některé rozšíření nevyužíváte, je lepší ho úplně smazat.

Kontrola uživatelských účtu a změna hesel

Ve správci uživatelů (sekce "Uživatelská část - Správce uživatelů") projděte seznam účtů a nechtěné smažte nebo zablokujte. Důležitým krokem je změna původních hesel u všech účtů, jinak by útočník mohl stránky znovu zkompromitovat. Doporučujeme použít složitější tvar hesla (např. Rt42sxW+), protože jednoduché heslo roboti časem prolomí a problém s napadením stránek by se opakoval. Pokud používáte pro účet administrátora uživatelské jméno "admin", upravte ho na jiný tvar.

Dokončení

Pokud jste provedli všechny kroky odvirování, můžete na serveru smazat soubory .htaccess a .htpasswd (příp. smazat přidané řádky v souboru .htaccess, nebo vrátit původní soubor .htaccess). Tím dojde ke zrušení zamezení přístupu na stránky.

Doporučení

Pravidelné aktualizace

Aplikaci a její rozšíření vždy udržujte aktuální, jinak se útok bude opakovat.

Komponenty, moduly a pluginy

Na stránkách používejte pouze prověřená rozšíření. Rozšíření, která nevyužíváte, ze stránek smažte.

Zabezpečení administrace

Poslední dobou evidujeme masivní útoky na prolomení hesla do administrace aplikace Joomla. Pomocí návodu Joomla - Zabezpečení administrace aplikujte opatření, které nežádoucí útoky eliminuje.

Zálohování

Provádějte pravidelné zálohy stránek. Buď můžete využít komponentu Akeeba Backup, nebo lze stránky zálohovat manuálně (zkopírování obsahu ze serveru pomocí FTP klienta a export databáze). Při napadení si stránky jednoduše obnovíte z nezavirované zálohy a následně je zabezpečíte. Ušetříte tak čas strávený nad hledáním škodlivého obsahu. Zákazníci Webhostingu C4 mají k dispozici 30denní zálohy stránek dostupné přes FTP protokol (viz Obnovení stránek ze zálohy).

Pomoc s odvirováním

Netroufáte-li si na odvirování stránek sami, můžete se obrátit na některého z našich partnerů, který se aplikaci Joomla věnuje.

Migrace na novější verzi

Jelikož podpora aktualizací Joomla 1.5 již skončila, doporučujeme migraci na novější verzi Joomla 3.

Aktualizace

Z bezpečnostních důvodů doporučujeme pravidelně provádět aktualizaci aplikace.

Diskuzní fórum pro aplikaci Joomla 1.5

Nové diskuzní téma můžete založit v sekci Joomla.

Témata Reakce Poslední příspěvek
Joomla 1.5 - Po přihlášení do administrace prázdná stránka 9 04.12.2018 14:19
Joomla - prezentační web + ESHOP prestashop 1 06.06.2018 11:54
Joomla 1.5 - Allvideos se nezobrazuje 2 17.01.2018 13:03
Joomla - Po přehrání verze 1.5.3 se nezobrazují stránky 1 15.01.2018 11:10
Joomla - Problém s instalací pomocí Akeeba backup 3 23.11.2017 15:21
Joomla - Aktualizace z verze 1.5 na verzi 3 5 14.08.2017 13:51
Joomla - Chat na stránkách 1 28.06.2017 11:12
Joomla 1.5.7 - Odvirování webu 5 07.06.2017 10:25
Joomla 1.5 - Úvodní stránka hlásí ERROR 500 6 30.05.2017 15:06
Joomla - Některá písmena v češtině jsou zvýrazněná 10 07.04.2017 09:24

Kompletní výpis diskuzních témat pro aplikaci Joomla 1.5

Změny a kontroly

K dispozici je kompletní přehled všech změn a kontrol v tomto návodu.


Joomla 1.5 - Odvirování napadených stránek
Aplikace: Joomla 1.5
Ověřeno pro: Joomla 1.5.26
Publikace: 2.4.2013
Změna: 4.11.2013
Kontrola: 30.3.2015
Přehled změn a kontrol
Diskuzní fórum
  • Webové aplikace
  • Tvorba web stránek
  • PHP, MySQL

forum.c4.cz