بررسی جوملا برای کدهای مخرب دفترچه ثبت نام. حذف کدهای مخرب از فایل های آلوده
این پست به دلیل سؤالاتی از چندین صاحب سایت در مورد نحوه حذف کدهای مخرب از وب سایت آنها ایجاد شده است. در زیر سعی خواهم کرد دنباله ای از مراحل ساده را شرح دهم که به دانش خاصی نیاز ندارد و در درجه اول برای مبتدیان در مدیریت منابع اینترنتی مفید خواهد بود.
چگونه متوجه می شوید که یک وب سایت قربانی حمله ای شده است که در طی آن کدهای مخرب مورد حمله قرار گرفته است؟ اولین و ساده ترین چیز این است که سایت از کار افتاده است یا آن طور که یک منبع "سالم" باید به نظر برسد، به نظر نمی رسد. این ممکن است خود را در ظاهر محتوای ناخواسته یا ناپدید شدن محتوای شما نشان دهد، صفحات بارگیری نمی شوند یا با خطا بارگیری می شوند. علاوه بر این، اگر سایت شما به Yandex یا Google webmaster اضافه شود، احتمالاً یک اعلان از این سیستم ها در مورد کدهای مخرب دریافت خواهید کرد. در برخی موارد، می توانید در مورد آسیب پذیری از مرورگر خود (عکس از Google Chrome) مطلع شوید.
در چنین مواردی، تلاش برای باز کردن بیشتر صفحه بسیار نامطلوب است.
ما به دنبال کدهای مخرب در سایت هستیمما انگیزه شخصی که کد مخرب را در سایت شما نصب کرده است را درک نخواهیم کرد، چه برسد به جستجوی آن. هدف اصلی ما یافتن کد "بد" و حذف آن است. ابتدا باید منبع را اسکن کنید تا تمام صفحات "آلوده" را شناسایی کنید. این به شما امکان می دهد جستجوی خود را محدود کنید. به عنوان مثال، کدهای مخرب را می توان در فرم قرار داد اسکریپت جاوا اسکریپتبرای برخی صفحه جداگانهمثلاً به محتوای یک پست یا یک نظر در مورد آن. در این صورت مشکل از طریق ادمین سایت با حذف چنین کدی از محتوا/کامنت قابل حل است. در غیر این صورت، باید آن را در کد منبع منبع خود جستجو کنید.
برای اسکن یک سایت از نظر آسیب پذیری، می توانید از https://sitecheck.sucuri.net استفاده کنید و در نتیجه موارد زیر را مشاهده می کنید:
همانطور که از اسکرین شات می بینید، اسکریپت "بد" در چندین صفحه از سایت یافت شد، بنابراین باید آن را در کد منبع جستجو کنید.
دسترسی پیدا کنید کد منبعسایت از چند جهت:
سعی نکنید کدهای مخرب را در فایل های منبع سایت خود پیدا کنید و آن را به طور کامل در جستجو جایگزین کنید. بخش منحصر به فرد آن، مانند googleleadservices.cn را در مورد ما انتخاب کنید و جستجو را چندین بار تکرار کنید.
حذف کد مخربهنگامی که کد مخرب شناسایی شد، به سادگی باید حذف شود. در مورد ما، سایت جوملا را اجرا می کرد و اسکریپت "بد" در index.php در دایرکتوری ریشه درج شد. به همین دلیل است که آسیب پذیری در چندین صفحه به طور همزمان کشف شد، زیرا این index.php هنگام ساخت تمام صفحات منبع استفاده می شود.
بلافاصله پس از حذف کدهای مخرب، توصیه می کنم رمز عبور همه کاربران را در کنترل پنل سایت تغییر دهید و همچنین سعی کنید تجربیات سایر مدیرانی که با این مشکل مواجه شده اند را بیابید. ممکن است لازم باشد برخی اقدامات اضافی انجام شود.
جلوگیریهمیشه پیشگیری بهتر از درمان است، بنابراین توصیه می کنم:
لطفا هر گونه سوال یا نظری را در نظرات بنویسید.
باید با هم انجام شود. اگر علت اصلی هک (به عنوان مثال، آسیب پذیری در پسوند CMS) را از بین ببرید، اما همه فایل های مخرب را حذف نکنید، مهاجم می تواند با استفاده از یکی از اسکریپت های خود دوباره به سایت دسترسی پیدا کند. اگر تمام اسکریپت های مخرب دانلود شده را حذف کنید، اما علت هک را از بین نبرید، مهاجم می تواند دوباره سایت را هک کند و دوباره اسکریپت ها را روی آن دانلود کند.
یک متخصص با دانش و تجربه مناسب باید کارهایی را برای حذف اسکریپت های مخرب و تجزیه و تحلیل علل هک انجام دهد:
- برای حذف اسکریپت های مخرب، باید زبان آن را بدانید برنامه نویسی PHPو همچنین دانش "از درون" CMS محبوب (جوملا، وردپرس و غیره) و افزونهها برای آنها. این دانش برای تشخیص مستقیم اسکریپتها از CMS و پسوندهای آن از فایلهای اضافی و همچنین برای اینکه بتوانیم بدون ابهام تعیین کنیم که چه اقداماتی در هنگام مواجهه با اسکریپتهای مشکوک انجام میدهند، مورد نیاز است.
- برای تجزیه و تحلیل علل هک، تجربه مدیریت سرور مورد نیاز است. این برای تجزیه و تحلیل وضعیت فایل های روی حساب، زمان تغییر آنها و همچنین مقایسه این داده ها با گزارش های سرور برای تعیین اینکه کدام اقدامات مهاجم منجر به هک سایت ها شده است ضروری است.
بنابراین، اگر سایت شما هک شده است، توصیه می شود برای جلوگیری از هک های مکرر، کار را خودتان انجام ندهید، بلکه با متخصصی تماس بگیرید که تشخیص های لازم را انجام دهد و توصیه یا انجام دهد. اقدامات لازمبرای حل مشکل، و چه کسی می تواند کیفیت نتیجه به دست آمده را تضمین کند.
با این حال، تعدادی از اقدامات وجود دارد که در برخی موارد به بازگرداندن عملکرد ایمن سایت بدون دانش خاص کمک می کند. محدودیت روش زیر این است که برای اینکه سایت دوباره کار کند نیاز به حضور دارد نسخه پشتیبان، در زمان قبل از هک ایجاد شده است. اگر تاریخ نقض نامشخص است، می توانید این روش را با استفاده از قدیمی ترین نسخه پشتیبان موجود امتحان کنید. محدودیت دوم، در نتیجه محدودیت اول، این است که پس از بازیابی سایت، داده هایی پس از ایجاد نسخه پشتیبان بازیابی به سایت اضافه می شود (به عنوان مثال، مقالات، تصاویر یا اسناد جدید). اگر نیاز به بازیابی سایت در حین حفظ داده های جدید دارید، باید با یک متخصص تماس بگیرید.
این اقدامات به ما اجازه نمی دهد که علت هک سایت را مشخص کنیم، اما هدف هر یک از آنها حذف یکی از علل احتمالی نفوذ است. از آنجایی که دلیل دقیق هک نامشخص است، انجام همه آنها ضروری است. اقدامات به گونه ای تنظیم شده اند که ابتدا امکان ادامه فعالیت مهاجم در سایت یا حساب میزبانی در لحظه را به طور کامل از بین ببرند و سپس از نفوذ مهاجم به سایت در آینده جلوگیری کنند.
مراحل زیر فرض می کند که شما فقط یک وب سایت در حساب میزبانی خود دارید. اگر چندین سایت در حساب کاربری وجود داشته باشد، آنها نیز می توانند هک شوند و سایت از طریق آنها هک شود. لازم است یا سایتی را که با آن کار ترمیم انجام می شود به یک حساب جداگانه منتقل کنید یا برای همه سایت هایی که روی حساب میزبانی می شوند به طور همزمان بازسازی انجام دهید.
ترتیب اقدامات مهم است، بنابراین لازم است آنها را دقیقاً به ترتیبی که در زیر قرار دارند انجام دهید.
کلیه اقدامات فوق باید طبق ترتیب مشخص شده و بدون حذف یا تغییر انجام شود. اگر اقدامات به صورت نادرست انجام شوند، ممکن است اسکریپت های مخرب یا آسیب پذیری ها در سایت باقی بمانند که در نتیجه می تواند پس از مدت کوتاهی دوباره توسط مهاجم هک شود. اگر به دلایلی انجام مراحل فوق در فرمی که در آن ذکر شده امکان پذیر نیست، برای انجام کار برای بازیابی سایت پس از هک با یک متخصص تماس بگیرید.
برای محافظت از سایت خود در برابر هک های مکرر در آینده، باید توصیه های زیر را رعایت کنید:اگر از طریق SSH به سایت دسترسی دارید، می توانید با اجرای دستورات زیر فایل هایی با کد تزریق شده پیدا کنید:
#grep -lr --include=*.php "eval(base64_decode" /pathWebroot #grep -lr --include=*.php "strrev(" /pathWebroot
در صورت عدم دسترسی، می توانید از خدمات پشتیبانی هاست بخواهید که این کار را برای شما انجام دهد و برای شما گزارش ارسال کند.
در اینجا یک مثال فهرست شده است: ./components/com_wrapper/wrapper.php ./components/com_wrapper/controller.php ./components/com_wrapper/router.php ./components/com_wrapper/views/wrapper/view.html.php . components/ com_banners/models/banner.php ./components/com_banners/models/banners.php ./components/com_banners/controller.php ./components/com_banners/router.php ./components/com_search.finder/view html. php ./components/com_finder/helpers/route.php ./components/com_finder/helpers/html/filter.php ./components/com_finder/helpers/html/query.php ./components/com_finder.controllers/suggestions جیسون. /com_jshopping /tables/shippingext.php .... ./administrator/components/com_jshopping/controllers/orderstatus.php ./administrator/components/com_jshopping/controllers/shippingsprices.php ./administrator/components/com_jshopping/ors.controller php /administrator/components/com_jshopping/controllers/productlabels.php ./administrator/components/com_jshopping/controllers/categories.php ./administrator/components/com_cache/cache.php ./administrator/components.modelscache/ php /administrator/components/com_cache/controller.php ./administrator/components/com_cache/views/purge/view.html.php ./administrator/components/com_cache/views/cache/view.html.php ./administrator/ components/ com_cache/helpers/cache.php ./administrator/components/com_content/tables/featured.php
مجموع 1606 مورد. این عملاً تمام است فایل PHPس حذف کد تزریق شده به صورت دستی بی فایده است. این کار زمان زیادی می برد. کشف شد و فایل جدید images/post.php برای اجرای هر کدی.
حذف کدهای مخرب از فایل های آلودهابتدا باید از سایت خود یک نسخه پشتیبان کامل تهیه کنید تا مشکلی پیش بیاید.
اگر عملکرد فوری سایت شما برای شما بسیار مهم است، می توانید با اجرای دستورات ساده کد تزریق شده را حذف کنید.
#grep -lr --include=*.php "eval(base64_decode" /pathWebroot | xargs sed -i.bak "s/eval(base64_decode[^;]*;//" #grep -lr --include=*. php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^;]*; @$_([^;]*;//"
دستورات همه موارد چنین کدهای مخربی را از فایل ها حذف می کند و از آنها نسخه پشتیبان با پسوند bak تهیه می کند. این فقط زمان برای پیاده سازی شما را می گیرد بهبودی کاملسایت، اما شما را از حملات بعدی نجات نخواهد داد. باید درک کرد که احتمال وجود فایل هایی مانند images/post.php که در بالا توضیح داده شد برای اجرای هر کد و حفره های قدیمی در پسوندهای نصب شده زیاد است.
برنامه های افزودنی شخص ثالثاگر از پنل مدیریت سایت محروم نشده اید، می توانید نگاه کنید اجزای نصب شده، ماژول ها، پلاگین ها و قالب ها. در صورت عدم دسترسی، باید با اتصال از طریق FTP یا SSH محتویات سایت را مشاهده کنید.
به لیست ماژول ها نگاه کنید #ls ./modules index.html mod_banners mod_login mod_users_last mod_articles_archive mod_breadcrumbs mod_menu mod_weblinks mod_articles_categories mod_custom mod_random_image mod_whosonline mod_articles_late mod_articles_category. nder mod_search mod_articles_new s mod_footer mod_stats mod_articles_popular mod_languages mod_syndicate #ls ./administrator/modules index. html mod_latest mod_menu mod_quickicon mod_title mod_custom mod_logged mod_multilangstatus mod_status mod_toolbar mod_feed mod_login mod_popular mod_submenu mod_versionفقط از ماژول های استاندارد جوملا استفاده می شود
به لیست اجزاء نگاه کنید #ls ./components com_banners com_finder com_media com_search com_wrapper com_contact com_jshopping com_newsfeeds com_users index.html com_content com_mailto com_phocapdf com_weblinks.com_weblinks. com_media com_phoca pdf com_users com_banners com_contact com_joomlaupdate com_menus com_plugins com_weblinks com_cache com_content com_jshopping com_messages com_redirect index. html com_categories com_cpanel com_languages com_modules com_search com_checkin com_finder com_login com_newsfeeds com_templatesعلاوه بر اجزای استاندارد، com_jshopping و com_phocapdf استفاده می شود.
به لیست پلاگینها نگاه کنید #ls ./plugins authentication content editors-xtd finder phocapdf جستجوی کاربر کپچا ویرایشگرها پسوند index.html سیستم نماد سریععلاوه بر این، شما باید محتویات همه این پوشه ها را مشاهده کنید. آنها گروهی از افزونه ها هستند.
#ls ./plugins/authentication gmail index.html joomla ldap #ls ./plugins/captcha index.html recaptcha #ls ./plugins/content emailcloak geshi joomla pagebreak rokbox finder index.html loadmodule page navigation vote #ls ./editors codemirror index.html هیچکدام tinymce #ls ./plugins/editors-xtd نمایه تصویر مقاله.html شکستگی صفحه readmore #ls ./plugins/extension index.html joomla #ls ./plugins/Finder دسته بندی مخاطبین فهرست محتوای.html اخبار فیدها پیوندهای وب #ls ./plugins/quickicon extensionupdate index.html joomlaupdate #ls ./plugins/search classes contacts content index.html newsfeeds weblinks #ls ./plugins/system cache highlight زبان کد ورود p3p به یاد داشته باشید sef debug index.html فیلتر زبان خروج از سیستم تغییر مسیر rokbox #ls. /plugins/user contactcreator index.html نمایه جوملا
علاوه بر پلاگین های استاندارد، از افزونه phocapdf نیز استفاده می شود.
به لیست قالب ها نگاه کنید #ls ./templates atomic beez_20 beez5 index.html system templ1علاوه بر قالب های استاندارد از templ1 استفاده می شود.
بازیابی یک سایت آلوده- کیت توزیع آخرین نسخه را دانلود کنید، آرشیو را در فهرست سایت آینده باز کنید و دایرکتوری نصب را از آن حذف کنید.
- نام فایل htaccess.txt را به .htaccess تغییر دهید. اگر از دستورالعمل هایی استفاده می کند که شما یادداشت کرده اید، آنها را از نسخه آلوده منتقل کنید.
- ما فایل configuration.php را از کپی آلوده کپی می کنیم و قبلاً عدم وجود کد تزریق شده در آن را بررسی کرده ایم.
برنامه های افزودنی شخص ثالث
- ما اجزای شخص ثالث مورد استفاده Phoca PDF، JoomShopping، افزونه "Phoca PDF Content Plugin" را دانلود می کنیم.
- ما فایلها را باز کرده و کپی میکنیم، و قبلاً ساختار دایرکتوری شبیه به کپی آلوده ایجاد کردهایم. فایل های محلی سازی را فراموش نکنید.
وضعیت الگو کمی پیچیده تر است. قالب توسط نرم افزار خاصی تولید شده است و امکان یافتن آن وجود ندارد. ما باید "همه چیز غیر ضروری" را از آن انتخاب کنیم.
خوشبختانه 21 فایل PHP در قالب وجود دارد و تمام کدهای تزریق شده با دستور #grep -lr --include=*.php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = حذف شد. strrev([^ ;]*; @$_([^;]*;//"
فایل های خود را
- دایرکتوری هایی ایجاد کنید که در آن تصاویر، اسناد و فایل های دیگر را نگه داشته اید و آنها را کپی کنید.
به محض اینکه محتوای قدیمی را با محتوای جدید جایگزین کردید، سایت باید شروع به کار کند.
به پنل مدیریت سایت بروید، نام کاربری و رمز عبور را برای دسترسی به CMS تغییر دهید و ببینید آیا ایمیل SuperUsers جایگزین شده است (یک مهاجم می تواند از عملکرد برای بازیابی رمز عبور فراموش شده استفاده کند). هرگز استفاده نکنید نام استانداردمدیر کاربر حقوق همه کاربران را با دقت بررسی کنید. امکان نصب یک مدیر دیگر توسط مهاجم را نمی توان رد کرد.
نام کاربری و رمز عبور پایگاه داده را جایگزین کنید داده های MySQL، اگر از پیشوند جدول پایگاه داده استاندارد jos_ استفاده شود، باید با یکی دیگر جایگزین شود، این امر از احتمال حمله تزریق SQL جلوگیری می کند.
پس از اتمام کار بازسازی، افزونه BotsGo404 را نصب کنید.
اگر این مقاله برای شما مفید بود، لطفا به آن رای دهید. این به دیگران کمک می کند تا این مقاله را سریعتر از بسیاری دیگر که مفید نیستند، پیدا کنند.(17 رای)
قبلا پوشش داده ایم راه های مختلفو ابزارهای حفاظتی جوملا در برابر حملات هکرها و ویروس ها. اما اگر سایت شما از قبل آلوده شده باشد چه؟ چگونه آن را درمان کنیم؟
این مقاله یک راهنمای گام به گام برای درمان یک سایت جوملا از ویروس ها ارائه می دهد (مراحل ارائه شده برای سایت های دیگر CMS نیز مرتبط است). تمام مراحل را دنبال کنید و سایت شما بازیابی خواهد شد.
چه کسی وب سایت ها را با ویروس آلوده می کند و چرا؟فرض کنید یک روز "خوب" میزبان یا Yandex.Webmaster به شما اطلاع داد که اسکریپت های مخرب در سایت شما شناسایی شده است. اولین افکاری که پس از چنین خبری به ذهن خطور می کند این است: «چطور ممکن است؟ چرا سایت من؟ ما یک شرکت کوچک هستیم. سازمان بهداشت جهانی؟ رقبا؟ برای چی؟ چگونه؟".
بیایید ابتدا به علل نظری عفونت نگاه کنیم. بیایید فرض کنیم که سایت شما واقعاً آنقدر بازدید نشده است که هکرها را علاقه مند کند (هر روز ده ها - صدها نفر از آن بازدید می کنند). چه کسی، چرا و چگونه سایت شما را آلوده کرده است؟
شما نباید بلافاصله از میان دشمنان و رقبای خود عبور کنید. به احتمال زیاد، آلودگی وب سایت شما یک تصادف است و به طور غیر مستقیم، شما (یا مدیر وب سایتی که مسئولیت وب سایت شرکت شما را بر عهده دارد) مقصر هستید.
می پرسی: "چطور؟" بگذارید مثالی از زندگی روزمره برایتان بزنم. زمستان به زودی می آید. اپیدمی آنفولانزا پیش بینی می شود. گوشهای شما قبلاً در مورد نیاز به واکسیناسیون، بهداشت و اجتناب از مکانهای شلوغ در اوج همهگیری وزوز میکردند. اما شما تصمیم گرفتید: "اوه، چه مزخرفی! من الان چندین سال است که زندگی می کنم و بدون هیچ واکسن یا توصیه ای بیمار نمی شوم!» و همه هشدارها را نادیده گرفت. زمستان آمده است. شما به آنفولانزا مبتلا شده اید. چه کسی در این مورد مقصر است؟ کسی که به شما عطسه کرد؟ یا شاید دولتی که به زور به شما واکسن تزریق نکرده است؟ یا بالاخره عزیزتان؟
با احتمال زیاد، همین اتفاق برای سایت شما افتاده است.
از خودت بپرس:
- آیا جوملا و تمامی افزونه های مورد استفاده در سایت را به طور منظم به روز می کنم؟
- من تغییر دادم آدرس استانداردمدیران؟
- آیا کامپیوتری که از آن وارد قسمت مدیریت سایت می شوم آنتی ویروس دارد؟
عدم انجام حداقل یکی از این سه نکته در حال حاضر سایت شما را در معرض خطر بالایی قرار می دهد.
سپس قرعه کشی وارد بازی می شود. فرض کنید روزی شخصی آسیب پذیری را در جوملا کشف کرد. او اطلاعات مربوط به آن را برای توسعه دهندگان جوملا ارسال کرد. آنها آسیب پذیری را برطرف کردند و آزاد کردند نسخه ی به روز شده. پس از مدتی، آسیب پذیری کشف شده برای عموم مردم شناخته می شود که شامل افراد نه چندان خوب می شود. یکی از این افراد یک عنکبوت می نویسد - برنامه ای که اینترنت را اسکن می کند تا سایت های به روز نشده با این آسیب پذیری را جستجو کند و با یافتن آنها، از این آسیب پذیری برای هک استفاده می کند.
خب بگو اینجا مقصر کیه؟ ابتدا، وب مسترهای بی تجربه یک سایت جوملا را با ده ها پسوند شخص ثالث بارگذاری می کنند، سپس چنین سایتی را به مشتری منتقل می کنند، پرداخت می کنند و آن را حذف می کنند. مشتری در مورد به روز رسانی ها و آسیب پذیری ها چندان به روز نیست. با محتوای سایت کار می کند. یکی دو سال اینجوری میگذره سپس سایت توسط یک عنکبوت پیکربندی شده است تا از یکی از آخرین آسیب پذیری های یکی از افزونه های جوملا نصب شده در سایت سوء استفاده کند. و سپس مشتری و مدیر وب سایتی که سایت را ایجاد کرده اند با صدای بلند فریاد می زنند که جوملا یک موتور نشتی است.
البته نمی توان حمله هکری هدفمند به سایت شما را رد کرد، اما احتمال چنین حمله ای در مقایسه با این واقعیت که شما عنکبوت را گرفتار کرده اید بسیار کم است. من می گویم 1٪ در مقابل 99٪. همانطور که محبوبیت، ترافیک و عملکرد سایت شما افزایش می یابد، احتمال حمله هکری تغییر می کند، اما تا زمانی که سایت شما حاوی چیز خاصی با ارزش نباشد، هکرها وقت خود را برای آن تلف نمی کنند، زیرا ... وقت آنها ارزش بیشتری دارد
به طور کلی، محتمل ترین علل اصلی عفونت باید برای شما روشن باشد. می توانید چند دسته مو را از سر خود جدا کنید، چند بار سر خود را به دیوار بکوبید و بگویید "#@@*$#!!!" (یا سر خود را به دیوار مدیر وب سایتی که از سایت نگهداری می کند ضربه بزنید =)) و سپس شروع به درمان سایت کنید.
سایت من آلوده است چه باید کرد؟سایت شما آلوده شده است. برای درمان آن، پیشنهاد می کنم از دستورالعمل های 10 مرحله ای استفاده کنید. مراحل باید به صورت متوالی انجام شوند، نه به ترتیب تصادفی.
مرحله 1. پشتیبان گیری.اگر سایت شما آلوده است، بر اساس سطح سهل انگاری شما به یکی از دو دسته تقسیم می شوید:
اگر در دسته اول قرار می گیرید، پس من یک خبر خوب برای شما دارم: مجبور نخواهید بود سایت خود را برای ویروس ها درمان کنید. به سادگی نسخه پشتیبان را بازیابی کنید و به مرحله 7 بروید.
اگر در دسته دوم قرار می گیرید، باید سخت کار کنید یا برای یک متخصص پول خرج کنید. علاوه بر این، یک خبر بسیار بد برای شما وجود دارد:
هنگام پاکسازی سایت از ویروس ها، هیچ تضمینی برای بازیابی کامل وجود ندارد و نمی تواند وجود داشته باشد.
بیایید دریابیم که چرا.
بیایید فیلم های زامبی را تصور کنیم که این روزها بسیار محبوب هستند. یک نفر تبدیل به زامبی شد، سپس دیگری را گاز گرفت، سپس نفر سوم، و بنابراین نیمی از سیاره آلوده شد. بعد از مدتی بشریت به خود آمد و همه مبتلایان را نابود کرد. صلح و آرامش حاکم شد. پس از مدتی دیگر، معلوم شد که در زیرزمین تاریک عمیق دیگری یک فرد آلوده وجود دارد که قابل شناسایی نبود. و بعد یک مرد سالم وارد این زیرزمین شد...
همین اصل در مورد آلوده کردن یک وب سایت نیز صدق می کند. فایل های سایت که چندین هزار نفر هستند قابل تغییر هستند. همچنین میتوان فایلهای جدیدی را با نامهایی اضافه کرد که خود را نشان نمیدهند. ویروس می تواند خود را در هر دایرکتوری و فایلی در ساختار فایل سایت بنویسد. سپس سایت از ویروس ها پاک می شود. تمام فایل های آلوده حذف خواهند شد. اما تضمین اینکه یکی از این فایل ها از دست نرفته کجاست؟ او رفته. و چنین فایلی در نهایت می تواند منجر به عفونت مجدد کل سایت شود.
همه اینها به این معنی نیست که شما باید تسلیم شوید و یک وب سایت جدید بسازید. با این حال، مراحلی که در زیر توضیح داده شده است این امکان را به شما میدهد که با احتمال زیاد، تمام کدهای مخرب را تا آخرین خط پاک کنید.
بیایید مرحله 1 را خلاصه کنیم.
- اگر نسخه پشتیبان تهیه کرده اید، موردی را پیدا کنید که هنوز آلوده نشده است و سایت را از آن بازیابی کنید. در مرحله بعد به مرحله 7 بروید.
- اگر نسخه های پشتیبان تهیه نکرده اید، برای این واقعیت آماده باشید که هیچ کس به شما 100٪ تضمین نمی کند که سایت کاملاً از ویروس ها پاک می شود. به مرحله 2 بروید.
اگر در حال خواندن این مرحله هستید، به شما تبریک می گویم، سهل انگاری شما در بهترین حالت خود است. اما باید در این مورد نیز به دنبال نکات مثبت باشیم. شما یاد خواهید گرفت که چگونه با وب سایت ها رفتار کنید و همچنین در مورد کار با آنها چیزهای زیادی یاد خواهید گرفت. این دانش قطعا برای شما به عنوان صاحب وب سایت مفید خواهد بود.
در این مرحله باید ایجاد کنید کپی محلیساختار فایل سایت با فایل های سایت موجود در هاست خود یک آرشیو ایجاد کنید و آن را در رایانه خود دانلود کنید. اگر نمی دانید چگونه این کار را انجام دهید، با پشتیبانی فنی تماس بگیرید. پشتیبانی هاست با درخواست ایجاد و ارسال یک نسخه از سایت برای شما.
یک وب سایت استاندارد جوملا از دو بخش تشکیل شده است:
- سیستم فایل سایت
- پایگاه داده
کدهای مخرب می توانند در فایل ها و در پایگاه داده باشند، اما همچنان به احتمال زیاد در فایل ها یافت می شوند.
پس از دانلود آرشیو با فایل های سایت و استقرار آن در سایت خود کامپیوتر محلی، آن را بررسی کنید آنتی ویروس خوببه عنوان مثال کسپرسکی. شرکت های آنتی ویروس دارند ابزار رایگانبرای چک های یکباره از یکی از آنها استفاده کنید:
اگر آنتی ویروس دارای مجوز و به روز شده در رایانه خود دارید، می توانید از آن استفاده کنید.
آنتی ویروس های سیستم عامل برای ضد عفونی کردن وب سایت ها طراحی نشده اند، اما با این وجود، می توانند نسبت خاصی از ویروس ها را شناسایی و حذف کنند. با این حال، این بیشترین است ابزار حرفه ای. از آنها غافل نشوید.
پس از اسکن، چندین ویروس پیدا می شود یا چیزی پیدا نمی شود. ما فایل های آلوده یافت شده را درمان می کنیم (به صورت دستی آنها را از کدهای مخرب پاک می کنیم) یا آنها را حذف می کنیم. بیایید به مرحله 3 برویم.
مرحله 3. بررسی با ابزارهای تخصصیدر این مرحله گرم کردن به پایان می رسد. کارهای معمولی و خسته کننده در پیش است. زمان آن رسیده است که سایت آلوده را با ابزارهای تخصصی برای جستجوی کدهای مخرب بررسی کنید. این شامل:
- AiBolit – اسکنر رایگانویروس ها و اسکریپت های مخرب راحت است زیرا می توان آن را به راحتی تحت ویندوز راه اندازی کرد.
- Manul یک ابزار آنتی ویروس از Yandex است.
من به شما توصیه می کنم از AiBolit استفاده کنید، زیرا پروژه Manul توسط Yandex بسته شده است و دیگر به روز نمی شود. بر اساس نتایج اسکن، گزارشی از فایل ها و آسیب پذیری های مشکوک برای شما تولید می شود.
بررسی AiBolit.بر اساس نتایج، یک فایل گزارش AI-BOLIT-REPORT ایجاد خواهد شد. html
چک دستی.Manul یک اسکریپت PHP است. برای اجرای آن نیاز دارید وب سرور محلی. برای این منظور می توانید از Open Server یا Denwer استفاده کنید. در مرحله بعد، دستورالعمل های وب سایت رسمی Manul را دنبال کنید.
مهم! تحت هیچ شرایطی نباید آن را اجرا کنید سرور محلیسایت آلوده اسکریپت های مخربی که در این مرحله درمان نمی شوند می توانند چند برابر شوند.
پس از بررسی با اسکنرها، دو گزارش با فایل های مشکوک خواهید داشت. مطمئن باشید: بسیاری از آنها ویروس هستند یا حاوی کدهای مخرب هستند.
آنچه در پی می آید یک مرحله نسبتا خسته کننده است. باید تمام فایل های مشکوک را به صورت دستی مرور کنید و کد موجود در آنها را بررسی کنید. اغلب کدهای مخرب با قالب بندی از کد اصلی متمایز می شوند. کد جوملا مرتب است و حاوی هیچ چیز اضافی نیست. کد اسکریپت مخرب اغلب بدون قالب بندی تزریق می شود. مثال زیر را ببینید.
کد اسکریپت مخرب:
نکات:
از باز کردن موارد آلوده نترسیدفایل های php برای مشاهده از طریق ویرایشگر متن. مترجم هنوز اجرا نمی شودPHP (سرور محلی که می تواند اجرا شودکد PHP)، ویروس ها و اسکریپت های مخرب خطرناک نیستند.
اگر تعداد زیادی فایل آلوده یافت شد، می توانید از این ترفند استفاده کنید: نسخه فعلی را بررسی کنیدجوملا در وب سایت خود، این نسخه را از وب سایت رسمی دانلود کنید. فایل های نسخه دانلود شده را در پوشه ای که دارای نسخه آلوده است کپی کنید و مطابقت ها را بازنویسی کنید. به این ترتیب می توانید بیشتر فایل های آلوده را با فایل های اصلی بازنویسی کنید. به روشی مشابه، می توانید فایل هایی را با پسوندهای بزرگ جایگزین کنیدجوملا. این با جزئیات بیشتر در مرحله 5 توضیح داده شده است.
قبل از حذف فایل های آلوده، قطعات کد اسکریپت های مخرب و نام فایل هایی که در آنها یافت می شوند را به دقت در یک فایل جداگانه یادداشت کنید. در مراحل بعدی به آنها نیاز خواهیم داشت.
این مرحله می تواند زمان بر باشد و همچنین برای کسانی که به کدهای PHP آشنایی کافی ندارند، می تواند دشوار باشد. توصیه کلی: اگر شک دارید که اسکریپت پیش روی شما مخرب است یا خیر، فرض کنید که چنین است. از حذف فایل ها و پسوندهای آلوده جوملا نترسید. در مراحل بعدی آنها را بازیابی خواهیم کرد. تنها موارد استثنا فایل هایی هستند که در فهرست قالب سایتی که استفاده می کنید قرار دارند. آنها قابل بازیابی نیستند و باید با دقت زیادی با آنها کار کنید.
وقتی همه فایلهای گزارشها بررسی/پاکسازی/حذف شدند، ساختار فایل سایت را دوباره اسکن کنید. چیزی نباید پیدا شود. پس از این کار می توانید به مرحله 4 بروید.
مرحله 4. تکرارها را جستجو کنید و با تاریخ ایجاد فایل کار کنید.حالا وقت آن است که به تدریج سر خود را بچرخانید. امیدوارم به توصیه من در مرحله قبل عمل کرده باشید و قطعات کد اسکریپت مخرب را در یک فایل جداگانه کپی کرده باشید.
اگر ویروسی که سایت شما را آلوده کرده است توسط یک نابغه نوشته نشده است و به احتمال زیاد اینطور است، قطعات کد آلوده باید به هر شکلی از فایلی به فایل دیگر تکرار شوند. ما از این برای پیدا کردن مواردی که اسکنرها و آنتی ویروس ها از دست داده اند استفاده خواهیم کرد.
برای تکمیل این مرحله نیاز داریم برنامه کل Commander یا هر ابزار دیگری که می تواند فایل ها را جستجو کند. من هنوز استفاده را توصیه می کنم فرمانده کل.
پس از باز کردن ساختار فایل سایت از طریق Total Commander، به Commands -> Search for files بروید...
در اینجا ما به دو تب علاقه مندیم.
برگه تنظیمات عمومی:
به شما امکان می دهد متنی را برای جستجو در فایل ها مشخص کنید. شما قبلاً بخش هایی از کد ویروس را ذخیره کرده اید. آیا باهوش هستی؟ ما یک قطعه را انتخاب می کنیم و به دنبال تکرارهای آن در فایل های سراسری می گردیم سیستم فایلسایت. مطمئن باشید چیزی پیش خواهد آمد. در مرحله بعد، فایل های پیدا شده را بررسی می کنیم و آنها را پاک/حذف می کنیم.
تب پیشرفته:
یکی دیگر از فرصت های عالی برای یافتن همه فایل های آلوده استفاده از تاریخ اصلاح فایل است. دوباره به گزارش AiBolit با دقت نگاه کنید. تاریخ ایجاد/تغییر را نشان می دهد فایل های مشکوک. به احتمال زیاد، تمام فایل های آلوده در بازه زمانی تقریباً یک هفته ای یا حتی در یک روز ایجاد شده اند. آن را محاسبه کنید و سپس این دوره یا روز را در تب Advanced تنظیم کنید. به این ترتیب می توانید تمام فایل های مشکوک را شناسایی کنید.
این روش کاملاً قابل اعتماد نیست، زیرا ویروس های با کیفیت بالا می توانند تاریخ ایجاد خود را تغییر دهند، اما قطعا ارزش امتحان کردن را دارد. او خیلی به من کمک می کند.
پس از انجام تمام مراحل توضیح داده شده، می توانید مرحله 5 را انجام دهید.
مرحله 5. بازیابی ساختار فایل سایت.در این مرحله، ساختار فایل سایت شما به احتمال زیاد دیگر حاوی ویروس نیست، اما دیگر کاربردی نیست. شما فایل های زیادی را تغییر داده و حذف کرده اید. مطمئناً در میان آنها "قربانیان بی گناه" وجود داشته است. اکنون زمان آن رسیده است که ساختار فایل سایت را بازیابی کنید و در عین حال قدم دیگری برای پاکسازی آن بردارید.
مراحل در اینجا به شرح زیر است:
با انجام این مراحل می توانید از تمیز بودن تمامی فایل های اجرایی سایت مطمئن شوید. از نظر تئوری، فقط فایلهایی که توسط ویروس ایجاد شدهاند و شما ایجاد کردهاید میتوانند آلوده باقی بمانند. همچنین اگر چندین مورد را روی سایت خود نصب کرده اید قالب های جوملا، باید فایل های آنها را با دقت بررسی کنید. فایلهای الگو هنگام بهروزرسانی بازنویسی نمیشوند.
بر این لحظه، ما تمام تلاش خود را برای پاکسازی و بازیابی ساختار فایل سایت انجام دادیم. زمان پایگاه داده است. بیایید به مرحله 6 برویم.
مرحله 6. پاک کردن پایگاه داده سایت.کدهای مخرب می تواند نه تنها در فایل های سایت، بلکه در پایگاه داده آن نیز وجود داشته باشد. تمیز کردن پایگاه داده تا حدی دشوارتر از تمیز کردن ساختار فایل است. من دو مرحله را برجسته می کنم:
پس از این، باید سایت را در یک سرور محلی مستقر و راه اندازی کنید (مرحله 7).
مرحله 7. اجرای آزمایشی.از آنجایی که من تا حدودی پارانوئید هستم، به شما توصیه می کنم در این مرحله سایت را روی یک سرور محلی با اینترنت خاموش اجرا کنید.
قبل از راه اندازی، باید از نظر ذهنی برای این واقعیت آماده باشید که سایت با خطا راه اندازی می شود. شاید برخی از فایلها یا پسوندهای جوملا را در حین تمیز کردن حذف کرده باشید، اما بعداً آن را بازیابی نکردید. ایرادی ندارد. نکته اصلی این است که پنل مدیریت شروع می شود. اگر این اتفاق افتاد، موارد زیر را انجام دهید:
پس از این، سایت باید به درستی و بدون خطا کار کند. اگر چیزی باقی مانده است، آن را به صورت دستی تعمیر کنید و به مرحله 8 بروید.
مرحله 8. همه رمزهای عبور را تغییر دهید.تغییر می دهیم:
- رمزهای عبور مدیر
- رمز عبور در سرور پایگاه داده
- رمز عبور FTP
- رمز عبور کنترل پنل هاست
همین، سایت شما پاک شده است. تنها چیزی که باقی می ماند این است که مطمئن شویم آسیب پذیری که منجر به عفونت شده است بسته شده است.
مرحله 9. تجزیه و تحلیل و حذف علل عفونتدوباره سرمان را می چرخانیم (بله، می دانم، قبلاً خسته است و چیزی نمی فهمد). در واقع چه چیزی منجر به عفونت شد؟ در ابتدای مقاله چند نکته در مورد این موضوع ارائه کردم.
سعی کنید بفهمید که در کجا ممکن است آسیب پذیری در سایت شما وجود داشته باشد. لازم نیست یک متخصص عالی باشید. مهم این است که فقط معقول فکر کنید.
من به شما توصیه می کنم کامپیوتر خانگی خود را از نظر ویروس بررسی کنید و همچنین به میزبانی که سایت روی آن میزبانی شده است توجه کنید. چه بررسی هایی در مورد آن در اینترنت وجود دارد؟ شاید علت عفونت یک سرور با پیکربندی ضعیف باشد.
همچنین اطلاعات مربوط به افزونه های جوملا را که در سایت خود استفاده می کنید بخوانید. برخی از آنها ممکن است آسیب پذیر باشند.
اگر دلایلی، حتی نظری، برای عفونت می بینید، بهتر است قبل از راه اندازی مجدد سایت، از شر آنها خلاص شوید.
مرحله 10. راه اندازی سایت و پیگیری تغییرات.اگر تا اینجا پیش رفته اید، به شما تبریک می گویم! راه درازی است. اکنون اطلاعات بیشتری در مورد وب سایت ها و امنیت آنها دارید. نسخه آلوده سایت را به طور کامل از هاست حذف کنید و پاک شده را به آنجا منتقل کنید. همچنین در صورت ایجاد تغییرات در پایگاه داده، آن را جایگزین کنید.
برای هفته اول، توصیه می کنم تغییرات در سیستم فایل را نظارت کنید تا ببینید آیا ویروس دوباره ظاهر می شود یا خیر. همیشه این احتمال وجود دارد که برخی از فایل های آلوده باقی بمانند.
اگر همه چیز شکست بخورد.اما اگر حتی پس از پاکسازی و بازیابی سایت، دوباره ویروس ها ظاهر شدند، چه باید کرد؟ در اینجا دو گزینه وجود دارد:
امیدوارم این مقاله به شما کمک کرده باشد که سایت خود را از ویروسها درمان کنید یا حداقل درک بهتری از امنیت، آسیبپذیریهای احتمالی و نحوه از بین بردن آنها به شما داده باشد.
اصلیترین کاری که باید انجام دهید تا با یک سایت هک شده تنها نمانید، پشتیبانگیری منظم است. مطمئن شوید که حداقل یک نسخه پشتیبان برای هر ماه در رایانه خود دارید و به خوبی بخوابید ;-).
در تماس با
جوملا نه تنها یکی از محبوب ترین سیستم های مدیریت محتوا در اینترنت است. متأسفانه، این سیستم مدیریت محتوا بیشتر در معرض حملات هکرها است. امروز در مورد اقداماتی که در صورت هک شدن سایت جوملا باید انجام دهید صحبت خواهیم کرد و همچنین به اقدامات پیشگیرانه و مبارزه با متجاوزان خواهیم پرداخت.
ارتباط با خوانندگان مرا مجبور کرد که یک پاراگراف اضافه کنم. ما رایگان یا ارائه نمی دهیم مشاوره های پولیمربوط به هک سایت شما است، اما آماده ارائه خدمات پولی برای درمان و بازیابی سایت پس از حمله هکری هستند.
چرا هکرها یک وب سایت را هک می کنند؟من موارد عجیب و غریب را در نظر نخواهم گرفت که حمله به یک سایت به طور هدفمند به منظور به دست آوردن اطلاعات انجام شود. زیرا هنگام قرار دادن اطلاعات محرمانه در اینترنت از هر چیزی غیر از جوملا استفاده می شود. انگیزه هکرهای مدرن کاملاً واضح است و می توان آن را به سه بخش اصلی تقسیم کرد.
اسکریپت هایی معرفی می شوند که صفحات شما را با پیوندهایی به وب سایت مهاجم پر می کنند. گزینه تغییر مسیر زمانی امکان پذیر است که بازدید کننده بلافاصله به سمتی که هکر می خواهد فرستاده شود.
اغلب مواردی پیش می آید که مهاجم به پایگاه داده و پنل مدیریتی دسترسی پیدا می کند و شما مقالات و اخبار دیگران را در لیست مطالب پیدا می کنید.
فایل های جوملا را می توان به طور کامل حذف کرد یا با اسکریپت های مهاجم جایگزین کرد. احتمال زیادی وجود دارد که بازدید کننده چیزی را در رنگ های قرمز و تیره ببیند که در آن نوشته می شود که هک توسط یک مرد فوق العاده از ترکیه انجام شده است.
در سال 2015 اکثر هک ها به همین دلیل اتفاق افتاد.
الگوریتم عملکرد اسکریپت های مخرب و مهاجمان چیست؟
حمله به سایت از طریق یک آسیب پذیری انجام می شود سی ام اس جوملایا جزء مواردی وجود دارد که کد مخرب در ابتدا در یک برنامه افزودنی نصب شده وجود دارد.
این برای آن دسته از مؤلفهها، افزونهها، ماژولهایی که بهطور غیرقانونی دانلود شدهاند صدق میکند.
نتیجه نفوذ به سایت، ظهور فایل های اسکریپت متعدد در دایرکتوری های مختلف جوملا است.
نام فایل ها و قرار دادن آنها در فهرست ها به گونه ای است که در نگاه اول تشخیص اسکریپت های مخرب از فایل های جوملا «بومی» آسان نیست. به همین دلیل، "درمان" سایت اغلب ناقص است، و پس از چند روز یا چند هفته دسته دیگری از هرزنامه ها از طرف دامنه شما خارج می شود.
تقریباً بلافاصله، پشتیبانی فنی میزبانی نامه ای تهدیدآمیز برای شما ارسال می کند و پیشنهاد حل مشکل امنیتی را می دهد. عدم فعالیت، حساب شما را تهدید می کند و سایت را مسدود می کند.
در صورت هک شدن سایت جوملا چه باید کرد؟آغاز جنگ شما علیه اسکریپت های مخرب با ارائه دهنده هاست شما آغاز می شود. به احتمال زیاد این نامه اوست که چراغ سبز را برای اقدام نظامی می دهد
موفقیت آنها تا حد زیادی به ابزارهایی بستگی دارد که شرکت هاستینگ در اختیار شما قرار می دهد. من موارد اصلی را لیست می کنم:
پنل آنتی ویروس تعبیه شده در هاست. به عنوان یک قاعده، ضد عفونی نمی کند، اما به پیدا کردن بخش قابل توجهی از اسکریپت های مخرب کمک می کند.
دسترسی از طریق SSH بدون آن، نمی توان در مورد مبارزه کامل با ویروس ها صحبت کرد.
پشتیبانی فنی سریع و واجد شرایط
پشتیبان گیری روزانه گزینه ایده آل امکان بازیابی یا بارگیری یک نسخه از یک ماه پیش است
اگر ارائه دهنده هاست شما آنتی ویروس ارائه نمی دهد نرم افزار(این می تواند در پانل میزبانی داخلی ساخته شود، یا به طور مستقل توسط ارائه دهنده میزبانی به درخواست شما راه اندازی شود) - سایت آلوده خود را بگیرید و شرکت ارائه دهنده خدمات میزبانی را تغییر دهید. بازار به سادگی مملو از چنین پیشنهاداتی است.
اکثر سایتها بر روی هاست اشتراکی میزبانی میشوند، و من در مورد هر چهار نقطه فهرست شده به شرکت، که لینک آن در زیر آمده است، یک عدد پنج ثابت میدهم:
اگر کل سرور را اجاره کنید، داستان کاملاً متفاوت است. اولین و سومین و چهارمین نکته کاملاً بر روی وجدان شما خواهد بود. و نکته دو بدون گفتن خواهد بود.
مراحل هک کردنمرحله 1. سایت را از فایل های مخرب
به عنوان یک قاعده، از هک تا نامه ای از پشتیبانی فنی میزبانی زمان زیادی طول نمی کشد. در موارد نادر، صاحب سایت خود یک هک را کشف می کند.
ساده ترین راه بازیابی سایت از یک نسخه پشتیبان غیر آلوده است. با این حال، تنها در صورتی مناسب است که سایت مدت زمان طولانیهیچ تغییری ایجاد نشد
در سایتی که به طور منظم به روز می شود، جستجو باید به صورت دستی انجام شود. و این کار را از طریق SSH انجام دهید. کار بسیار ساده خواهد بود. شما باید دریابید که کدام فایل ها اخیرا تغییر کرده اند. مثلا در یک هفته. برای سیستم عاملدستور دبیان به شکل زیر خواهد بود:
یافتن / دایرکتوری که در آن جستجو انجام می شود/ -نوع f -mtime -7
طبق این دستور، سیستم آن دسته از فایل هایی را که در 7 روز گذشته تغییر کرده اند، نمایش می دهد. ما به فایل هایی با پسوند PHP توجه می کنیم.
آنها کسانی هستند که تهدید می کنند. در عین حال باید بدانید که برخی از فایل های نمایش داده شده ممکن است آلوده نباشند و متعلق به خود جوملا باشند. بنابراین، شما باید توزیع اصلی نسخه ای را که در حال حاضر در حال اجرا است در دسترس داشته باشید.
در اسکرین شات دو فایل را می بینیم. اولین مورد به احتمال زیاد یک ویروس است. دومی است فایل سیستمیجوملا.
چنین نتیجه گیری هایی از کجاست؟
واقعیت این است که در اصل، هیچ فایل start.php نباید در پوشه /components/com_weblinks/views/category/ وجود داشته باشد.
و فایل error.php در فهرست /logs/ بخشی از CMS است. با این حال، اگر به طور خاص حذف شود، هیچ اتفاق مهمی رخ نخواهد داد، زیرا به عنوان ذخیرهسازی برای لاگهای جوملا عمل میکند.
مرحله 2. از سایت در برابر هک محافظت کنید
بیایید فرض کنیم همه اسکریپت های مخرب را با موفقیت حذف کرده اید. پشتیبانی فنی میزبانی و آنتی ویروس گزارش داد: "بله، همه چیز تمیز است." برای جلوگیری از این اتفاق چه باید کرد؟
به روز رسانی جوملا و افزونه ها به آخرین نسخه
اگر سایت شما بر روی نسخه جوملا تا 3.X اجرا می شود، دلیل دیگری وجود دارد که به فکر ارتقاء باشید. اخیراً بسیاری از ارائه دهندگان هاست بر این امر اصرار دارند.
با این کار مشکل امنیتی 100 درصد حل نمی شود، اما در آینده این فرصت را خواهید داشت که به سرعت سیستم را به روز کنید و با کلیک یک دکمه پچ های امنیتی را نصب کنید که اخیراً تقریباً هر هفته منتشر شده اند.
من می خواهم توجه ویژه ای داشته باشم افزونه های نصب شدهدر وب سایت شما هر جزء، افزونه، ماژول نیز باید به آخرین نسخه به روز شود. یک ممیزی در پنل مدیریت سایت خود انجام دهید.
آیا همه پسوندها استفاده می شوند؟
به دلیل صلاحیت کم، استادان وب مدرن هر مشکلی را با نصب یک افزونه یا ماژول حل می کنند، اگرچه کافی است چند خط به کد قالب وب سایت اضافه کنید. یا CSS را تغییر دهید.
هر چه در سایت شما کمتر باشد پسوندهای اضافی، احتمال هک شدنش کمتره!
جزء RSFirewallصرف نظر از محتوا، وب سایتی که سیستم مدیریت محتوای جوملا را اجرا می کند، هر روز در معرض حملات قرار می گیرد. حدس زدن رمز عبور پنل مدیریتی توسط هکرها و تلاش برای معرفی کدهای مخرب با نظم نگران کننده ای اتفاق می افتد. مقاومت در برابر حملات و نفوذها به تنهایی غیرممکن است.
می خواهم توجه شما را به مؤلفه ای جلب کنم که تعداد زیادی از مشکلات مربوط به امنیت وب سایت را حل می کند. نام آن "RSFirewall" است.
بیایید به طور خلاصه قابلیت ها، عملکردها و وظایف اصلی حل شده توسط RSFirewall را در نظر بگیریم:
سیستم خود را برای آسیبپذیری بررسی کنید. پایگاه داده، فایل ها و محیطی که سایت در آن فعالیت می کند، تجزیه و تحلیل می شود
مقایسه فایل های روی سیستم شما با توزیع اصلی جوملا. این امر جستجوی فایل های آلوده را بسیار ساده می کند.
تجزیه و تحلیل حقوق دایرکتوری ها و فایل ها.
فایل های دارای کد مخرب را جستجو کنید. پس از نمایش لیست، باید هر فایل را به صورت دستی تجزیه و تحلیل کنید، زیرا ممکن است برخی از آنها کد کار کاملاً عادی برای پسوندهای جوملا باشند.
ورود به سیستم تلاش برای ورود به پنل مدیریت جوملا و امکان مسدود کردن کاربرانی که تعداد معینی از ورود و رمز عبور اشتباه را وارد کردهاند.
ثبت هر گونه بازدید از سایت و امکان مسدود کردن آدرس های IP که از طریق آنها تلاش برای هک صورت گرفته است
ممنوعیت دسترسی به سایت از کشورهای مشخص شده.
جزء پرداخت شده است. نسخه فعلیبه طور انحصاری برای نسخه های جوملا 3.X در دسترس است
در زمان نگارش این مقاله در سه نسخه توزیع شده است. در زیر جدولی وجود دارد که هزینه، شرایط اشتراک و پیوندی به صفحه ای که این اشتراک در آن خریداری شده است را نشان می دهد.
ما RSFirewall را با استفاده از محلی سازی "پیش فرض" بررسی خواهیم کرد. یعنی زبان رابط انگلیسی باقی می ماند.
نصب جزء استاندارد است و از طریق مدیر برنامه افزودنی انجام می شود. پس از نصب کامپوننت، به قسمت "Components - RSFirewall - System Check" بروید.
صفحه ای باز می شود که در آن از ما خواسته می شود تنظیمات جوملا و سرور را برای مقاومت در برابر هک بررسی کنیم. موارد زیر نیز جستجو خواهند شد:
فایل های جوملا که اصلاح شده اند و با همتایان خود با توزیع اصلی تفاوت دارند
فایل های مخرب
حقوق دایرکتوری ها و فایل ها بررسی خواهد شد
برای اینکه بررسی شروع شود، کافی است روی دکمه "انجام بررسی سیستم" کلیک کنید.
بیایید نتیجه تجزیه و تحلیل را در نظر بگیریم.
در بالا می توانید تعداد امتیازها یا درصدهایی را که مؤلفه پس از بررسی سایت اختصاص می دهد، مشاهده کنید. مقدار "100" بالاترین امتیاز است. در حال حاضر، سایت مورد آزمایش تنها 84 امتیاز دارد. بیایید بفهمیم چرا
بیایید به لیست با جزئیات نگاه کنیم، متنی که با رنگ سبز مشخص شده است را مستثنی نکنیم.
بخش تنظیمات جوملابررسی کنید که آیا جدیدترین جوملا را دارید یا خیر! نسخه - بررسی کنید: آیا هست نسخه نصب شدهجوملا جدیدترین است. همانطور که می بینید، همه چیز در این مورد خوب است. در زمان نگارش این مقاله، نسخه جوملا 3.4.8 بود
بررسی کنید که آیا آخرین RSFirewall را دارید یا خیر! نسخه - بررسی کنید: نسخه نصب شده کامپوننت RSFirewall آخرین نسخه است. این مشخصه مهمامنیت سیستم شما، زیرا از نسخه ای به نسخه دیگر مؤلفه نه تنها پایگاه داده ای از اسکریپت های مخرب را به دست می آورد، بلکه به طور مداوم عملکرد را با توجه به آسیب پذیری های کشف شده در جوملا تغییر می دهد.
بررسی اینکه آیا رمز عبور پایگاه داده ضعیفی دارید - در این حالت، مؤلفه مقاومت هک رمز عبور پایگاه داده را بررسی می کند.
بررسی اینکه آیا کاربر پیشفرض "admin" فعال است یا خیر. - به دلایل امنیتی، ورود مدیر سایت فوق العاده باید با "ادمین" پرکاربرد متفاوت باشد. اگر کامپوننت کاربری با این ورود را در پایگاه داده پیدا کند، یک هشدار ظاهر می شود.
بررسی اینکه آیا رمز عبور FTP خود را تنظیم کرده اید - در مرحله نصب جوملا یا ویرایش تنظیمات آن، یک خطای مرگبار رخ می دهد. دسترسی FTP در فایل پیکربندی جوملا مشخص شده است. یک گزینه به همان اندازه غم انگیز نیز وجود دارد. هنگام ذخیره تنظیمات عمومی جوملا، لاگین و رمز عبور پنل مدیریتی در قسمت دسترسی FTP ثبت می شود. بنابراین از خالی بودن پارامترهای مربوطه در فایل configuration.php اطمینان حاصل می کنیم.
بررسی اینکه آیا آدرسهای اینترنتی مناسب برای موتورهای جستجو را فعال کردهاید - بررسی کنید: آیا در آن گنجانده شده است تنظیمات عمومیپشتیبانی از URL SEF جوملا.
بررسی یکپارچگی configuration.php — بررسی فایل configuration.php از نظر صحت و یکپارچگی.
بررسی اینکه آیا کاربران ادمین دارای پسوردهای ضعیف هستند - بررسی تمام رمزهای عبور مدیران فوق العاده سایت شما برای مقاومت در برابر کرک
بررسی طول عمر جلسه - بررسی طول عمر جلسه، که در تنظیمات عمومی جوملا تنظیم شده است. اگر بیش از 15 دقیقه باشد، یک هشدار ظاهر می شود.
بررسی اینکه آیا فایلی در جوملا باقی مانده است یا خیر! پوشه موقت - در این حالت بررسی می شود که آیا فایل ها در دایرکتوری موقت جوملا قرار دارند یا خیر. به طور پیش فرض، این پوشه "tmp" است. شما باید این دایرکتوری را تمیز نگه دارید، زیرا پس از نصب افزونه ها یا به روز رسانی جوملا، ممکن است آرشیوها و اسکریپت های غیر ضروری در آنجا وجود داشته باشد.
بررسی htaccess. - بررسی وجود فایل htaccess. پس از نصب جوملا، فایل htaccess.txt به صورت پیش فرض در روت سایت ایجاد می شود. وظیفه شما این است که نام آن را به .htaccess تغییر دهید. دقیقاً همانطور که نوشته شده است، با نقطه در ابتدا و بدون txt در پایان
بررسی اینکه آیا جوملا! پوشه موقت برای عموم قابل دسترسی است - بررسی می کند که آیا دایرکتوری فایل های موقت جوملا در دسترس عموم است یا خیر. منظور از این چیست؟ به عبارت ساده، آیا امکان شماره گیری وجود دارد نوار آدرسلینک مرورگر مانند www.yoursite.com/tmp.
همه نمی دانند که می توان یک دایرکتوری موقت قرار داد تا فقط اسکریپت های جوملا بتوانند به آن دسترسی داشته باشند. کافی است یک پوشه با نام دلخواه در سطحی بالاتر از دایرکتوری که سایت در آن قرار دارد ایجاد کنید و مسیر این پوشه را در فایل configuration.php بنویسید.
بررسی Session Handler - بررسی نوع کنترل جلسه. به ما توصیه می شود مقدار را روی "No" تنظیم کنید. این کار را می توان در تنظیمات کلی جوملا انجام داد
بخش پیکربندی سروربیایید به بخش بعدی برویم، جایی که پیکربندی سرور مورد تجزیه و تحلیل قرار گرفت.
ما می بینیم که دستورالعمل های پیکربندی PHP از نقطه نظر کامپوننت به درستی پیکربندی نشده اند.
نیازی به درک این نیست که کدام بخشنامه مسئول چه چیزی است. با این حال، ابتدا باید مشکل دایرکتوری موقت جوملا را که در بالا در مورد آن نوشتم حل کنید.
آن را کپی کنید HDDکامپیوتر خود را، و آن را از ریشه سایت حذف کنید، زیرا فقط برای مقاصد اطلاعاتی است و معنای دستورالعمل های PHP را که باید در php.ini خود وارد کنید، به شما می گوید.
نحوه یافتن آن در سرور و اینکه آیا دسترسی به آنجا مجاز است باید با ارائه دهنده هاست خود بررسی شود. اغلب دستورالعمل های PHP با تغییر تنظیمات پنل هاست تغییر می کنند. بنابراین، هیچ دستور العمل جهانی در اینجا وجود ندارد.
بخش نتایج اسکندر اینجا نتایج اسکن سیستم شما آمده است. پیشنهاد می کنم نتایج آنها را مطالعه کنید.
یکپارچگی جوملا را اسکن کنید! فایل های (CMS) - این بخش نتیجه اسکن فایل های جوملا CMS و مقایسه با توزیع اصلی را برای یکپارچگی و تغییرات احتمالی فایل ها نشان می دهد. نه تنها اسکریپت ها، بلکه فایل های تصویر و CSS نیز با هم مقایسه خواهند شد. خوب، این همه است.
اسکن پوشه های خود - اسکن از طریق FTP برای بازدید از هر کدام و اطمینان از پاک بودن آن از اسکریپت های مخرب
اسکن فایل های خود - در این مورد ما در مورددر مورد حقوق فایل اقدامات باید مانند دایرکتوری ها باشد
اسکن فایل های خود برای بدافزار رایج - اسکن برای وجود کدهای مخرب. همانطور که می بینید، RSFirewall یک فایل را پیدا کرد و در هنگام تجزیه و تحلیل آن را در آن یافت ویرایشگر متن، مشخص شد که واقعاً مخرب است و توسط من از سرور حذف شد.
بیایید آن را جمع بندی کنیممتأسفانه نمی توان تمام قابلیت ها و تنظیمات کامپوننت RSFirewall را در یک ماده پوشش داد. در مقاله بعدی به بررسی پیکربندی کامپوننت خواهیم پرداخت.
اگر برای حل مشکل هک وبسایت خود آماده نیستید، از طریق بخش «مخاطبین» یا در چت در گوشه سمت راست پایین صفحه بنویسید.
درمان محل با پرداخت هزینه انجام می شود.
هزینه فعلی کار در صفحه نشان داده شده است: "درمان وب سایت ها (CMS Joomla) از ویروس ها"
با احترام، ولادیمیر اگوروف
