¿Qué hacer si mi sitio web de Joomla fue pirateado?

10

Tengo un sitio web de Joomla 2.5. Ayer no pude iniciar sesión en el panel del administrador. Revisé la tabla de usuarios. Me sorprendió ver que el campo de nombre de usuario de todos los usuarios era ' admin ' y las contraseñas ' 268e27056a3e52cf3755d193cbeb0594 '. Por lo general, no utilizo extensiones de terceros poco conocidos / poco confiables.

¿Hay alguien aquí que haya encontrado el mismo problema? En caso afirmativo, ¿puede decirme cuál es el motivo y cuál es la solución?

zkanoca
fuente
77
Es posible que desee consultar la lista de extensiones vulnerables de Joomla para ver si alguna de sus extensiones está listada.
TryHarder

Respuestas:

8

Lo que te recomiendo que hagas de inmediato es:

  1. Cree una nueva instalación de Joomla en un subdominio o localhost,
  2. Crear una cuenta de superusuario con un fuerte contraseña
  3. Copie el hash de contraseña de la #__userstabla de su cuenta recién creada y reemplace la anterior.

No estoy seguro de cómo se cambiaron los hashes y los nombres de usuario, pero podría deberse a varias razones. Siempre asegúrese de ejecutar la última versión de Joomla y la última versión de extensiones. Existen bastantes extensiones que hacen que los sitios sean vulnerables a las inyecciones de SQL. No puedo enfatizar lo importante que es mantener las cosas actualizadas.

Es posible que desee comenzar a considerar migrar a Joomla 3.3 lo antes posible, ya que esta versión proporciona uno de los métodos de cifrado de contraseña más seguros (bcrypt).

Y como ha mencionado @Brian, se recomienda actualizar la contraseña de su base de datos a algo más seguro. Otra cosa buena a tener en cuenta también es cambiar los prefijos de la tabla de la base de datos. Se utilizan muchos sitios de Joomla jos_que puede cambiar a algo un poco más exclusivo utilizando una extensión como las Herramientas de administración que se mencionó en la otra respuesta

Lodder
fuente
2
Yo agregaría, cambie la contraseña de su base de datos a algo más fuerte también.
Brian Peat
8

Para mantener su sitio web siempre seguro, necesita una política de seguridad estricta:

  1. Actualiza Joomla a la última versión
  2. Utilice SOLO temas de desarrolladores conocidos (sin excepciones), y actualice a la última versión
  3. Utilice SOLAMENTE extensiones de desarrolladores conocidos (sin excepciones), y actualice a la última versión
  4. Implemente una extensión de seguridad para Joomla Hardening (Akeeba Admin es imprescindible y es gratis)

Por favor, consulte esta lista de verificación de seguridad:

Lista de verificación de seguridad / Ha sido pirateado o desfigurado http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Una ruta segura para el alivio de desastres

a. guarde el archivo configuration.php y sus imágenes y archivos personales uno por uno (no la carpeta, ya que puede contener archivos no deseados) b. Limpie toda la carpeta donde Joomla! está instalado c. cargar una nueva versión de paquete completo limpio más reciente de joomla 1.5.xo Joomla 2.5.x, joomla 3.x (menos la carpeta de instalación) d. Vuelva a cargar su archivo de configuración e imágenes. mi. Vuelva a cargar o reinstale las últimas versiones de sus extensiones, plantillas (aún mejor es usar copias limpias originales para asegurarse de que el pirata informático / destructor no dejó ningún archivo de script de shell en su sitio) f. Para ello, desconectará su sitio durante unos 15 minutos. Para rastrear su html pirateado / desfigurado puede llevar horas o incluso más.

Anibal
fuente
1
Tenga en cuenta que solo la versión paga de Akeeba Admin Tools tiene el firewall de aplicaciones web (WAF).
Neil Robertson
6

Esto puede ser algo muy frustrante, a veces un sitio no puede mantenerse actualizado por varias razones, aunque para obtener la mejor ayuda, incluya la versión completa, como 2.5.9 o algo así. Si ya ha eliminado las extensiones como posibilidad, entonces una versión anterior de Joomla podría ser la razón.

Hemos visto algo similar en nuestros sitios antes, ¿fue en un servidor compartido? Esto puede suceder incluso en un sitio limpio en un servidor compartido, si una cuenta en el servidor compartido se ve afectada, podría comprometer todo el servidor. Tampoco hay mucho que pueda hacer al respecto, nada de lo que Joomla tiene puede evitar tal vulnerabilidad y es una de las razones por las que los hosts compartidos pueden ser problemáticos. Aunque esto depende del host, algunos como siteground o hostgator son bastante buenos para mantener intacta su infraestructura.

Por lo tanto, recomendaría hacer un escaneo de malware para ver qué detecta, lo más probable es que si llegan a su base de datos de esa manera, tienen muchos archivos inyectados. Lo mejor es restaurar desde una copia de seguridad en este caso y actualizar, luego escanear malware.

También busque en las herramientas de administración de akeeba, tiene algunas herramientas útiles para asegurar su sitio.

Jordan Ramstad
fuente
4

Parece que su sitio web ha sido pirateado.

Razones para un sitio web pirateado de Joomla

Algunas de las razones por las que los hackers obtienen acceso a su sitio web son:

  1. una extensión de terceros con una vulnerabilidad
  2. una vulnerabilidad de Joomla
  3. otra cuenta con una vulnerabilidad en el mismo servidor compartido
  4. entorno de servidor / alojamiento mal configurado / mantenido
  5. computadora local comprometida que tiene credenciales de sitio web almacenadas
  6. contraseña (s) débil (s) descifradas por ataques de fuerza bruta

Usar una cantidad mínima de extensiones de terceros bien respaldadas de desarrolladores acreditados es una buena práctica, pero recuerde también que necesita mantener Joomla y las extensiones de terceros actualizadas para que las vulnerabilidades se reparen antes de que puedan ser explotadas por los piratas informáticos.

Soluciones para un sitio web pirateado de Joomla

  1. Restaurar desde una copia de seguridad limpia. Actualice Joomla y todas las extensiones de terceros a las últimas versiones. Esta es una buena solución si sabe cuándo se vio comprometido exactamente el sitio web, pero es difícil determinar el momento con confianza.

  2. Limpie el sitio web y reconstruya desde cero utilizando versiones actualizadas de Joomla y extensiones de terceros. Por lo general, esta no es una solución práctica debido al trabajo involucrado, pero puede proporcionar un alto grado de confianza en que la infección se erradica.

  3. Limpie el sitio web utilizando la herramienta de seguridad comercial https://mysites.guru (anteriormente myjoomla.com) o similar, restaurando los archivos principales cambiados a los originales, eliminando malware y reinstalando extensiones de terceros según sea necesario. Actualice Joomla y todas las extensiones de terceros a las últimas versiones.

También debe actualizar las contraseñas de Joomla, hosting y base de datos.

En la práctica, la opción 3 generalmente funciona bien para mí.

Considere mejorar la seguridad del sitio web según la Lista de verificación de seguridad oficial y "¿Cómo asegurar una nueva instalación de Joomla?"

Neil Robertson
fuente
3

Hoy me he encontrado con el mismo problema nuevamente. No es Joomla o sus extensiones. Es porque configuré todos los archivos y directorios 'CHMOD en 775. Lo hice solo para actualizar Joomla más fácilmente.

Después de leer http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , he examinado las fechas de cambio de directorios e investigado los que tienen valores diferentes.

Yo uso WinSCP para el acceso FTP. He visto 5 archivos .php con un ícono de acceso directo que no puedo abrir para ver su contenido.

  1. Settings.php
  2. e107_config.php
  3. config.php
  4. conf_global.php
  5. wp-config.php

y también en incluye directorio

  1. config.php
  2. configure.php

Los he eliminado y restauro los sitios web desde la copia de seguridad. Y lo prometo, no daré acceso de escritura para el grupo www-data excepto el directorio de imágenes.

zkanoca
fuente