Tengo un sitio web de Joomla 2.5. Ayer no pude iniciar sesión en el panel del administrador. Revisé la tabla de usuarios. Me sorprendió ver que el campo de nombre de usuario de todos los usuarios era ' admin ' y las contraseñas ' 268e27056a3e52cf3755d193cbeb0594 '. Por lo general, no utilizo extensiones de terceros poco conocidos / poco confiables.
¿Hay alguien aquí que haya encontrado el mismo problema? En caso afirmativo, ¿puede decirme cuál es el motivo y cuál es la solución?
Respuestas:
Lo que te recomiendo que hagas de inmediato es:
#__users
tabla de su cuenta recién creada y reemplace la anterior.No estoy seguro de cómo se cambiaron los hashes y los nombres de usuario, pero podría deberse a varias razones. Siempre asegúrese de ejecutar la última versión de Joomla y la última versión de extensiones. Existen bastantes extensiones que hacen que los sitios sean vulnerables a las inyecciones de SQL. No puedo enfatizar lo importante que es mantener las cosas actualizadas.
Es posible que desee comenzar a considerar migrar a Joomla 3.3 lo antes posible, ya que esta versión proporciona uno de los métodos de cifrado de contraseña más seguros (bcrypt).
Y como ha mencionado @Brian, se recomienda actualizar la contraseña de su base de datos a algo más seguro. Otra cosa buena a tener en cuenta también es cambiar los prefijos de la tabla de la base de datos. Se utilizan muchos sitios de Joomla
jos_
que puede cambiar a algo un poco más exclusivo utilizando una extensión como las Herramientas de administración que se mencionó en la otra respuestafuente
Para mantener su sitio web siempre seguro, necesita una política de seguridad estricta:
Por favor, consulte esta lista de verificación de seguridad:
Lista de verificación de seguridad / Ha sido pirateado o desfigurado http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced
fuente
Esto puede ser algo muy frustrante, a veces un sitio no puede mantenerse actualizado por varias razones, aunque para obtener la mejor ayuda, incluya la versión completa, como 2.5.9 o algo así. Si ya ha eliminado las extensiones como posibilidad, entonces una versión anterior de Joomla podría ser la razón.
Hemos visto algo similar en nuestros sitios antes, ¿fue en un servidor compartido? Esto puede suceder incluso en un sitio limpio en un servidor compartido, si una cuenta en el servidor compartido se ve afectada, podría comprometer todo el servidor. Tampoco hay mucho que pueda hacer al respecto, nada de lo que Joomla tiene puede evitar tal vulnerabilidad y es una de las razones por las que los hosts compartidos pueden ser problemáticos. Aunque esto depende del host, algunos como siteground o hostgator son bastante buenos para mantener intacta su infraestructura.
Por lo tanto, recomendaría hacer un escaneo de malware para ver qué detecta, lo más probable es que si llegan a su base de datos de esa manera, tienen muchos archivos inyectados. Lo mejor es restaurar desde una copia de seguridad en este caso y actualizar, luego escanear malware.
También busque en las herramientas de administración de akeeba, tiene algunas herramientas útiles para asegurar su sitio.
fuente
Parece que su sitio web ha sido pirateado.
Razones para un sitio web pirateado de Joomla
Algunas de las razones por las que los hackers obtienen acceso a su sitio web son:
Usar una cantidad mínima de extensiones de terceros bien respaldadas de desarrolladores acreditados es una buena práctica, pero recuerde también que necesita mantener Joomla y las extensiones de terceros actualizadas para que las vulnerabilidades se reparen antes de que puedan ser explotadas por los piratas informáticos.
Soluciones para un sitio web pirateado de Joomla
Restaurar desde una copia de seguridad limpia. Actualice Joomla y todas las extensiones de terceros a las últimas versiones. Esta es una buena solución si sabe cuándo se vio comprometido exactamente el sitio web, pero es difícil determinar el momento con confianza.
Limpie el sitio web y reconstruya desde cero utilizando versiones actualizadas de Joomla y extensiones de terceros. Por lo general, esta no es una solución práctica debido al trabajo involucrado, pero puede proporcionar un alto grado de confianza en que la infección se erradica.
Limpie el sitio web utilizando la herramienta de seguridad comercial https://mysites.guru (anteriormente myjoomla.com) o similar, restaurando los archivos principales cambiados a los originales, eliminando malware y reinstalando extensiones de terceros según sea necesario. Actualice Joomla y todas las extensiones de terceros a las últimas versiones.
También debe actualizar las contraseñas de Joomla, hosting y base de datos.
En la práctica, la opción 3 generalmente funciona bien para mí.
Considere mejorar la seguridad del sitio web según la Lista de verificación de seguridad oficial y "¿Cómo asegurar una nueva instalación de Joomla?"
fuente
Hoy me he encontrado con el mismo problema nuevamente. No es Joomla o sus extensiones. Es porque configuré todos los archivos y directorios 'CHMOD en 775. Lo hice solo para actualizar Joomla más fácilmente.
Después de leer http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , he examinado las fechas de cambio de directorios e investigado los que tienen valores diferentes.
Yo uso WinSCP para el acceso FTP. He visto 5 archivos .php con un ícono de acceso directo que no puedo abrir para ver su contenido.
y también en incluye directorio
Los he eliminado y restauro los sitios web desde la copia de seguridad. Y lo prometo, no daré acceso de escritura para el grupo www-data excepto el directorio de imágenes.
fuente