Блог фрилансера - сайты под ключ

Безопасность Joomla

Просмотров: 12107Комментарии: 6
Полезное

hakedby.pngОдин из самых дырявых в плане безопасности движков – Joomla! В этом я убедился ещё в 2008 году, когда один из моих сайтов был заражён вирусами. Причём сайт был на Даннео, а зараза проникла с поддомена, на котором мой знакомый развернул сайт на Joomla, для своего агентства недвижимости. Хакеры использовали дырку в безопасности Джумлы, и через неё начали хакать все сайты на сервере хостера. Кстати, это одна из главных причин, почему я никогда не использовал Джумлу для своих проектов и для сайтов на заказ. Хотя разработчики и выпускают обновления безопасности, и с каждым новым релизом безопасность увеличивается, в любом стороннем компоненте или модуле может быть бомба замедленного действия.

На днях мне предложили небольшую работу по спасению сайта на Joomla 1.5 от хакеров. В моей практике это 2-я работа по защите сайта на старой версии Джумлы. Она, видимо, самая дырявая из всех. Хакеры действовали по стандартной схеме, использовали одну из уязвимостей компонентов, в данном случае это был компонент редактора com_jce. В папку images/stories заливают файл с расширением .jpg, который на самом деле замаскированный shell. В первую очередь я прошёлся по всем папкам движка и поудалял все файлы, которые залили хакеры. Но так как я не сразу вычислил, какой компонент они использовали, левые файлы появились вновь ещё в большем количестве. При первой проверке я не смог удалить замаскированный под рисунок shell скрипт. Дело в том что у хостера в панели управления нет встроенного файл браузера с правами root, а через обычное FTP соединение файл не удалялся.

Что бы вычистить всю заразу, пришлось закачать на хостинг скрипт файлового менеджера FileMan. Кстати, очень неплохой скрипт использующий фреймворк Yii. Правда, из за этого он довольно большой по весу – 11 с лишним метров. Но работу выполнил на отлично. Через него я смог удалить все, что мне нужно было. Плюс к этому я удалил компонент редактора и на всякий случай переименовал компонент поиска (он тоже дырявый и его могут использовать для взлома). Компонент редактора удалил физически, стерев все файлы, а не просто выключил в админке. После этого я ещё раз перепроверил все файлы движка на наличие посторонних, сравнивая с оригинальными файлами 1.5.25 версии. Папки, куда загружаются рисунки и файлы при работе с сайтом, проверил особенно тщательно.

Тот, кто взломал сайт, был явно не школьник. Судя по датам, с момента появления шелла до взлома сайта прошло не менее 2-х недель. Обычно хостер хранит бэкапы файлов не более 2-х недель. Расчёт был на то, что после взлома владелец сайта попытается восстановить его из бэкапа, а он уже будет с заразой. Недаром все рекомендуют относится к своим сайтам более внимательно и не надеяться на хостера. Нужно хотя бы раз в неделю делать бэкап базы и файлов самостоятельно и скачивать на свой комп. Есть варианты через крон сливать на Ядекс Диск или какое нибудь другое облачное хранилище данных.

Комментариев: 6 RSS

1 Вика 05-03-2014 13:54

У меня тоже сайт на Джумле - студия копирайтинга hheads.net, но пока ттт. Была единственная проблема открепить "хромую" форму обратной связи, которая отказывалась работать. Ну, со скрипом убрали. А к вам можно обращаться с вопросами по Джумле?

2 Alexey Сайт 08-03-2014 11:21

Не так давно тоже поставил джумлу для одного проекта... С движком плохо знаком, взял по совету... Так примерно через месяц хотсер заблокировал аккаунт из за расылки спама... зараженные файлы лежали во всех папках движков, установленных на один хост =\ До этого лет 5 все работало без геморроев. Не знаю то ли в двиге дыра, то ли в компоненте каком...

3 Blogger 16-03-2014 08:22

Больше всего проблем с безопасностью именно в компонентах.

Насчёт обращения по Джумле - обращайтесь через контакты

4 softvlog Сайт 04-06-2014 03:18

Меня в joomla раздражала совместимость плагинов, а точнее её отсутствие между версиями движка, использую Wordpress во всех своих проектах.

5 Barada Сайт 04-06-2014 20:40

Хмм... вы меня огорчили, парни. Как начинающий выбрал joomla для своего первого сайта, в основном из-за благозвучного названия grinА оказывается все плохо? Заплатки хоть помогают? имею ввиду всякие плагины для безопасности. И когда начинают сайт ломать? после какого порога посещаемости, ТИЦ, позиции в выдаче?

6 Blogger 13-06-2014 15:46

Поломать могут в любую минуту, независимо ни от чего. А если сайт популярен то шанс попасть под раздачу увеличивается. Для безопасности нужно постоянно обновляться и не использовать плагины взятые с неизвестных сайтов. Так же постоянно следить за информацией о найденных уязвимостях.

Оставьте комментарий!

grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question


Комментарий будет опубликован после проверки

     

  

(обязательно)