Joomla 5.2.2 Security & Bugfix Release
Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.
napadení webu
04. čvc 2021 19:27 #144548
Dobrý den, nedávno jsem udělal web
www.msdobrna.cz
a již asi 4x jsem řešil napadení webu roboty. Tato napadení proběhla cca po 1 a půl měsíci fungování webu. Pokaždé jsem web obnovil ze zálohy a zkontroloval podezřelé soubory, změnil jsem hesla k FTP i k DB.
Prosím, můžete mi poradit, jaké kroky bych mohl ještě udělat, aby k těmto napadením nedocházelo?
J 3.27.1
PHP 7.3
i plugin Brute Force Stop
Mockrát děkuji
Prosím, můžete mi poradit, jaké kroky bych mohl ještě udělat, aby k těmto napadením nedocházelo?
J 3.27.1
PHP 7.3
i plugin Brute Force Stop
Mockrát děkuji
04. čvc 2021 20:47 - 05. čvc 2021 11:19 #144549
I'm sorry, my responses are limited...you must ask the right questions.
Odpověď od Bong
Moderátor
Ideálně zjistit kudy je web napadán. To je docela podstatné. Klidně to může být hostingem.
Jinak změnit hesla jen FTP a DB je málo. Změnit i hesla do administrace Joomly a i další, které s hostingem souvisí.
Také jen kontrolování podezřelých souborů je sporné.
Záloha musí být čistá. Tedy složky a soubory Joomly a nainstalovaných rozšíření se musí shodovat se soubory instalace Joomly a všech rozšíření. Co je navíc tam nemá co dělat...
Zálohu je třeba obnovovat na vyčištěný prázdný web s již změněnými hesly.
Také je vhodné zprovoznit HTTPS, pořádné SEF URL, použít zabezpečení například RSFirewall!, Admin Tools, atd...
Jinak změnit hesla jen FTP a DB je málo. Změnit i hesla do administrace Joomly a i další, které s hostingem souvisí.
Také jen kontrolování podezřelých souborů je sporné.
Záloha musí být čistá. Tedy složky a soubory Joomly a nainstalovaných rozšíření se musí shodovat se soubory instalace Joomly a všech rozšíření. Co je navíc tam nemá co dělat...
Zálohu je třeba obnovovat na vyčištěný prázdný web s již změněnými hesly.
Také je vhodné zprovoznit HTTPS, pořádné SEF URL, použít zabezpečení například RSFirewall!, Admin Tools, atd...
I'm sorry, my responses are limited...you must ask the right questions.
Poděkovali: Luděk Pechanec
15. čvc 2021 07:37 #144558
Odpověď od Teo
Návštěvník
Zkus si stáhnout napadený web a mrknout na soubory či složky, které jsou napadeny. Podle nich se dá potom dál něco řešit. Já jsem napadené složky či soubory našel podle jiného data editace, než ty ostatní. Prostě čas útoku.
Taky se dá ledacos vyčíst z logů. Každopádně to často bývá mravenčí práce.
Taky se dá ledacos vyčíst z logů. Každopádně to často bývá mravenčí práce.
15. čvc 2021 08:33 #144560
Odpověď od Luděk Pechanec
Pokročilý uživatel
Mockrát děkuji. Již jse provedl a zatím vše OK.
15. čvc 2021 08:34 #144561
Není to bohužel vždy pravidlem.
Takhle to řešili správci serveru dlouhá léta (stažení, projítí antivirovým programem nebo scriptem, znovu nahození) a stejně to nepomáhalo.
Zavirovaný soubor může mít totiž pořád stejný čas vytvoření i změny, jen je do něj dopsaný dodatečný kód.
Jak odvirovat web už bylo mnohokrát popsáno, základní metodu popsal Bong již v roce 2013 na svém webu, my jsme jej rozšířili o použití mysites.guru a nasazení rsfirewall.
Vše ostatní jsou rady ptáka loskutáka (zejména se usmívám při zaručené radě - obnovte ze zálohy) a vedou k možnosti opětovnému zavirování během následujících 5 minut po obnovení.
Stejně si ale každý najde svoji cestu do doby než se mu zaviruje web znovu...
MiniJoomla! - www.minijoomla.org - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla
Odpověď od Rudolf
Joomla Expert
Já jsem napadené složky či soubory našel podle jiného data editace, než ty ostatní.
Není to bohužel vždy pravidlem.
Takhle to řešili správci serveru dlouhá léta (stažení, projítí antivirovým programem nebo scriptem, znovu nahození) a stejně to nepomáhalo.
Zavirovaný soubor může mít totiž pořád stejný čas vytvoření i změny, jen je do něj dopsaný dodatečný kód.
Jak odvirovat web už bylo mnohokrát popsáno, základní metodu popsal Bong již v roce 2013 na svém webu, my jsme jej rozšířili o použití mysites.guru a nasazení rsfirewall.
Vše ostatní jsou rady ptáka loskutáka (zejména se usmívám při zaručené radě - obnovte ze zálohy) a vedou k možnosti opětovnému zavirování během následujících 5 minut po obnovení.
Stejně si ale každý najde svoji cestu do doby než se mu zaviruje web znovu...
MiniJoomla! - www.minijoomla.org - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla
15. čvc 2021 15:15 #144568
Odpověď od Cony
Moderátor
Akeeba Admin Tools umí kontrolovat změny souborů na základě spočítaného kontrolního součtu (možná to umí i ten RS Firewall, nevím). Při napadení to může být velmi dobré vodítko k nalezení škodlivého kódu (ne ale k nalezení toho, jak byl web napaden).
Časové razítko souboru lze opravdu jednoduše zfalšovat, ale často se tím "hackeři" moc nezabývají, pro rychlý náhled to tedy může být také vodítko.
Než stahovat celý web na lokál, doporučuji ještě vyzkoušet PHP malware scanner - lze spustit přímo na serveru z příkazové řádky (CLI skript).
Časové razítko souboru lze opravdu jednoduše zfalšovat, ale často se tím "hackeři" moc nezabývají, pro rychlý náhled to tedy může být také vodítko.
Než stahovat celý web na lokál, doporučuji ještě vyzkoušet PHP malware scanner - lze spustit přímo na serveru z příkazové řádky (CLI skript).