Joomla! 2.5.4 pirateado: tener problemas con el diagnóstico

Mi sitio Joomla 2.5.4 fue descifrado anoche. Además, el foro de Joomla está actualmente inactivo, y ni siquiera puedo ejecutar la utilidad de diagnóstico de Joomla. (fpa-en.php)

He seguido las instrucciones de Joomla para el diagnóstico sin éxito. (Consulte a continuación) También he enviado un correo electrónico a mi servidor web (estoy en un servidor compartido, pero utilizo un host recomendado por Joomla que es un especialista en sitios de Joomla). Entonces, mi pregunta es: ¿qué debo hacer ahora?

Aquí está la información que tengo hasta ahora.

Usando Joomla 2.54 (la última). Todas las extensiones se actualizaron a la versión más reciente y ninguna está en la lista de extensiones vulnerables de Joomla.

Se cambiaron las contraseñas de otros administradores pero afortunadamente no las mías.

Se eliminó la tabla User_notes, lo que hace que el Administrador de usuarios en la sección de administración sea inútil.

Según los registros, el ataque golpeó los siguientes archivos en esta secuencia:

  1. /administrator/index.php
  2. /index.php (Raíz)
  3. /plugins/authentication/joomla/joomla.php
  4. /plugins/user/joomla/joomla.php

y luego los cambios a las tablas user_notes y users.

No hay basura en index.php

Attack ip era 199.15.234.216, que proviene de un servidor de Fort Worth de supremetelecom.com

Afortunadamente, tengo copias de seguridad y no hubo desfiguración, pero hasta que no pueda obtener fpa-en.php para trabajar y acceder a los foros de Joomla, no estoy seguro de qué otra cosa que cambiar todas las contraseñas y bloquear la ip.

¡Gracias de antemano por cualquier ayuda!

En primer lugar, restablezca las contraseñas de todos los administradores, incluido el suyo, luego cámbielos y asegúrese de que incluyan letras y números. Luego, cambie la contraseña para el panel de control del host usando el generador de contraseñas si proporcionan uno. De lo contrario, use un generador de contraseñas en línea. Una vez hecho esto, cambie la contraseña de su nombre de usuario de la base de datos y no olvide actualizar también configuration.php con su nueva contraseña.

En segundo lugar, descargue e instale Admin Tools, que agregará más seguridad a su sitio para el futuro. Admin Tools también viene con un botón de emergencia sin conexión que es útil.

A continuación, descargue e instale Saxum IP Logger, que rastreará a todos los usuarios registrados, proporcionándole su dirección IP, país, etc. y también puede bloquear las direcciones IP utilizando el complemento que viene con él.

A continuación, vaya al panel de control del host y observe los registros para ver qué direcciones IP ingresaron a su sitio web y los archivos a los que han accedido. La dirección IP que corresponde a los archivos editados, puede bloquear utilizando el complemento que mencioné anteriormente. Joomla 2.5 es muy difícil de hackear, por lo que es bastante probable que tengas una extensión que esté mal desarrollada y que permita la inyección de SQL. Por lo tanto, siempre debe elegir extensiones populares para instalar en su sitio web cuando estén relacionadas con la base de datos.

Espero que esto te ayude en el futuro. Saludos

EDITAR: También puede proteger con contraseña sus carpetas en el FTP para mayor seguridad.

También puede encontrar esta extensión bastante útil

Después de recuperarse de esto, asegúrese de colocar una contraseña en el directorio / administrator con .htaccess, suponiendo que se trata de un servidor basado en Linux.

Un par de pasos que lo ayudarán a identificar el punto de acceso. También depende de si tiene acceso a algunas herramientas del lado del servidor.

  1. Póngase en contacto con el host y pregúnteles si ejecutan Mod_Sec, de ser así, pídales el indicador Mod_sec para esa IP.
  2. Pregunte al host si ejecutan cualquier tipo de herramientas maldet, de ser así solicite un escaneo de su cuenta.
  3. Si tiene acceso al shell, ejecute un control sobre los cambios más recientes en los archivos … al lado de los archivos tmp y caché.

Reparar el truco 1. Cambiar todas sus contraseñas – 2. Instalar el pote de miel del proyecto. 3. La instalación de las herramientas de administración es buena, pero necesita la versión pro para obtener realmente acceso a las herramientas de seguridad. 4. Migre a un host que se especialice en plataformas de Joomla, en la mayoría de los casos ya tienen las cuentas configuradas para problemas de seguridad comunes en Joomla.

Ser pirateado realmente apesta … ¡Buena suerte!

Reubique su página de administrador editando los archivos config.php … y edite sus configuraciones de permisos de FTP. Si la URL de inicio de sesión de administración era la ubicación estándar. (www.site.com/administrator) cambie esta ubicación y bloquee el acceso usando su panel de control de alojamiento a solo ciertas direcciones IP (e incluso restrinja el acceso por horas de disponibilidad. Cuántas cuentas de usuario administrador tiene. Realmente debería haber solo una persona con acceso de súper usuario. Realmente no es productivo o seguro tener otros usuarios que realizan ediciones menores del sitio web con privilegios de administrador, y pueden causar problemas accidentalmente. Estos son pasos básicos y hay mucho más que puede hacer. un correo electrónico si necesita ayuda / instrucciones paso a paso. Espero que todo vaya bien.

    Intereting Posts