ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

完全な Joomla ハックとマルウェアの削除ガイド

Joomla は、WordPress に次いで 2 番目に人気のある CMS であり、定期的にハッカーの標的になっています。下のグラフは、XSS が WordPress のような Joomla の攻撃者によって悪用される最も一般的な脆弱性であることを示しています。 Joomla ハッキングのその他の理由は、コード インジェクション、SQLi などです。

このガイドは、ハッキングされた Joomla Web サイトからマルウェアを削除するためのリソースを探している場合に役立ちます。探している場合は、以下のリンクに従ってください

  • Joomla マルウェア除去拡張機能
  • Joomla セキュリティ ガイド

ハッキングされた Joomla Web サイトは、非常に不安になる可能性があります。ただし、Joomla ハッキングの除去プロセスを開始する前に、ハッキングされた Joomla サイトの症状を簡単に確認しておきましょう。

ハッキングされた Joomla Web サイトの兆候

  • Google 検索では、「このサイトはハッキングされる可能性があります」と表示されます ' メタ ディスクリプション内。
  • 暗号通貨のバックグラウンド マイニング
  • スパムへのウェブサイトのリダイレクト
  • インデックス ページが劣化したか、Joomla のハッキングによって置き換えられました。
  • 管理者アカウントからログアウトします。
  • 新しい管理者が登場します。
  • ページの読み込みが遅くなったり、大きくなったりする
  • 以前は存在しなかったスパムがサイトに表示されるようになりました。
  • サイトが「マルウェア」または「フィッシング」のために Google によってブラックリストに登録される。
  • このスパムには、不要な広告やリダイレクトも含まれます。
  • サイトへの不自然なトラフィックの増加。これらはすべて、Google のウェブマスター ツールを使用して確認できます。
  • CMS またはその他のソフトウェアが破損している可能性があります。特にファイアウォール!

あなたのウェブサイトは Joomla ハッキングの兆候を示していますか?チャット ウィジェットでメッセージを送信してください。喜んでお手伝いいたします。 今すぐウェブサイトの結果を修正 .

Joomla ハックとマルウェアの削除プロセス

Certains indicateurs courants tels que les avertissements de liste noire par Google et d’autres moteurs de recherche, le comportement anormal du navigateur, les fichiers modifiés et la présence de nouveaux utilisateurs malveillants dans le tableau de bord Joomla présentent un site Web Joomla piraté. Mentionné ci-dessous est un guide pour identifier et nettoyer votre site Joomla piraté:

  1. Identifier le piratage

Analysez votre site Joomla pour identifier les emplacements de logiciels malveillants et les charges utiles malveillantes. Sécurité Joomla intégrée d’Astra assure la surveillance et l’identification en temps opportun d’un site Joomla piraté.

Ensuite, vérifiez tous les fichiers modifiés, y compris vos fichiers principaux. Vous pouvez le faire en vérifiant manuellement vos fichiers via SFTP.

Audit des comptes d’utilisateurs et administrateurs malveillants.

Si votre site Joomla apparaît sur la liste noire de Google ou d’autres autorités de sécurité du site Web, vous pouvez vérifier l’état de sécurité de votre Joomla! site Web en utilisant leurs outils de diagnostic. Pour vérifier la transparence de Google, visitez le État du site de navigation sécurisée site Web où vous pouvez consulter

  • Détails de sécurité du site qui donnent des informations sur les redirections malveillantes, le spam et les téléchargements.
  • Détails des tests qui informent sur l’analyse Google la plus récente qui a découvert le malware.

Utilisez des outils gratuits de surveillance de la sécurité tels que Google Webmasters Central, Bing Webmaster Tools et Norton SafeWeb pour vérifier les rapports de sécurité de votre site Web.

  1. Correction du hack Joomla

Pour obtenir des informations sur l’emplacement potentiel des logiciels malveillants, les utilisateurs compromis et l’évaluation des menaces, optez pour un nettoyage complet du site Web. Comparez les fichiers infectés avec les sauvegardes précédentes pour évaluer l’étendue des modifications et supprimer les modifications malveillantes. Nettoyez la base de données Joomla piratée en utilisant un panneau d’administration de base de données, tel que PHPMyAdmin ou des outils tels que Search-Replace-DB ou Adminer.

La prochaine étape serait de sécuriser tous les comptes d’utilisateurs. Souvent, les pirates laissent plusieurs portes dérobées pour pouvoir à nouveau y accéder même après le nettoyage d’un site Web. Les portes dérobées sont généralement intégrées dans des fichiers d’apparence légitime, mais situées dans les mauvais répertoires. Par conséquent, il est impératif de nettoyer soigneusement vos fichiers des portes dérobées sinon il y a un risque de réinfection.

1. Nettoyage de la base de données

Commencez par nettoyer à partir de cette base de données infectée. L’injection SQL Joomla peut créer de nouveaux utilisateurs de base de données. Pour rechercher de nouveaux utilisateurs créés après une date spécifique, utilisez le code suivant:

Sélectionnez * parmi les utilisateurs comme u

AND u.created>
UNIX_TIMESTAMP (STR_TO_DATE (‘My_Date’, ‘% M% d% Y’));

Une fois que les utilisateurs malveillants sont trouvés. Alors, supprimez-les à l’aide de l’instruction SQLDrop User;Non seulement cela, pour éviter de futures infections:

  • Désinfectez l’entrée utilisateur.
  • Restreignez les autorisations de base de données sur le compte.
  • Bloquer la divulgation des erreurs de base de données uniquement localement.
  • Utilisez la fonte de type dans la mesure du possible.

2. Sécurisation du serveur

Même lorsque l’installation est sécurisée, les serveurs de pannes peuvent provoquer un piratage Joomla. Bien qu’il existe une grande liste de problèmes de sécurité Joomla. Certains points clés à retenir sont:

  • Fermez tous les ports ouverts.
  • Supprimez les sous-domaines inutilisés.
  • Vérifiez régulièrement les problèmes de configuration.
  • Si vous partagez un serveur, optez pour le sous-réseau. Ou utilisez un VPN.
  • Bloquer les messages d’erreur fuient des informations.
  • Donnez des mots de passe forts et aléatoires aux comptes FTP et à la base de données!
  • Assurez-vous d’utiliser un pare-feu ou une sorte de sécurité solution.

3. Définition des autorisations

  • En premier lieu, assurez-vous qu’aucun utilisateur ne peut télécharger des exécutables comme.php.aspxetc. Seuls les fichiers image doivent être téléchargés sur le serveur.
  • Passez maintenant à définir les autorisations de fichier pour le serveur. Le fichier le plus sensible est peut-être le fichier .htaccess. Donc, pour définir les autorisations de fichier appropriées. Définissez votre.htaccesspermission a444 (r – r – r–)ou peut-être440 (r – r—–).
  • Assurez-vous également que vos fichiers PHP ne peuvent pas être écrasés. Par conséquent, vous devez définir* .phpà444 (r – r – r–).
  • Plus important encore, utilisez les extensions de fichiers populaires. Joomla est un très gros CMS, donc les remplaçants sont toujours là. Les extensions populaires obtiennent des mises à jour plus rapidement en cas de vulnérabilité. Alors essayez la plupart du temps de suivre la demande populaire!

4. Vérifiez les fichiers modifiés dans Joomla

La plupart du temps, les pirates modifient vos fichiers pour injecter du spam. Cela peut causer un véritable désordre dans votre

installation. Vous pourriez avoir besoin d’une nouvelle installation. Pour éviter tout cela, assurez-vous de toujours conserver une sauvegarde. Lors de l’analyse des fichiers après un Joomla Hack, la commande diff est pratique. Cela aide à vérifier les fichiers modifiés. Tous les fichiers Joomla sont disponibles publiquement sur Github.

Cela peut être utilisé à des fins de comparaison. Pour vérifier l’intégrité du fichier principal avec les commandes SSH:

$ mkdir joomla $ cd joomla

Tout d’abord, nous avons créé un répertoire nomméJoomlaet est passé à cela.

$ wget https://github.com/joomla/joomla-cms/releases/download/3.6.4/

Joomla_3.6.4-Stable-Full_Package.tar.gz

$ tar -zxvf Joomla_3.6.4-Stable-Full_Package.tar.gz

lewgetcommand a téléchargé les fichiers Joomla depuis GitHub. La deuxième ligne de code les extrait ensuite.

$ diff -r joomla-3.6.4 ./public_html

Enfin, la commande diff compare ici le contenu. Cette fois, nous examinons lepublic_htmlfichier. De même, vous pouvez vérifier plusieurs fichiers. De plus, les fichiers peuvent être vérifiés manuellement. Connectez-vous simplement en utilisant n’importe quel client FTP et vérifiez les fichiers. SSH vous permet de lister les modifications de fichiers.

$ find ./ -type f -mtime -15
Ici, cette commande SSH révèle les fichiers modifiés au cours des 15 derniers jours. De même, vous

peut changer l’horodatage. Recherchez tous les fichiers récemment modifiés!

Consultez dès maintenant les experts en sécurité Astra pour trouver et réparer un hack Joomla . Notre puissant pare-feu protège votre site Web contre XSS, LFI, RFI, SQL Injection, Bad bots, Automated Vulnerability Scanners et plus de 80 menaces de sécurité.

5. Vérifiez les journaux des utilisateurs

Les journaux système sont le meilleur outil pour identifier la cause d’un piratage Joomla. Enregistrement des journaux système

toutes les activités précédentes qui ont eu lieu. Ainsi, chaque fois qu’une injection XSS ou SQL a lieu,

il y a toujours un enregistrement de la demande. De plus, les pirates ont tendance à créer un nouvel administrateur

comptes. Si vous souhaitez rechercher des utilisateurs suspects, alors:

  1. Tout d’abord, connectez-vous à votre tableau de bord Joomla.
  2. Maintenant, cliquez sur Utilisateurs et sélectionnez Gérer.
  3. Vérifiez ici les utilisateurs suspects. Surtout ceux récemment enregistrés.
  4. Maintenant, passez à Supprimer tous les utilisateurs inconnus.
  5. Vérifiez également la date de la dernière visite.
  6. Découvrez où sont stockés les journaux du serveur. Utilisez-le pour identifier l’injection SQL Joomla, etc.
  7. Si vous voyez des utilisateurs se connecter à partir d’adresses IP inconnues, supprimez-les.

De plus, utilisez le rapport de diagnostic Google pour trouver la cause. Il vous donne une vue complète de votre site. Si votre site est sur liste noire, travaillez plus étroitement avec Google. Le rapport de diagnostic vous donnera la cause de la liste noire. Utilisez-le pour trouver et éliminer l’infection!

Que faire après la suppression du hack Joomla?

Mettre à jour

La plupart du temps, un piratage Joomla a lieu en raison de fichiers non corrigés. Par conséquent, la première étape à suivre après le nettoyage du hack est une mise à jour Joomla. Les mises à jour suppriment essentiellement les extensions vulnérables et comblent les failles de sécurité, vous offrant ainsi un environnement sécurisé.

Actuellement, la version 3.x de Joomla est la version majeure la plus stable. Ceux qui utilisent les branches 1.x et 2.x devraient immédiatement passer à 3.x.

Outre la mise à jour de la version majeure, mettez également à jour tous les fichiers principaux, composants, modèles, modules et plugins Joomla.

Réinstaller

Après le piratage, il est également conseillé de réinstaller toutes les extensions pour s’assurer qu’elles sont fonctionnelles et sans malware. De plus, supprimez les thèmes, composants, modules ou plugins obsolètes / désactivés de votre serveur Web. Parfois, nous oublions de supprimer les fichiers liés à ces modules et plugins abandonnés, cela peut encore laisser des failles. Ainsi, assurez-vous de vous débarrasser également des fichiers car ils peuvent contenir de graves vulnérabilités

Après avoir nettoyé votre site Joomla piraté, effectuez une sauvegarde. Avoir une bonne stratégie de sauvegarde est au cœur des meilleures pratiques de sécurité. Stockez vos sauvegardes dans un emplacement hors site, car leur stockage sur un serveur peut également conduire à un piratage.

Enfin, il est conseillé de scanner votre système avec un bon antivirus. Il y a une possibilité de compromission du système si un utilisateur avec un ordinateur infecté a accès à votre site Web. Protégez votre site à l’aide d’un pare-feu de site Web qui protège essentiellement votre site contre les utilisateurs malveillants ou les menaces de logiciels malveillants du Web. Le pare-feu d’applications Web d’Astra atténue les menaces en ligne et tient les logiciels malveillants à distance.

Réinitialiser

Réinitialisez tous les mots de passe pour éviter les réinfections. Assurez-vous que vous avez configuré l’authentification à deux facteurs sur les comptes d’utilisateurs. En outre, pratiquez le moindre privilège et accordez un accès limité aux personnes qui doivent faire un travail particulier.

Conseils de sécurité Joomla Post Hack

La mise en œuvre des pratiques de sécurité suivantes protégera votre site Joomla de la majorité des attaques:

  1. Mettez régulièrement à jour la version, l’extension et les plugins de Joomla:

Un site Joomla sécurisé est un site mis à jour régulièrement. Chaque mise à jour de version est publiée avec des améliorations de sécurité et des corrections de bogues. Une version obsolète de Joomla ou de toute autre extension / plug-in obsolète peut se faufiler dans les pirates.

  1. Utilisez des mots de passe forts:

Des informations d’identification faibles peuvent finalement être divulguées via Brute Force et agir comme des failles de sécurité communes, conduisant ainsi à une sécurité compromise. Les mots de passe faciles à deviner et les comptes d’administrateur par défaut permettent aux auteurs d’accéder plus facilement à votre site Web Joomla, ce qui l’expose à une multitude d’activités malveillantes. Un mot de passe de longue durée avec plusieurs caractères en fait un mot de passe sécurisé plutôt qu’un code plus court.

  1. Sauvegardes périodiques:

La sauvegarde régulière des archives de vos fichiers et bases de données vous permet de sauvegarder votre dos en cas de problème. Certaines extensions comme le Sauvegarde Joomla facile fournir des sauvegardes automatiques programmées qui peuvent être restaurées ultérieurement en cas de perte de données résultant d’un piratage.

  1. Restreindre l’accès à la page d’administration:

Les auteurs ont souvent recours à des attaques par force brute sur des pages de connexion d’administrateur facilement devinables. Il est donc impératif de restreignez l’accès à votre zone administrateur. Il est conseillé de ne pas utiliser une URL de page de connexion administrateur par défaut, mais de la remplacer par un nom spécifique. De plus, le panneau d’administration doit être protégé par mot de passe. Des extensions telles que les outils d’administration, RSFirewall, etc. permettent au propriétaire d’un site Joomla de modifier l’URL de sa page de connexion

  1. Extensions de sécurité:

L’utilisation d’extensions de sécurité contribue grandement à sécuriser votre site Joomla. Ces extensions, lorsqu’elles sont correctement configurées avec votre site, vous permettent de bloquer tout type d’activité malveillante et de camoufler les failles de sécurité. Les extensions vous permettent de bloquer les attaques de pirates et de combler les failles de sécurité de votre site Joomla.

  1. Utilisation de l’authentification à deux facteurs:

Un code d’authentification à deux facteurs (communément appelé mot de passe à usage unique:OPT) rend votre site Joomla encore plus sécurisé. Même si votre mot de passe est deviné ou divulgué, il faut toujours passer par un code d’authentification pour obtenir un accès illégal à votre compte.

  1. Méfiez-vous des téléchargements corrompus:

Ne téléchargez jamais d’extensions, de plugins ou d’éléments premium gratuitement à partir de sources non authentifiées ou non officielles. Les plugins d’une source inconnue peuvent être corrompus ou contiennent des logiciels malveillants susceptibles d’endommager votre site. N’envisagez pas d’économiser de l’argent ici, mais plutôt de dépenser sur des sources authentiques.

  1. Certification SSL:

Chaque fois qu’un utilisateur se connecte à un site, ses informations d’identification sont envoyées à un serveur sans cryptage. En utilisant un certificat SSL, ces informations d’identification seront cryptées avant d’être envoyées au serveur. De cette manière, une certification SSL fournit une couche de protection supplémentaire à votre site Web Joomla.

  1. Désactivez la couche FTP:

La couche FTP n’est généralement pas nécessaire dans Joomla et elle est désactivée par défaut. Il est nécessaire de le garder ainsi, car une couche FTP activée est une faille de sécurité majeure dans les sites Joomla.

  1. Autorisations appropriées de fichier et de répertoire:

Gérez toujours les autorisations sur les fichiers et les répertoires, et ne donnez jamais un accès complet à l’autorisation 777. Ne donnez jamais un accès complet ou une autorisation 777, mais utilisez plutôt 755 pour les dossiers, 644 pour les fichiers et 444 pour les fichiers configuration.php

Prenez une démo Astra maintenant!


  1. Magento ストアがハッキングされましたか?完全な Magento マルウェア削除ガイド

    Magento は、インターネットの 1.2%、すべての e コマース サイトの 12% を支えています。純粋な数では、250,000 のアクティブなサイトが Magento を使用しています。 e コマース サイトは大量の顧客データを処理するため、ハッカーの主な標的になります。そのため、この危機から抜け出すために、段階的な Magento ハック除去テクニックをまとめました。このガイドでは、Magento Web サイトの症状、例、考えられる原因、予防のヒントについて詳しく説明します。 Magento のハッキング タイプが不足しているわけではありませんが、Magento ではクレジット

  2. [修正] WordPress rms-script リモート アクセス マルウェア

    最近、一部の WordPress Web サイトに、外部サイトへのリモート アクセスを許可するリモート アクセス マルウェアが含まれていることが判明しました。このマルウェアの場所は、wp-content/mu-plugins フォルダー内のランダムな PHP ファイルであることが後で判明しました。一般的な無料の WordPress セキュリティ プラグインを使用して Web サイトをスキャンしても、異常は検出されませんでした。このマルウェアの詳細と修正方法については、以下をお読みください。 rms-script マルウェアの機能 最初は、WordPress サイトに奇妙なエラーが表示され