baner

Gdybyśmy wiedzieli dokładnie jakie pliki są zmieniana lub jakie dodawane nie było by problemu, po prostu podmieniamy je prawidłowymi plikami a kasujemy te niepotrzebne. Tak niestety nie jest. Takim standardem jest zmiana plików Index.php w głównym katalogu Joomla, pliku configuration.php tez jest często podmieniany, stąd często jest rekomendowane zapisanie go w innej niedostępnej lokalizacji, czasami pojawiają się wpisy w pliku .htaccess, no wg mnie poszukiwania trzeba rozpocząć do pliki index.php szablonu – ten plik jest zawsze zmieniany gdy na naszej stronie pojawiają się ukryte linki. Czyli mamy potencjalne 4 lokalizacje. Niestety nie jest tak łatwo, ostatnio się spotykam ze zmianami w zupełnie innych plikach jak leżących głęboko w katalogach Joomla, jest to normalne, haker nie chce abyś za szybko odnalazł jego kod. Poszukiwania metoda ręczną wg mnie są nie możliwe. Jest kilka innych metod.

ochrona strony z Joomla

co zmiania włamywacz w Joomla

Zmiana plików rdzennych Joomla to nie jedyna rzecz która zmienia haker. W różnych miejscach może pozostawić po sobie pliki, w różnych dziwnych nazwach np.: b966.php, takie pliki łatwo odszukać czasami leżą samotnie w jakimś katalogu obok pikiu index. Jednak nie zawsze tak jest to było by za łatwe, pliki pozostawione przez włamywacza mają często bardzo przyjazne nazwy, także nie wiadomo czy to plik ze złośliwym oprogramowaniem czy też plik Joomla lub innego rozszerzenia. Jak widać nie jest łatwo a jest wręcz trudniej bo włamywacz może zastosować metodę mieszaną czyli zmienić zapisy w plikach rdzennych Joomla oraz zostawić pliki z nazwami które ma mylące nazwy.  


Jakie komendy powinny wzbudzić nasze podejrzenia w plikach, wg mnie najczęściej stosowany to: base64_decode – jest to dosyć popularna metoda zakodowania np. linków, ale uwaga niektóre rozszerzenia stosują tą komendę w celach pożytecznych, więc nie wiemy do końca jak sprawa się ma, na pewno takiej komendy nie powinno być w pliku index,php joomla czy też szablonu. Jest jeszcze kilka innych zwrotów które mogą być podejrzane, jak: eval, exec, strrev, wget, file_get_contents, stream, create_function, assert. UWAGA wystąpienie takich zwrotów nie oznacza że plik jest zainfekowany na 100%.

Pomocne oprogramowanie dla Joomla

Czasami pojawiają się wpisy w bazie danych, osobiście rzadko się spotykam z takim efektem działań włamywacza.
Wcześniej wspomniałem, że poszukiwania ręczne takich witryn jest praktycznie nie realne i tak jest w istocie. Joomla z rozszerzeniami to setki plików otworzenie każdego i przejrzenie jest praktycznie nie realne, korzysta się z narzędzi automatyzujących te działania. Jest kilka rozszerzeń dla Joomla, które sprawdzają pliki w systemie pod kątem zmian w ich zawartości. Przykładem jest rozszerzenie: Antivirus Website Protection (posiada darmową wersją z pewnymi ograniczeniami), lub też RSFirewall, AdminTools, Securitycheck Pro. Co robią te narzędzia? Skanują pliki Joomla w poszukiwaniu zmian, dziwnych wpisów.


Jeśli plik ma zmienioną zawartość to zmienia się jego suma kontrolna, jeśli program porówna sumy kontrolny plików w naszej witrynie z sumami kontrolnymi wzorcowymi, to bardzo szybko zidentyfikuje zmiany w plikach, bo po prostu wyrzuci na liście pliki, które mają inne sumy kontrolne niż we wzorcu. Oczywiście takie działanie nie dotyczy wszystkich plików, w bazie danego programu nie musza występować wzorcowe sumy kontrolne jakiegoś rozszerzenia. Tak więc program przeszukuje również pliki w poszukiwaniu podejrzanych wpisów często wykorzystywanych przy włamaniach.


Oprogramowanie takie ma tez inne funkcje, np. potrafi zablokować dostęp do witryny z jakiegoś kraju lub puli adresów.  Zasugeruje zmiany jakie trzeba podjąć w celu poprawy bezpieczeństwa, np. zmiana hasła i loginu głównego administratora, powiadomi na meila o jakiś dziwnych zdarzeniach na stronie.
Oprogramowanie takie niestety kosztuje, są wersje darmowe, ale one zawsze mają ograniczenia w funkcjonalności. Ceny zaczynają się już od kilkunastu EURO, ale potem potrafią zaoszczędzić dużo czasu i nerwów.


Alternatywnie można używać skanerów online,  które dadzą nam jakiś wstępny obraz jest ich kilka, można tez używać programów antywirusowych – lepsze to niż nic takie jest moje zdanie, no chyba że ma dedykowany skaner.
Czy takie oprogramowanie chroni na 100% witrynę lub czy też pomoże oczyścić już zainfekowaną witrynę?
Nic na 100% nie ochroni naszej witryny, jednak znacząco utrudni wjazd włamywaczowi. Na pewno automaty tzn. skrypty zostawią nasz w spokoju.
Ale co zrobić gdy mamy już zainfekowaną witrynę, możemy zakupić specjalistyczne rozszerzenie i nim leczyć naszą witrynę – osobiście tego nie praktykuję.
Przyczyny włamań
CDN


Ebook Joomla 3

ebook 2 okladka

Tutaj jest drugie wydanie ebooka o Joomla 3, dopisane jest kilka rozdziałów, jest ponad 270 stron