Uwaga na atak: hacked by Hmei7
No i stało się! Wielokrotnie powtarzam swoim klientom, jak ważne jest dbanie o bezpieczeństwo swojego serwisu!
Tłumaczę, że podstawa, to regularna aktualizacja serwisu i dodatków oraz wykonywanie kopii zapasowej serwisu. Postawa wielu osób jest jednak taka jaka jest: mi się to nie przydarzy! No i niestety najczęściej się przydarza!
Przy takim podejściu do kwestii bezpieczeństwa swojego serwisu, to jest tylko kwestią czasu, kiedy pojawi się problem. I w ten sposób zaoszczędzenie kilku złotych lub godzin swojego czasu, mści się dosyć szybko.
Niezależnie od tego, czy prowadzisz swój własny blog, serwis tematyczny, czy firmowy, a tym bardziej sklep internetowy, musisz zadbać o kwestie bezpieczeństwa. Zastanów się co zrobisz, jak któregoś pięknego dnia, zamiast swojej witryny zobaczysz na przykład taki napis: hacked by Hmei7.
Nie możesz otworzyć swojego serwisu, ani zalogować się do zaplecza. I co? Pomyśl, ile warte są dla Ciebie treści w Twoim serwisie. Załóżmy, że przez rok prowadzisz bloga i nagle tracisz wszystko! Jeżeli nie masz kopii, to tracisz coś co jest w zasadzie nie do odtworzenia. Przecież nie pamiętasz wszystkich swoich tekstów!
Jeszcze gorzej jest wówczas, gdy prowadzisz sklep internetowy. Co zrobisz, jak stracisz historię wszystkich przeprowadzonych transakcji? Co z danymi Twoich klientów?
Nie zamierzam rozwijać tego czarnego scenariusza! Zawsze coś można zrobić, nawet po przeprowadzonym ataku. Tyle tylko, że to kosztuje zdecydowanie więcej niż zapobieganie ;-)
No ale do rzeczy!
Piszę ten artykuł świeżo po wstępnej diagnozie i przywróceniu zaatakowanego systemu. Próba otwarcia strony serwisu powoduje wyświetlenie w przeglądarce napisu: hacked by Hmei7. Próba zalogowania się do zaplecza serwisu powoduje wyświetlenie napisu: hacked by Hmei7.
Zagrożenie dotyczy serwisów opartych o Joomla! 1.5. Exploit atakujący serwis wrzuca do folderu: images/stories, skrypt w pliku php oraz modyfikuje kilka innych plików, m.in. .htacces , za jego pomocą przekierowuje serwis do strony rosyjskiej w efekcie czego Google wyświetla komunikat informujący, że strona zawiera szkodliwe oprogramowanie.
Co robić?
Na początek: BEZ PANIKI!
Krok 1
Zrób kopię zaatakowanego serwisu, aby poddać go późniejszej analizie.
Krok 2
Usuń pliki:
- twoj_serwis/images/stories/susu.php
- twoj_serwis/images/x.txt
- twoj_seriws/tmp/x.txt
- twoj_seriws/x.txt
- twoj_seriws/index.htm
- twoj_seriws/index.html
Krok 3
Usuń plik:
twoj_seriws/.htaccess (został zmieniony przez skrypt atakującego!)
Przywróć plik z ostatniotworzonej kopii zapasowej. Jeżeli nie masz, hmm.. to pech, ale nie martw się, możesz skorzystać z pliku znajdującego się w pakiecie instalacyjnym Joomla!
Krok 4
Usuń plik:
twoj_seriws/configuration.php (został zmieniony przez skrypt atakującego!)
Przywróć plik z ostatniej kopii. Jeżeli nie posiadasz, co cóż ;-) Czeka Cie trochę dodatkowej pracy!
Możesz wykorzystać plik configuration.php znajdujący się w oficjalnej najnowszej dystrybucji Joonla!. W przypadku wersji 1.5, będzie to 1.5.26. Edytuj ten plik i wpisz przy najmniej podstawowe dane:
- $user – nazwa_uzytkownika_bazy_danych;
- $db – nazwa_bazy_danych;
- $password – haslo_do_bazy_danych;
Krok 5
Usuń folder:
twoj_seriws/templates
Przywróć folder templates korzystająć z ostatniej kopii lub skorzystaj z aktualnej dystrrybucji Joomla! 15.26. Jeżeli nie masz kopii zapasowej a w Twoim serwisie zainstalowany był własny szanlon, to musisz go zainstalować od nowa.
Krok 6
Usuń plik:
twoj_seriws/index.php
Przywróć folder templates korzystająć z ostatniej kopii lub skorzystaj z aktualnej dystrrybucji Joomla! 15.26.
Teraz prawdopodobnie możesz zalogować się do panelu administracyjnego i koniecznie zmień hasło administratora!
Jeżeli w Twoim serwisie zarejestrowani są inni użytkownicy, koniecznie zadbaj o to, aby zmienili hasła. Ja proponowałbym tymczasowe zablokowanie kont do czasu aż przeanalizujesz cały serwis.
Pamiętaj, że porady zawarte w tym tekście, to nie jest koniec Twoich działań! Trzeba sprawdzić pozostałe pliki Twojego serwisu. Na początek możesz skorzystać z narzędzia: Audit My Joomla, które stosunkowo niedawno opisywałem. Zaglądnij do artykułu: Ratunku mój serwis został zhakowany!
POWODZENIA!
Chcesz otrzymywać powiadomienia o moich kolejnych wpisach lub projektach?
Wpisz swoje imię oraz adres e-mail a następnie kliknij "ZAPISZ MNIE"
Podobne wpisy
By accepting you will be accessing a service provided by a third-party external to https://www.slawop.net/