Uwaga na atak: hacked by Hmei7

No i stało się! Wielokrotnie powtarzam swoim klientom, jak ważne jest dbanie o bezpieczeństwo swojego serwisu!

Tłumaczę, że podstawa, to regularna aktualizacja serwisu i dodatków oraz wykonywanie kopii zapasowej serwisu. Postawa wielu osób jest jednak taka jaka jest: mi się to nie przydarzy! No i niestety najczęściej się przydarza!

Przy takim podejściu do kwestii bezpieczeństwa swojego serwisu, to jest tylko kwestią czasu, kiedy pojawi się problem. I w ten sposób zaoszczędzenie kilku złotych lub godzin swojego czasu, mści się dosyć szybko.

Niezależnie od tego, czy prowadzisz swój własny blog, serwis tematyczny, czy firmowy, a tym bardziej sklep internetowy, musisz zadbać o kwestie bezpieczeństwa. Zastanów się co zrobisz, jak któregoś pięknego dnia, zamiast swojej witryny zobaczysz na przykład taki napis: hacked by Hmei7.

Nie możesz otworzyć swojego serwisu, ani zalogować się do zaplecza. I co? Pomyśl, ile warte są dla Ciebie treści w Twoim serwisie. Załóżmy, że przez rok prowadzisz bloga i nagle tracisz wszystko! Jeżeli nie masz kopii, to tracisz coś co jest w zasadzie nie do odtworzenia. Przecież nie pamiętasz wszystkich swoich tekstów!

Jeszcze gorzej jest wówczas, gdy prowadzisz sklep internetowy. Co zrobisz, jak stracisz historię wszystkich przeprowadzonych transakcji? Co z danymi Twoich klientów?

Nie zamierzam rozwijać tego czarnego scenariusza! Zawsze coś można zrobić, nawet po przeprowadzonym ataku. Tyle tylko, że to kosztuje zdecydowanie więcej niż zapobieganie ;-)

No ale do rzeczy!

Piszę ten artykuł świeżo po wstępnej diagnozie i przywróceniu zaatakowanego systemu. Próba otwarcia strony serwisu powoduje wyświetlenie w przeglądarce napisu: hacked by Hmei7. Próba zalogowania się do zaplecza serwisu powoduje wyświetlenie napisu: hacked by Hmei7.

Zagrożenie dotyczy serwisów opartych o Joomla! 1.5. Exploit atakujący serwis wrzuca do folderu: images/stories, skrypt w pliku php oraz modyfikuje kilka innych plików, m.in. .htacces , za jego pomocą przekierowuje serwis do strony rosyjskiej w efekcie czego Google wyświetla komunikat informujący, że strona zawiera szkodliwe oprogramowanie.

Co robić?

Na początek: BEZ PANIKI!

Krok 1

Zrób kopię zaatakowanego serwisu, aby poddać go późniejszej analizie.

Krok 2

Usuń pliki:

• twoj_serwis/images/stories/susu.php
• twoj_serwis/images/x.txt
• twoj_seriws/tmp/x.txt
• twoj_seriws/x.txt
• twoj_seriws/index.htm
• twoj_seriws/index.html

Krok 3

Usuń plik:

twoj_seriws/.htaccess (został zmieniony przez skrypt atakującego!)

Przywróć plik z ostatniotworzonej kopii zapasowej. Jeżeli nie masz, hmm.. to pech, ale nie martw się, możesz skorzystać z pliku znajdującego się w pakiecie instalacyjnym Joomla!

Krok 4

Usuń plik:

twoj_seriws/configuration.php (został zmieniony przez skrypt atakującego!)

Przywróć plik z ostatniej kopii. Jeżeli nie posiadasz, co cóż ;-) Czeka Cie trochę dodatkowej pracy!

Możesz wykorzystać plik configuration.php znajdujący się w oficjalnej najnowszej dystrybucji Joonla!. W przypadku wersji 1.5, będzie to 1.5.26. Edytuj ten plik i wpisz przy najmniej podstawowe dane:

• $user – nazwa_uzytkownika_bazy_danych;
• $db – nazwa_bazy_danych;
• $password – haslo_do_bazy_danych;

Krok 5

Usuń folder:

twoj_seriws/templates

Przywróć folder templates korzystająć z ostatniej kopii lub skorzystaj z aktualnej dystrrybucji Joomla! 15.26. Jeżeli nie masz kopii zapasowej a w Twoim serwisie zainstalowany był własny szanlon, to musisz go zainstalować od nowa.

Krok 6

Usuń plik:

twoj_seriws/index.php

Przywróć folder templates korzystająć z ostatniej kopii lub skorzystaj z aktualnej dystrrybucji Joomla! 15.26.

Teraz prawdopodobnie możesz zalogować się do panelu administracyjnego i koniecznie zmień hasło administratora!

Jeżeli w Twoim serwisie zarejestrowani są inni użytkownicy, koniecznie zadbaj o to, aby zmienili hasła. Ja proponowałbym tymczasowe zablokowanie kont do czasu aż przeanalizujesz cały serwis.

Pamiętaj, że porady zawarte w tym tekście, to nie jest koniec Twoich działań! Trzeba sprawdzić pozostałe pliki Twojego serwisu. Na początek możesz skorzystać z narzędzia: Audit My Joomla, które stosunkowo niedawno opisywałem. Zaglądnij do artykułu: Ratunku mój serwis został zhakowany!

POWODZENIA!

Chcesz otrzymywać powiadomienia o moich kolejnych wpisach lub projektach?
Wpisz swoje imię oraz adres e-mail a następnie kliknij "ZAPISZ MNIE"