Jos sinulla on pääsy sivustolle SSH:n kautta, voit etsiä tiedostoja, joissa on syötetty koodi, suorittamalla seuraavat komennot:
#grep -lr --include=*.php "eval(base64_decode" /pathWebroot #grep -lr --include=*.php "strrev(" /pathWebroot)
Jos pääsyä ei ole, voit pyytää isännöinnin tukitiimiä tekemään tämän puolestasi ja lähettää sinulle raportin.
Yhteensä 1606 tapausta. Nämä ovat melkein kaikki PHP-tiedostoja. Injektoidun koodin poistaminen manuaalisesti on hyödytöntä. Tämä vie liikaa aikaa. Uusi tiedosto images/post.php on myös löydetty minkä tahansa koodin suorittamista varten.
Ensiksi Sinun on tehtävä täydellinen varmuuskopio sivustostasi jos jokin menee pieleen.
Jos sivustosi välitön toimivuus on sinulle erittäin tärkeä, voit poistaa syötetyn koodin suorittamalla yksinkertaisia komentoja.
#grep -lr --include=*.php "eval(base64_decode" /pathWebroot | xargs sed -i.bak "s/eval(base64_decode[^;]*;//" #grep -lr --include=*. php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^;]*; @$_([^;]*;//")
Komennot poistavat kaikki tällaiset haitalliset koodit tiedostoista ja tekevät niistä varmuuskopiot .bak-tunnisteella. Näin voit vain saada aikaa sivuston täydelliseen palauttamiseen, mutta se ei säästä sinua myöhemmiltä hyökkäyksiltä. On ymmärrettävä, että on suuri todennäköisyys, että yllä kuvatut tiedostot, kuten images/post.php, suorittavat minkä tahansa koodin ja vanhoja aukkoja asennetuissa laajennuksissa.
Jos sinulta ei ole poistettu sivuston hallintapaneelia, voit tarkastella asennettuja komponentteja, moduuleja, laajennuksia ja malleja. Jos pääsyä ei ole, sinun on tarkasteltava sivuston sisältöä muodostamalla yhteys FTP:n tai SSH:n kautta.
Vain tavallisia Joomla-moduuleja käytetään
Vakiokomponenttien lisäksi käytämme com_jshopping ja com_phocapdf.
Lisäksi sinun on tarkasteltava kaikkien näiden kansioiden sisältöä. Ne ovat laajennusryhmiä.
#ls ./plugins/authentication gmail index.html joomla ldap #ls ./plugins/captcha index.html recaptcha #ls ./plugins/content emailcloak geshi joomla pagebreak rokbox Finder index.html latausmoduuli sivunavigointi äänestys #ls/editorsplu codemirror index.html none tinymce #ls ./plugins/editors-xtd artikkelin kuva index.html sivunvaihto Lue lisää #ls ./plugins/extension index.html joomla #ls ./plugins/finder kategoriat yhteystiedot sisältö index.html uutissyötteet verkkolinkit #ls ./plugins/quickicon extensionupdate index.html joomlaupdate #ls ./plugins/hakukategoriat yhteystiedot sisältö index.html uutissyötteet verkkolinkit #ls ./plugins/järjestelmän välimuisti korosta kielikoodiloki p3p muista sef debug index.html kielisuodatin uloskirjautuminen uudelleenohjaus rokbox #ls . /plugins/user contactcreator index.html joomla-profiili
Tavallisten lisäosien lisäksi käytetään laajennusta phocapdf.
Vakiomallien lisäksi sitä käytetään templ1.
Kolmannen osapuolen laajennukset
Mallin tilanne on hieman monimutkaisempi. Malli on luotu erikoisohjelmistolla, eikä sitä löydy. Meidän on "poimittava siitä kaikki tarpeeton".
Onneksi mallissa on 21 PHP-tiedostoa ja kaikki syötetty koodi poistettiin komennolla #grep -lr --include=*.php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^ ;]*; @$_([^;]*;//"
Omat tiedostot
Sivuston pitäisi alkaa toimia heti, kun korvaat vanhan sisällön uudella.
Mene sivuston hallintapaneeliin, vaihda CMS:n käyttäjätunnus ja salasana ja katso, onko SuperUsers-sähköposti vaihdettu (hyökkääjä voi käyttää toimintoa palauttaakseen unohtuneen salasanan). Älä koskaan käytä tavallista käyttäjätunnusta järjestelmänvalvoja. Tarkista huolellisesti kaikkien käyttäjien oikeudet. Ei voida sulkea pois mahdollisuutta, että hyökkääjä asentaa toisen järjestelmänvalvojan.
Vaihda MySQL-tietokannan käyttäjätunnus, salasana, jos käytetään vakiotietokantataulukon etuliitettä jos_ se on korvattava toisella, tämä estää SQL-injektiohyökkäyksen mahdollisuuden.
Kun palautustyö on valmis, asenna BotsGo404-laajennus.
On tehtävä yhdessä. Jos poistat hakkeroinnin alkuperäisen syyn (esimerkiksi CMS-laajennuksen haavoittuvuuden), mutta et poista kaikkia haitallisia tiedostoja, hyökkääjä voi päästä sivustolle uudelleen jollakin skriptillään. Jos poistat kaikki ladatut haitalliset skriptit, mutta et poista hakkeroinnin syytä, hyökkääjä voi hakkeroida sivuston uudelleen ja ladata skriptejä sille uudelleen.
Pitäisi tehdä töitä haitallisten komentosarjojen poistamiseksi ja hakkeroinnin syiden analysoimiseksi asiantuntija, jolla on tarvittavat tiedot ja kokemus:
Siksi, jos sivustollesi on hakkeroitu, toistuvien hakkerointien välttämiseksi on suositeltavaa olla tekemättä työtä itse, vaan ottaa yhteyttä asiantuntijaan, joka suorittaa tarvittavat diagnoosit ja suosittelee tai ryhtyy tarvittaviin toimenpiteisiin ongelman ratkaisemiseksi, ja kuka voi taata saadun tuloksen laadun.
On kuitenkin olemassa useita toimenpiteitä joissakin tapauksissa auttaa palauttamaan sivuston turvallisen toiminnan ilman erityistä tietämystä. Alla olevan menetelmän rajoitus on, että sivuston toiminnan jatkaminen vaatii varmuuskopion, joka on luotu ennen hakkerointia. Jos tietomurron päivämäärä ei ole tiedossa, voit kokeilla tätä menetelmää vanhimmalla saatavilla olevalla varmuuskopiolla. Toinen rajoitus, joka johtuu ensimmäisestä, on se, että sivuston palauttamisen jälkeen sivustolle palautetun varmuuskopion jälkeen lisätyt tiedot (esimerkiksi uudet artikkelit, kuvat tai asiakirjat) on luotu. Jos sinun on palautettava sivusto säilyttäen samalla uusia tietoja, sinun on otettava yhteyttä asiantuntijaan.
Nämä toimenpiteet älä anna meidän määrittää sivuston hakkeroinnin syytä Kuitenkin jokainen niistä on tarkoitettu poistamaan yksi mahdollisista tunkeutumisen syistä. Koska hakkeroinnin tarkkaa syytä ei tiedetä, on välttämätöntä suorittaa ne kaikki. Toimenpiteet on järjestetty sellaiseen järjestykseen, että ensin eliminoidaan täysin mahdollisuus, että hyökkääjä jatkaa toimintaansa sivustolla tai isännöintitilillä tällä hetkellä, ja sen jälkeen estetään hyökkääjää tunkeutumasta sivustolle tulevaisuudessa.
Alla olevissa vaiheissa oletetaan, että hosting-tililläsi on vain yksi sivusto. Jos tilillä on useita sivustoja, ne voidaan myös hakkeroida ja sivusto voidaan hakkeroida niiden kautta. On tarpeen joko siirtää paikka, jossa kunnostustöitä tehdään, erilliselle tilille tai suorittaa kunnostus kaikille tilillä oleville kohteille samanaikaisesti.
Toimintojen järjestys on tärkeä, joten ne on suoritettava täsmälleen siinä järjestyksessä, jossa ne sijaitsevat alla.
Kaikki edellä mainitut toimenpiteet on suoritettava määritetyn järjestyksen mukaisesti ilman laiminlyöntejä tai muutoksia. Jos toiminnot suoritetaan virheellisesti, sivustolle voi jäädä haitallisia komentosarjoja tai haavoittuvuuksia, jolloin se muuttuu käyttökelvottomaksi lyhyessä ajassa. hyökkääjä voi hakkeroida uudelleen. Jos yllä olevia vaiheita ei jostain syystä ole mahdollista suorittaa siinä muodossa, jossa ne on ilmoitettu, ota yhteyttä asiantuntijaan sivuston palauttamiseksi hakkeroinnin jälkeen.
Voit usein nähdä Internetissä: sivusto toimi normaalisti ja alkoi yhtäkkiä toimia kuin talonmies krapulassa, isännöitsijä kirjoittaa vihaisia kirjeitä, hakukoneet ohittavat sivuston ja selaimet estetään varoituksella "On tietoa, että tämä sivusto hyökkää tietokoneita vastaan!"
Yleisin syy nykyään on Quickstartin käyttö (Quickstart on asennusarkisto, jonka avulla voit ottaa käyttöön tarkan kopion sivustosta kaikilla laajennuksilla muutamassa minuutissa), yleensä ladataan warez-resursseista; Sinun ei tietenkään tarvitse pelätä kehittäjältä ostettua pikaopastusta. Se on erittäin kätevää, sinun ei tarvitse huolehtia suunnittelusta, laajennuksien asentamisesta tai sivuston perustamisesta. Totta, usein sivuston ohella voit vastaanottaa joukon komentosarjoja, jotka ohjaavat resurssiasi, kuten roskapostin lähettäminen, virusten "jakaminen" tai näkymättömien linkkien sijoittaminen kolmannen osapuolen resursseihin (black hat SEO).
Miksi warez-resurssit sisältävät takaoven (englanninkielisestä takaovesta - "takaovi") arkistossa? Yleensä warez-resurssit elävät rojalteista jokaisesta tiedostojen isännöintipalveluista latauksesta, ja ne puolestaan näyttävät mainoksia ja maksullisia tilauksia lisätäkseen latausnopeutta, mikä on tavallisesti rajoitettua tavallisille käyttäjille. Mutta monille tämä ei näytä riittävältä, varsinkin kun on mahdollista hallita satoja ja jopa tuhansia sivustoja. Jos todella haluat käyttää pika-aloitusta, osta se kehittäjältä, varsinkin kun sen hinta on keskimäärin 30-50 dollaria, mikä on yleensä edullista jopa nykyisellä valuuttakurssilla.
Toiseksi voimme laittaa CMS-hakkeroinnin haavoittuvuuksien kautta, ja kaikki on kunnossa moottoreiden turvallisuuden kanssa, syy on triviaali - käyttäjät eivät asenna päivityksiä. Jotkut pelkäävät, että sivusto kaatuu päivityksen jälkeen, toiset ovat vain laiskoja tai studio on kehittänyt sivuston ja luovuttanut sen asiakkaalle. Asiakas määräsi yhden työntekijän ylläpitämään sivustoa ja hän täyttää sen säännöllisesti ohjeiden mukaan, eikä päivittäminen kuulu hänen tehtäviinsä...
Joten yhtenä mahdollisista syistä Panama-arkiston vuotamiseen asiantuntijat kutsuvat vanhentuneita CMS-järjestelmiä - Drupalia, joka sisälsi hakkerointihetkellä vähintään 25 haavoittuvuutta, ja WordPress 4.1:tä haavoittuvalla laajennuksella.
Ensinnäkin virustorjunta etsii haittaohjelmia erityisesti PC:lle, vaikka kuinka paljon asetat takaoven tietokoneellesi php:ssä, et voi tartuttaa sitä (PC).
Toiseksi se voi olla lyhyt koodinpätkä (yleensä salattu), joka lataa haitallisia komentosarjoja toisesta resurssista, ja jos on, on turha etsiä sitä itse.
Voit mennä eri tavoin.
Ensimmäinen vaihtoehto
Koska sivusto sisältää useita tuhansia tiedostoja, muuttuneiden tai "ylimääräisten" tiedostojen etsiminen voi viedä melko paljon aikaa, ja tulos on pettymys - käsittelyn jälkeen "vasemmat" linkit ilmestyvät resurssille uudelleen hetken kuluttua.
Asennamme puhtaan Joomlan (tai muun sisällönhallintajärjestelmän), asennamme mallin, kaikki komponentit, moduulit, lisäosat, jotka olivat sivustollasi. Siirrämme kaikki kuvat vanhalta sivustolta, kuvahakemistosta, tarkistamalla ensin, ettei siinä ole muita tiedostoja jäljellä kuvien lisäksi, myös sisäisissä hakemistoissa. Jos olet asentanut K2-komponentin, kuvat sijaitsevat hakemistossa media/k2/items/cache/.
Huomio! Olisi hyvä idea tarkistaa kuvat, joilla on ilmeisen satunnainen nimi, kuten esimerkiksi i2495mg.gif on yleensä piilotettu sellaisiin kuviin.
Yhdistetään vanhaan tietokantaan. Haitalliset skriptit eivät juuri koskaan kirjoita tietokantaan, ja vaikka näin ei olisi, tietokantaan pääsyä varten ei tällä hetkellä ole skriptejä, voit myös määrittää taulukoiden nimen perusteella, mihin ne kuuluvat, ja poistaa tarpeettomat manuaalisesti.
Tietokannan yhdistäminen vanhasta sivustosta
Tietokannan vienti. Kirjaudu isännöi phpmyadminiin, valitse haluamasi tietokanta vasemmalla olevasta sarakkeesta ja siirry "Vie" -välilehdelle. Napsauta "Valitse kaikki", voit asettaa pakkauksen zip-muotoon ja napsauta sivun alareunassa "OK". Tallenna tietokanta tietokoneellesi. Mene phpmyadminiin, luo uusi tietokanta, siirry siihen, avaa tuonti-välilehti ja määritä polku ladattavaan vedokseen. Nyt on vielä korjattava configuration.php, joka sijaitsee hakemiston juuressa, avaa se millä tahansa editorilla. Esimerkiksi Notepad++.
julkinen $db = "kanta"; - ilmoita kantanimesi sijasta kantanimi;
julkinen $user = "juuri"; - jos et vaihtanut käyttäjänimeä paikallisessa palvelimessa, jätä se ennalleen;
julkinen $salasana = ""; - Paikallisella palvelimella on yleensä tyhjä salasana, joten jätämme senkin.
Tallennamme muutokset ja tarkistamme sivuston toiminnan.
Toinen vaihtoehto
Jos sinulla on tarpeeksi kokemusta, voit käynnistää lähdekoodin katselun ja katsoa, onko siellä "vieraita" linkkejä, ja sitten nähdä esimerkiksi firebugin kautta, mistä ne tulevat. Yleensä ne ovat salattuja ja käyttävät yleensä base64-algoritmia.
Jos sinulla ei ole tarpeeksi kokemusta, voit käyttää verkkopalvelua, helpoin vaihtoehto on verkkovastaavan tilillä Yandex tai Google tai verkkoskanneri https://rescan.pro/. Olen taipuvaisempia tarkistamaan sivukoodia manuaalisesti, vaikka tietysti on syytä huomata, että kaikenlaiset skriptit ja skannerit nopeuttavat huomattavasti työtä.
Esimerkki "vasemman" linkin etsimisestä
Esimerkiksi otin pikakäynnistyksen yhdestä warez-resurssista. Paina Ctrl+F5 nähdäksesi lähdekoodin, vaikka nopealla vilkaisulla löydämme heti:
Vaihdamme sivustomallin hallintapaneelissa tavalliseen malliin, linkit ovat kadonneet, mikä tarkoittaa, että koodi on kirjoitettu warez-malliin ja katsotaan sieltä.
Avaa Notepad++, paina Ctrl+F, siirry "Etsi tiedostoista" -välilehdelle, määritä mallihakemisto ja hakupalkissa haettu sana, tässä tapauksessa "sa_wqngs". Napsauta "Etsi kaikki". Haku löytää kaksi osumaa.
Poistamme rivit, päivitämme sivun, linkkirivit eivät ole kadonneet, ja koska en löytänyt suoria linkkejä aiemmin, se tarkoittaa, että koodi on salattu.
Aloitamme uuden haun, nyt käyttämällä "base64" ja näemme mallikoodissa:
Poistamme rivit 174, 184, 186 (en kommentoi koodia, kuka tahansa voi löytää kuvauksen Internetistä). Päivitämme sivun uudelleen lähdekoodilla, linkit ovat kadonneet. Käymme myös läpi kaikki hakutulokset "base64":llä, mallissa oli noin tusina samanlaista lisäystä. Ajan mukaan lajittelu auttaa tässä, joten jos suurin osa mallitiedostoista on päivätty esimerkiksi 1.5.2014, niin esimerkiksi kahdeksan kuukautta myöhemmin muokatut tiedostot ovat ainakin epäilyttäviä.
Nykyään "pahat hakkerit" eivät riko verkkosivustoja manuaalisesti, ellei se tietenkään ole suuri portaali tai luottamuksellisten tietojen tietokanta. Hakkerointi on ollut hihnalla pitkään. Tätä tarkoitusta varten on kirjoitettu botteja (skriptejä), jotka etsivät kaikkia verkon sivustoja suosituilla CMS-järjestelmillä, minkä jälkeen he yrittävät soveltaa haavoittuvuuksien kirjastoa, joka lähetetään raporttiin. Vastaavasti, heti kun uusi haavoittuvuus ilmaantuu, se lisätään välittömästi kirjastoon.
Vaikuttaa alkeelliselta, kaikki nykyaikaiset sisällönhallintajärjestelmät ilmoittavat suoraan hallintapaneelissa, että uusia versioita on julkaistu ja niitä on päivitettävä, mutta usein törmäät sivustoihin, joita ei ole päivitetty yli vuoteen.
Aina ei tietenkään ole mahdollista löytää "yllätyksiä" manuaalisesti, joten et ehkä päivittänyt järjestelmää tai laajennuksia ajoissa, ja sivustolle asennettiin takaovi... Nykyään skannereita on monia, yksi niistä AI-Bolit. Lisäksi se on ilmainen ei-kaupalliseen käyttöön.
Käytämme sitä "kokeellisessa" sivustossa, josta etsin "ylimääräisiä" linkkejä. Sen käyttö on dokumentoitu hyvin virallisessa resurssissa, joten en kopioi tietoja.
Pikatarkistuksen tulosten perusteella sain viestin kahdesta haavoittuvuudesta. Ensimmäinen kertoi moottorin vanhentuneesta versiosta, jonka yleensä tiesin jo.
Toinen puhui haavoittuvuudesta administrator/components/com_k2/lib/elfinder/elFinder.class.php - AFU: elFinder. Ehkä syynä on se, että komponentti on myös vanhentunut.
Latasin vain siltä varalta komponentin uusimman version viralliselta verkkosivustolta ja vertasin skannerin valittamaa versiota juuri ladattuun versioon. Tätä varten on kätevää käyttää Notepad++-laajennusta, Vertaa. Kuten odotettiin, ainoa ero oli versioissa.
Tarkastus olisi voitu suorittaa tässä vaiheessa, mutta varmuuden vuoksi päätin tuntea oloni vainoharhaiseksi. Yksi varma tapa on tarkastella, mitä paketteja sivustosi lähettää verkkoon. Laitamme Wireshark, se on myös hyvin dokumentoitu kehittäjän sivustolla. Selaamme sivuston sivuja, sivusto todellakin käyttää verkkoa, mutta ei ole mitään syytä huoleen. Ladataan kirjasimia Google Fontsista, videoita YouTubesta...
Tämä materiaali ei tietenkään ole yksityiskohtaisia ohjeita sivustojen "käsittelyyn", vaan vain pieni toimintaopas. Tien hallitsee se joka kävelee...
Tietysti perussuojavarusteet on hyvä asentaa, mutta siitä lisää seuraavassa osassa.
Olemme jo tutkineet erilaisia tapoja ja keinoja suojata Joomlaa hakkerihyökkäyksiltä ja viruksilta. Mutta entä jos sivustosi on jo saanut tartunnan? Kuinka parantaa se?
Tämä artikkeli sisältää vaiheittaisen oppaan Joomla-sivuston hoitamiseen viruksilta (annetut vaiheet koskevat myös muiden sisällönhallintajärjestelmien sivustoja). Noudata kaikkia vaiheita ja sivustosi palautetaan.
Oletetaan, että eräänä "hyvänä" päivänä isännöitsijä tai Yandex.Webmaster ilmoitti sinulle, että sivustollasi on havaittu haitallisia komentosarjoja. Ensimmäiset ajatukset, jotka tulevat mieleen tällaisten uutisten jälkeen, ovat: ”Kuinka se on mahdollista? Miksi sivustoni? Olemme pieni yritys. WHO? Kilpailijat? Minkä vuoksi? Miten?".
Katsotaanpa ensin tartunnan teoreettisia syitä. Oletetaan, että sivustollasi ei todellakaan ole niin vieraillut, että se kiinnostaisi hakkereita (sillä vierailee kymmeniä - satoja ihmisiä päivittäin). Kuka, miksi ja miten tartunnan sai sivustosi?
Sinun ei pitäisi mennä heti vihollisten ja kilpailijoiden läpi. Todennäköisesti sivustosi tartunta on onnettomuus, ja epäsuorasti SINÄ (tai yrityksesi sivustosta vastaava verkkovastaava) olet syypää siihen.
Kysyt: "Kuinka?" Annan teille esimerkin jokapäiväisestä elämästä. Talvi tulee pian. Odotettavissa on flunssaepidemia. Epidemian huipentuma-aikana on korvissanne jo kuultu rokotusten tarpeesta, hygieniasta ja ruuhkaisten paikkojen välttämisestä. Mutta päätit: "Uh, mitä hölynpölyä! Olen elänyt niin monta vuotta, enkä sairastu ilman rokotuksia tai neuvoja!” ja jätti huomioimatta kaikki varoitukset. Talvi on tullut. Olet saanut flunssan. Kuka on syyllinen tähän? Henkilö, joka aivasteli sinua? Tai ehkä valtio, joka ei väkisin ruiskuttanut sinulle rokotetta? Tai loppujen lopuksi rakkaasi?
Suurella todennäköisyydellä sama tapahtui sivustollesi.
Kysy itseltäsi:
Jos et täytä vähintään yhtä näistä kolmesta kohdasta, sivustosi vaarantuu jo nyt.
Sitten arpajaiset tulevat peliin. Oletetaan, että jonain päivänä joku löysi haavoittuvuuden Joomlassa. Hän lähetti tietoja siitä Joomlan kehittäjille. He korjasivat haavoittuvuuden ja julkaisivat päivitetyn version. Jonkin ajan kuluttua löydetty haavoittuvuus tulee tunnetuksi suurelle yleisölle, johon kuuluu myös joitain ei niin hyviä henkilöitä. Yksi näistä henkilöistä kirjoittaa hämähäkin - ohjelman, joka skannaa Internetiä löytääkseen tämän haavoittuvuuden sisältäviä päivittämättömiä sivustoja, ja löytää ne, käyttää haavoittuvuutta hakkerointiin.
No, kerro minulle, kuka tässä on syyllinen? Ensin kokemattomat verkkovastaavat lataavat Joomla-sivustolle kymmenkunta kolmannen osapuolen laajennusta, siirtävät sitten tällaisen sivuston asiakkaalle, maksavat ja poistavat sen. Asiakas ei ole kovinkaan ajan tasalla päivityksistä ja haavoittuvuuksista. Se toimii sivuston sisällön kanssa. Pari vuotta menee näin. Sitten sivusto löytää hämähäkki, joka on määritetty hyödyntämään yhtä sivustolle asennetun Joomla-laajennuksen uusimmista haavoittuvuuksista. Ja sitten asiakas ja sivuston luonut verkkovastaava huutavat keuhkoihinsa, että Joomla on vuotava moottori.
Kohdennettua hakkerihyökkäystä sivustollesi ei tietenkään voida sulkea pois, mutta tällaisen hyökkäyksen todennäköisyys on hyvin pieni verrattuna siihen, että sait hämähäkin kiinni. Sanoisin 1% vs. 99%. Sivustosi suosion, liikenteen ja suorituskyvyn kasvaessa todennäköisyys siirtyy kohti hakkerihyökkäystä, mutta niin kauan kuin sivustosi ei sisällä mitään erityisen arvokasta, hakkerit eivät tuhlaa siihen aikaa, koska... heidän aikansa on arvokkaampaa.
Yleensä tartunnan todennäköisimpien perimmäisten syiden tulee olla selvillä sinulle. Voit repiä pois pari hiuspalaa päästäsi, lyödä päätäsi seinään pari kertaa ja sanoa "#@@*$#!!!" ( tai lyö päätäsi sivustoa ylläpitäneen verkkovastaavan seinään=)) ja aloita sitten sivuston käsittely.
Sivustosi on saanut tartunnan. Sen parantamiseksi suosittelen, että käytät ohjeita, jotka koostuvat 10 vaiheesta. Vaiheet on suoritettava peräkkäin, ei satunnaisessa järjestyksessä.
Jos sivustosi on saanut tartunnan, kuulut laiminlyönnin tason perusteella johonkin kahdesta kategoriasta:
Jos kuulut ensimmäiseen luokkaan, minulla on sinulle hyviä uutisia: sinun ei tarvitse käsitellä sivustoasi viruksilta. Palauta vain varmuuskopio ja siirry kohtaan vaihe 7.
Jos kuulut toiseen luokkaan, joudut työskentelemään kovasti tai käyttämään rahaa asiantuntijaan. Lisäksi sinulle on erittäin huonoja uutisia:
Kun puhdistat sivuston viruksista, täydellisestä palautumisesta ei ole eikä voi olla mitään takeita.
Selvitetään miksi.
Kuvitellaanpa zombie-elokuvat, jotka ovat niin suosittuja näinä päivinä. Yhdestä ihmisestä tuli zombi, sitten hän puri toista, sitten kolmatta, ja niin puolet planeettasta sai tartunnan. Jonkin ajan kuluttua ihmiskunta tuli järkiinsä ja tuhosi kaikki tartunnan saaneet. Rauha ja hiljaisuus vallitsi. Jonkin ajan kuluttua kävi ilmi, että jossain syvässä pimeässä kellarissa oli toinen tartunnan saanut henkilö, jota ei voitu havaita. Ja sitten tähän kellariin tuli terve mies...
Sama periaate pätee myös verkkosivuston tartuttamiseen. Sivuston tiedostoja, joita on useita tuhansia, voidaan muuttaa. Voidaan myös lisätä uusia tiedostoja nimillä, jotka eivät kerro itsestään. Virus voi kirjoittaa itsensä mihin tahansa hakemistoon ja tiedostoon sivuston tiedostorakenteessa. Sitten sivusto puhdistetaan viruksista. Kaikki tartunnan saaneet tiedostot poistetaan. Mutta missä on takuu, että yksi näistä tiedostoista ei katoa? Hän on poissa. Ja tällainen tiedosto voi lopulta johtaa koko sivuston uudelleentartunnan saamiseen.
Kaikki tämä ei tarkoita, että sinun pitäisi luovuttaa ja tehdä uusi verkkosivusto. Silti alla kuvatut vaiheet mahdollistavat suurella todennäköisyydellä kaiken haitallisen koodin puhdistamisen viimeistä riviä myöten.
Tehdään yhteenveto vaiheesta 1.
Jos luet tätä vaihetta, onnittelut, huolimattomuutesi on parhaimmillaan. Mutta meidän on etsittävä myös positiivisia puolia tästä. Opit käsittelemään verkkosivustoja ja opit myös paljon niiden kanssa työskentelemisestä. Tästä tiedosta on varmasti hyötyä sinulle verkkosivuston omistajana.
Tässä vaiheessa sinun on luotava paikallinen kopio sivuston tiedostorakenteesta. Luo arkisto isännöintisi sivustotiedostoista ja lataa se tietokoneellesi. Jos et tiedä, miten tämä tehdään, ota yhteyttä tekniseen tukeen. isännöintituen kanssa pyynnön luoda ja lähettää sinulle kopio sivustosta.
Tavallinen Joomla-verkkosivusto koostuu kahdesta osasta:
Haitallista koodia voi olla tiedostoissa ja tietokannassa, mutta se on silti todennäköisimmin löydettävissä tiedostoista.
Kun olet ladannut arkiston sivustotiedostoineen ja ottanut sen käyttöön paikallisella tietokoneellasi, tarkista se hyvällä virustorjuntaohjelmalla, kuten Kasperskyllä. Virustorjuntayrityksillä on ilmaisia työkaluja kertatarkistuksiin. Käytä yhtä niistä:
Jos tietokoneessasi on lisensoitu, päivitetty virustorjunta, voit käyttää sitä.
Käyttöjärjestelmien virustorjuntaohjelmia ei ole suunniteltu desinfioimaan verkkosivustoja, mutta ne voivat kuitenkin havaita ja poistaa tietyn osan viruksista. Nämä ovat kuitenkin ammattimaisimpia työkaluja. Älä unohda niitä.
Tarkistuksen jälkeen löytyy useita viruksia tai ei löydy mitään. Käsittelemme löydetyt tartunnan saaneet tiedostot (puhdistamme ne manuaalisesti haitallisesta koodista) tai poistamme ne. Jatketaan vaihe 3.
Tässä vaiheessa lämmittely on ohi. Edessä on rutiini ja ikävä työ. On aika tarkistaa tartunnan saanut sivusto haitallisen koodin etsimiseen erikoistuilla työkaluilla. Nämä sisältävät:
Suosittelen käyttämään AiBolitia, koska Yandex sulkee Manul-projektin eikä sitä enää päivitetä. Tarkistuksen tulosten perusteella sinulle luodaan raportti epäilyttävistä tiedostoista ja haavoittuvuuksista.
Tulosten perusteella luodaan raporttitiedosto AI-BOLIT-RAPORTTI.html
Manul on PHP-skripti. Sen suorittamiseksi tarvitset paikallisen verkkopalvelimen. Voit käyttää näihin tarkoituksiin AvataPalvelin tai Denwer. Seuraa seuraavaksi virallisen Manul-verkkosivuston ohjeita.
Tärkeä! Älä missään tapauksessa saa suorittaa tartunnan saaneita verkkosivustoja paikallisella palvelimellasi. Haitalliset skriptit, joita ei korjata tässä vaiheessa, voivat lisääntyä.
Kun olet tarkistanut skannereilla, saat kaksi raporttia, joissa on epäilyttäviä tiedostoja. Voit olla varma: monet niistä ovat viruksia tai sisältävät haitallista koodia.
Seuraava on melko ikävä vaihe. Sinun täytyy käydä manuaalisesti läpi kaikki epäilyttävät tiedostot ja tarkistaa niissä oleva koodi. Usein haitallinen koodi erottuu pääkoodista muotoilulla. Joomla-koodi on siisti eikä sisällä mitään ylimääräistä. Haitallinen komentosarjakoodi syötetään usein ilman muotoilua. Katso alla oleva esimerkki.
Haitallinen komentosarjakoodi:
Vinkkejä:
Älä pelkää avata tartunnan saaneitaphp-tiedostoja katseltavaksi tekstieditorin kautta. Tulkki ei ole vielä käynnissäPHP (paikallinen palvelin, joka voi suorittaaPHP-koodi), virukset ja haitalliset skriptit eivät ole vaarallisia.
Jos tartunnan saaneita tiedostoja löytyy liian monta, voit käyttää tätä temppua: tarkista nykyinen versioJoomla verkkosivustollasi, lataa tämä versio viralliselta verkkosivustolta. Kopioi ladatun version tiedostot kansioon, jossa tartunnan saanut on, ja korvaa osumat. Tällä tavalla voit korvata suurimman osan tartunnan saaneista tiedostoista alkuperäisillä. Samalla tavalla voit korvata tiedostoja suurilla tunnisteillaJoomla. Tätä kuvataan tarkemmin vaiheessa 5.
Ennen kuin poistat tartunnan saaneita tiedostoja, kirjoita huolellisesti erilliseen tiedostoon haitallisten komentosarjojen koodinpätkät ja niiden tiedostojen nimet, joista ne löytyvät. Tarvitsemme niitä seuraavissa vaiheissa.
Tämä vaihe voi olla aikaa vievä ja vaikea myös niille, jotka eivät ole perehtyneet PHP-koodiin. Yleinen neuvo: jos epäilet, onko edessäsi oleva käsikirjoitus haitallinen vai ei, oleta, että se on. Älä pelkää poistaa tartunnan saaneita Joomla-tiedostoja ja laajennuksia. Palautamme ne seuraavissa vaiheissa. Ainoat poikkeukset ovat tiedostot, jotka sijaitsevat käyttämäsi sivustomallin hakemistossa. Niitä ei voi palauttaa, ja sinun on työskenneltävä niiden kanssa erittäin huolellisesti.
Kun kaikki raporttien tiedostot on tarkistettu/puhdistettu/poistettu, tarkista sivuston tiedostorakenne uudelleen. Mitään ei pitäisi löytää. Tämän jälkeen voit jatkaa vaihe 4.
Nyt on aika kääntyä vähitellen päähän. Toivon, että noudatit neuvojani edellisessä vaiheessa ja kopioit haitalliset komentosarjakoodin osat erilliseen tiedostoon.
Jos sivustosi tartuttaneen viruksen ei ole kirjoittanut nero, ja todennäköisesti näin on, tartunnan saaneet koodinpalat tulisi tavalla tai toisella toistaa tiedostosta toiseen. Käytämme tätä selvittääksemme, mitä skannereita ja virustorjuntaohjelmia on jäänyt huomaamatta.
Tämän vaiheen suorittamiseksi tarvitsemme ohjelman Totaalinen komentaja tai mikä tahansa muu apuohjelma, joka voi etsiä tiedostoja. Suosittelen silti käyttämään Total Commanderia.
Kun olet avannut sivuston tiedostorakenteen Total Commanderin kautta, siirry kohtaan Joukkueet –> Etsitään tiedostoja...
Tässä olemme kiinnostuneita kahdesta välilehdestä.
Yleiset asetukset -välilehti:
Voit määrittää tiedostoista etsittävän tekstin. Olet jo tallentanut osia viruskoodista. Oletko fiksu? Valitsemme fragmentin ja etsimme sen toistoja tiedostoista koko sivuston tiedostojärjestelmästä. Voit olla varma, että jotain tulee olemaan. Seuraavaksi tarkistamme löydetyt tiedostot ja puhdistamme/poistamme ne.
Lisäasetukset-välilehti:
Toinen loistava tilaisuus löytää kaikki tartunnan saaneet tiedostot on käyttää tiedostojen muokkauspäivämäärää. Katso raportti huolellisesti uudelleen AiBolit. Se näyttää epäilyttävien tiedostojen luonti-/muokkauspäivämäärän. Todennäköisesti kaikki tartunnan saaneet tiedostot luotiin noin viikon sisällä tai jopa yhtenä päivänä. Laske se ja aseta se sitten välilehdelle Lisäksi tämä ajanjakso tai päivä. Näin voit tunnistaa kaikki epäilyttävät tiedostot.
Tämä menetelmä ei ole täysin luotettava, koska korkealaatuiset virukset voivat muuttaa luomispäivämääränsä, mutta se on ehdottomasti kokeilemisen arvoinen. Hän auttaa minua paljon.
Kun olet suorittanut kaikki kuvatut vaiheet, voit suorittaa vaihe 5.
Tässä vaiheessa sivustosi tiedostorakenne ei todennäköisesti enää sisällä viruksia, mutta se ei enää toimi. Olet muuttanut ja poistanut monia tiedostoja. Heidän joukossaan oli varmasti "viattomia uhreja". Nyt on aika palauttaa sivuston tiedostorakenne ja samalla ottaa uusi askel sen puhdistamiseksi.
Tässä olevat vaiheet ovat seuraavat:
Seuraamalla näitä ohjeita voit olla varma, että kaikki sivuston suoritettavat tiedostot ovat puhtaita. Teoriassa vain viruksen luomat ja itse luomasi tiedostot voivat pysyä tartunnan saaneina. Lisäksi, jos sivustollesi on asennettu useita Joomla-malleja, sinun on tarkistettava niiden tiedostot erittäin huolellisesti. Mallitiedostoja ei kirjoiteta päälle päivityksen aikana.
Tässä vaiheessa olemme tehneet kaikkemme puhdistaaksemme ja palauttaaksemme sivuston tiedostorakenteen. On tietokannan aika. Jatketaan vaihe 6.
Haitallista koodia voi sisältyä paitsi sivuston tiedostoihin myös sen tietokantaan. Tietokannan puhdistaminen on jossain määrin vaikeampaa kuin tiedostorakenteen puhdistaminen. Haluaisin korostaa kahta vaihetta:
Tämän jälkeen sinun on otettava sivusto käyttöön ja suoritettava se paikallisessa palvelimessa ( vaihe 7).
Koska olen hieman vainoharhainen, suosittelen, että käytät sivustoa paikallisella palvelimella, jossa Internet on kytketty pois päältä tässä vaiheessa.
Ennen käynnistämistä sinun on oltava henkisesti valmistautunut siihen, että sivusto käynnistyy virheillä. Ehkä poistit Joomla-tiedoston tai laajennuksia puhdistuksen aikana, mutta et palauttanut niitä myöhemmin. Ei siinä mitään vikaa. Pääasia, että hallintapaneeli käynnistyy. Jos näin käy, toimi seuraavasti:
Tämän jälkeen sivuston pitäisi toimia oikein ja ilman virheitä. Jos jotain on jäljellä, korjaamme sen manuaalisesti ja siirrymme eteenpäin vaihe 8.
Muutamme:
Siinä kaikki, sivustosi on puhdistettu. Jäljelle jää vain varmistaa, että tartunnan aiheuttanut haavoittuvuus on suljettu.
Käännymme taas päämme ympäri (kyllä, tiedän, se on jo väsynyt eikä ymmärrä mitään). Mikä oikeastaan johti tulehdukseen? Artikkelin alussa esitin pari ajatusta tästä asiasta.
Yritä ymmärtää, missä sivustossasi saattaa olla haavoittuvuuksia. Sinun ei tarvitse olla suuri asiantuntija. On tärkeää vain ajatella järkevästi.
Suosittelen sinua tarkistamaan kotitietokoneesi virusten varalta ja kiinnittämään huomiota myös isännöintiin, jolla sivustoa isännöidään. Mitä arvosteluja siitä on Internetissä? Ehkä tartunnan syynä oli huonosti määritetty palvelin.
Lue myös tietoja sivustollasi käyttämistäsi Joomla-laajennuksista. Jotkut heistä voivat olla haavoittuvia.
Jos näet tartunnan syitä, jopa teoreettisia, olisi oikein päästä eroon niistä ennen sivuston käynnistämistä uudelleen.
Jos olet päässyt näin pitkälle, onnittelut! Se on pitkä matka. Nyt tiedät paljon enemmän verkkosivustoista ja niiden turvallisuudesta. Poista sivuston saastunut kopio kokonaan isännöinnistä ja siirrä puhdistettu kopio sinne. Vaihda myös tietokanta, jos olet tehnyt siihen muutoksia.
Ensimmäisen viikon ajan suosittelen seuraamaan tiedostojärjestelmän muutoksia nähdäksesi, ilmaantuuko virus uudelleen. Aina on mahdollista, että osa tartunnan saaneista tiedostoista säilyy.
Mutta mitä sinun pitäisi tehdä, jos viruksia ilmestyy uudelleen jopa sivuston puhdistamisen ja palauttamisen jälkeen? Tässä on kaksi vaihtoehtoa:
Toivon, että tämä artikkeli auttoi sinua parantamaan sivustosi viruksilta tai ainakin antanut sinulle paremman käsityksen turvallisuudesta, mahdollisista haavoittuvuuksista ja niiden poistamisesta.
Tärkein asia, joka sinun on tehtävä, jotta et jää yksin hakkeroidun sivuston kanssa, on säännöllinen varmuuskopiointi. Varmista, että sinulla on vähintään yksi varmuuskopio jokaiselle kuukaudelle tietokoneellesi ja nuku hyvin ;-).
Yhteydessä