Lokikirja. Lokikirja Joomlasta tarkistetaan haitallisen koodin varalta

Autosivusto - Ratin takana » Turvallisuus Lokikirja. Lokikirja Joomlasta tarkistetaan haitallisen koodin varalta

Lokikirja. Lokikirja Joomlasta tarkistetaan haitallisen koodin varalta

Jos sinulla on pääsy sivustolle SSH:n kautta, voit etsiä tiedostoja, joissa on syötetty koodi, suorittamalla seuraavat komennot:

#grep -lr --include=*.php "eval(base64_decode" /pathWebroot #grep -lr --include=*.php "strrev(" /pathWebroot)

Jos pääsyä ei ole, voit pyytää isännöinnin tukitiimiä tekemään tämän puolestasi ja lähettää sinulle raportin.

Tässä on esimerkkiluettelo: ./components/com_wrapper/wrapper.php ./components/com_wrapper/controller.php ./components/com_wrapper/router.php ./components/com_wrapper/views/wrapper/view.html.php ./ komponentit/ com_banners/models/banner.php ./components/com_banners/models/banners.php ./components/com_banners/controller.php ./components/com_banners/router.php ./components/com_finder/views/search/view html. php ./components/com_finder/helpers/route.php ./components/com_finder/helpers/html/filter.php ./components/com_finder/helpers/html/query.php ./components/com_finder/controllers/suggestions. json. php ./components/com_jshopping/tables/productfiles.php ./components/com_jshopping/tables/statictext.php ./components/com_jshopping/tables/country.php ./components/com_jshopping/tables/productlabel.php. /com_jshopping /tables/shippingext.php .... ./administrator/components/com_jshopping/controllers/orderstatus.php ./administrator/components/com_jshopping/controllers/shippingsprices.php ./administrator/components/com_jshopping/controllers/controllers php /administrator/components/com_jshopping/controllers/productlabels.php ./administrator/components/com_jshopping/controllers/categories.php ./administrator/components/com_cache/cache.php ./administrator/components/com_cache/ php /administrator/components/com_cache/controller.php ./administrator/components/com_cache/views/purge/view.html.php ./administrator/components/com_cache/views/cache/view.html.php ./administrator/ komponentit/ com_cache/helpers/cache.php ./administrator/components/com_content/tables/featured.php

Yhteensä 1606 tapausta. Nämä ovat melkein kaikki PHP-tiedostoja. Injektoidun koodin poistaminen manuaalisesti on hyödytöntä. Tämä vie liikaa aikaa. Uusi tiedosto images/post.php on myös löydetty minkä tahansa koodin suorittamista varten.

Haitallisen koodin poistaminen saastuneista tiedostoista

Ensiksi Sinun on tehtävä täydellinen varmuuskopio sivustostasi jos jokin menee pieleen.

Jos sivustosi välitön toimivuus on sinulle erittäin tärkeä, voit poistaa syötetyn koodin suorittamalla yksinkertaisia komentoja.

#grep -lr --include=*.php "eval(base64_decode" /pathWebroot | xargs sed -i.bak "s/eval(base64_decode[^;]*;//" #grep -lr --include=*. php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^;]*; @$_([^;]*;//")

Komennot poistavat kaikki tällaiset haitalliset koodit tiedostoista ja tekevät niistä varmuuskopiot .bak-tunnisteella. Näin voit vain saada aikaa sivuston täydelliseen palauttamiseen, mutta se ei säästä sinua myöhemmiltä hyökkäyksiltä. On ymmärrettävä, että on suuri todennäköisyys, että yllä kuvatut tiedostot, kuten images/post.php, suorittavat minkä tahansa koodin ja vanhoja aukkoja asennetuissa laajennuksissa.

Kolmannen osapuolen laajennukset

Jos sinulta ei ole poistettu sivuston hallintapaneelia, voit tarkastella asennettuja komponentteja, moduuleja, laajennuksia ja malleja. Jos pääsyä ei ole, sinun on tarkasteltava sivuston sisältöä muodostamalla yhteys FTP:n tai SSH:n kautta.

Katso moduuliluetteloa

#1s ticles_news mod_footer s mod_articles_popular mod_languages mod_syndicate #ls ./administrator/modules index.html mod_uusin mod_menu mod_quickicon mod_title mod_custom mod_logged mod_multilangstatus mod_status mod_toolbar mod_feed mod_login mod_popular mod_submenu mod_version

Vain tavallisia Joomla-moduuleja käytetään

Katso komponenttiluetteloa

#ls ./components com_banners com_finder com_media com_search com_wrapper com_contact com_jshopping com_newsfeeds com_users index.html com_content com_mailto com_phocapdf com_weblinks_ components_com_installer capdf com_users com_banners com_contact com_joomlaupdate com_menus com_plugins com_weblinks com_cache com_content com_jshopping com_messages com_redirect index.html com_categories com_cpanel com_languages com_modules com_search com_checkin com_finder com_login com_newsfeeds com_templates

Vakiokomponenttien lisäksi käytämme com_jshopping ja com_phocapdf.

Katso lisäosien luettelo

#ls ./plugins todennus sisällön editors-xtd Finder phocapdf-haku käyttäjä captcha editors laajennus index.html pikakuvakejärjestelmä

Lisäksi sinun on tarkasteltava kaikkien näiden kansioiden sisältöä. Ne ovat laajennusryhmiä.

#ls ./plugins/authentication gmail index.html joomla ldap #ls ./plugins/captcha index.html recaptcha #ls ./plugins/content emailcloak geshi joomla pagebreak rokbox Finder index.html latausmoduuli sivunavigointi äänestys #ls/editorsplu codemirror index.html none tinymce #ls ./plugins/editors-xtd artikkelin kuva index.html sivunvaihto Lue lisää #ls ./plugins/extension index.html joomla #ls ./plugins/finder kategoriat yhteystiedot sisältö index.html uutissyötteet verkkolinkit #ls ./plugins/quickicon extensionupdate index.html joomlaupdate #ls ./plugins/hakukategoriat yhteystiedot sisältö index.html uutissyötteet verkkolinkit #ls ./plugins/järjestelmän välimuisti korosta kielikoodiloki p3p muista sef debug index.html kielisuodatin uloskirjautuminen uudelleenohjaus rokbox #ls . /plugins/user contactcreator index.html joomla-profiili

Tavallisten lisäosien lisäksi käytetään laajennusta phocapdf.

Katso malliluetteloa

#ls ./templates atomic beez_20 beez5 index.html järjestelmämalli1

Vakiomallien lisäksi sitä käytetään templ1.

Saastuneen sivuston palauttaminen

Lataa uusimman julkaisun jakelupaketti, pura arkisto tulevan sivuston hakemistoon ja poista asennushakemisto siitä.
Nimeä htaccess.txt-tiedosto uudelleen muotoon .htaccess. Jos se käyttäisi kirjoitettuja direktiivejä sinä, siirrä ne tartunnan saaneesta kopiosta.
Kopioimme tiedoston configuration.php tartunnan saaneesta kopiosta, kun olemme aiemmin tarkistaneet, ettei siihen ole lisätty koodia.

Kolmannen osapuolen laajennukset

Löydämme käytetyt kolmannen osapuolen komponentit Phoca PDF, JoomShopping, laajennuksen "Phoca PDF Content Plugin", lataa.
Puramme ja kopioimme tiedostot luotuamme aiemmin tartunnan saaneelle kopiolle samanlaisen hakemistorakenteen. Älä unohda lokalisointitiedostoja.

Mallin tilanne on hieman monimutkaisempi. Malli on luotu erikoisohjelmistolla, eikä sitä löydy. Meidän on "poimittava siitä kaikki tarpeeton".

Onneksi mallissa on 21 PHP-tiedostoa ja kaikki syötetty koodi poistettiin komennolla #grep -lr --include=*.php "strrev(" /pathWebroot | xargs sed -i._bak "s/$_ = strrev([^ ;]*; @$_([^;]*;//"

Omat tiedostot

Luo hakemistoja, joissa säilytit kuvia, asiakirjoja ja muita tiedostoja, ja kopioi ne.

Sivuston pitäisi alkaa toimia heti, kun korvaat vanhan sisällön uudella.

Mene sivuston hallintapaneeliin, vaihda CMS:n käyttäjätunnus ja salasana ja katso, onko SuperUsers-sähköposti vaihdettu (hyökkääjä voi käyttää toimintoa palauttaakseen unohtuneen salasanan). Älä koskaan käytä tavallista käyttäjätunnusta järjestelmänvalvoja. Tarkista huolellisesti kaikkien käyttäjien oikeudet. Ei voida sulkea pois mahdollisuutta, että hyökkääjä asentaa toisen järjestelmänvalvojan.

Vaihda MySQL-tietokannan käyttäjätunnus, salasana, jos käytetään vakiotietokantataulukon etuliitettä jos_ se on korvattava toisella, tämä estää SQL-injektiohyökkäyksen mahdollisuuden.

Kun palautustyö on valmis, asenna BotsGo404-laajennus.

Jos pidit tästä artikkelista hyödyllistä, äänestä sen puolesta. Tämä auttaa muita löytämään tämän artikkelin nopeammin monista muista vähemmän hyödyllisistä.(17 ääntä)

On tehtävä yhdessä. Jos poistat hakkeroinnin alkuperäisen syyn (esimerkiksi CMS-laajennuksen haavoittuvuuden), mutta et poista kaikkia haitallisia tiedostoja, hyökkääjä voi päästä sivustolle uudelleen jollakin skriptillään. Jos poistat kaikki ladatut haitalliset skriptit, mutta et poista hakkeroinnin syytä, hyökkääjä voi hakkeroida sivuston uudelleen ja ladata skriptejä sille uudelleen.

Pitäisi tehdä töitä haitallisten komentosarjojen poistamiseksi ja hakkeroinnin syiden analysoimiseksi asiantuntija, jolla on tarvittavat tiedot ja kokemus:

Sinun on poistettava haitalliset skriptit PHP-ohjelmointikielen tuntemus, ja tietoa suosittujen sisällönhallintajärjestelmien "sisältä".(Joomla, WordPress jne.) ja niiden laajennukset. Tätä tietoa tarvitaan, jotta voidaan erottaa komentosarjat suoraan CMS:stä ja sen laajennukset ylimääräisistä tiedostoista, ja myös voidakseen määrittää yksiselitteisesti, mitä toimia ne suorittavat kohtaaessaan epäilyttäviä skriptejä.
Jotta voit analysoida hakkeroinnin syitä, sinun on kokemusta palvelinhallinnasta. Tämä on tarpeen tilin tiedostojen tilan, niiden muuttamisajan analysoimiseksi ja näiden tietojen vertaamiseksi palvelimen lokeihin sen määrittämiseksi, mitkä hyökkääjän toimet johtivat sivustojen hakkerointiin.

Siksi, jos sivustollesi on hakkeroitu, toistuvien hakkerointien välttämiseksi on suositeltavaa olla tekemättä työtä itse, vaan ottaa yhteyttä asiantuntijaan, joka suorittaa tarvittavat diagnoosit ja suosittelee tai ryhtyy tarvittaviin toimenpiteisiin ongelman ratkaisemiseksi, ja kuka voi taata saadun tuloksen laadun.

On kuitenkin olemassa useita toimenpiteitä joissakin tapauksissa auttaa palauttamaan sivuston turvallisen toiminnan ilman erityistä tietämystä. Alla olevan menetelmän rajoitus on, että sivuston toiminnan jatkaminen vaatii varmuuskopion, joka on luotu ennen hakkerointia. Jos tietomurron päivämäärä ei ole tiedossa, voit kokeilla tätä menetelmää vanhimmalla saatavilla olevalla varmuuskopiolla. Toinen rajoitus, joka johtuu ensimmäisestä, on se, että sivuston palauttamisen jälkeen sivustolle palautetun varmuuskopion jälkeen lisätyt tiedot (esimerkiksi uudet artikkelit, kuvat tai asiakirjat) on luotu. Jos sinun on palautettava sivusto säilyttäen samalla uusia tietoja, sinun on otettava yhteyttä asiantuntijaan.

Nämä toimenpiteet älä anna meidän määrittää sivuston hakkeroinnin syytä Kuitenkin jokainen niistä on tarkoitettu poistamaan yksi mahdollisista tunkeutumisen syistä. Koska hakkeroinnin tarkkaa syytä ei tiedetä, on välttämätöntä suorittaa ne kaikki. Toimenpiteet on järjestetty sellaiseen järjestykseen, että ensin eliminoidaan täysin mahdollisuus, että hyökkääjä jatkaa toimintaansa sivustolla tai isännöintitilillä tällä hetkellä, ja sen jälkeen estetään hyökkääjää tunkeutumasta sivustolle tulevaisuudessa.

Alla olevissa vaiheissa oletetaan, että hosting-tililläsi on vain yksi sivusto. Jos tilillä on useita sivustoja, ne voidaan myös hakkeroida ja sivusto voidaan hakkeroida niiden kautta. On tarpeen joko siirtää paikka, jossa kunnostustöitä tehdään, erilliselle tilille tai suorittaa kunnostus kaikille tilillä oleville kohteille samanaikaisesti.

Toimintojen järjestys on tärkeä, joten ne on suoritettava täsmälleen siinä järjestyksessä, jossa ne sijaitsevat alla.

Sinun on tehtävä heti sivuston hakkeroinnin havaitsemisen jälkeen estää kokonaan vierailijoiden pääsyn siihen. Tämä ensinnäkin estää hyökkääjää suorittamasta haitallisia toimia sivustolla, ja toiseksi se ei anna hänen häiritä palautustöitä. Tämä vaihe on erittäin tärkeä, koska haitallisten komentosarjojen poistaminen ja hakkeroinnin syyn poistaminen ei tapahdu yhdessä yössä - yleensä se kestää useita tunteja. Jos sivusto on edelleen käytettävissä ulkopuolelta, hyökkääjä voi ladata skriptejä uudelleen sivuston jo tyhjennetylle osalle. Tässä tapauksessa hyökkääjä voi käyttää eri IP-osoitteita yhteyden muodostamiseen, joten pääsyn estäminen vain IP-osoitteiden luetteloon ei toimi. Sen varmistamiseksi, että sivusto puhdistetaan havaituista haitallisista skripteistä, on välttämätöntä estää hyökkääjän pääsy sivustolle kokonaan, mikä voidaan tehdä vain estämällä sivusto kokonaan vierailijoilta. Ota yhteyttä sivustoasi isännöivän isännöinnin tekniseen tukipalveluun estääksesi sen.
Kun olet estänyt sivuston, sinun on tarkista tietokoneet, josta työskenneltiin sivuston kanssa, moderni virustorjunta päivitetyillä virustietokantoilla. Jos sivusto on hakkeroitu varastamalla tilin salasanat viruksen avulla, sinun on varmistettava, että hakkeroidun sivuston kanssa tehdään jatkotyötä tietokoneelta, jossa ei ole viruksia, muuten pääsysalasanojen vaihtamisen jälkeen ne voidaan varastaa uudelleen.
Kun olet estänyt sivuston ja tarkistanut virusten varalta, sinun on tehtävä vaihtaa kaikki salasanat tilin käyttöoikeus: pääsy FTP:n kautta, SSH:n kautta sekä pääsy hosting-ohjauspaneeliin. Jos hyökkääjä on päässyt tilitiedostoihin jollakin näistä tavoista, hän ei voi enää tehdä niin salasanan vaihtamisen jälkeen.
Salasanan vaihtamisen jälkeen sinun on tappaa kaikki palvelinprosessit, työskentelee sen tilin puolesta, jolla sivustoa ylläpidetään. Hyökkääjän taustalla käynnistämät prosessit voivat tuhoutumatta sijoittaa uudelleen haitallisia skriptejä sivustolle palautustyön jälkeen. Tämän estämiseksi kaikki ennen sivuston estämistä käynnissä olleet prosessit on tuhottava. Sivuston pitäisi jo olla estetty tällä hetkellä, jotta hyökkääjä ei voi käynnistää uusia prosesseja käyttämällä jotakin sivustolla olevista skripteistään. Jos haluat tuhota tililläsi käynnissä olevat prosessit, ota yhteyttä sivustoasi isännöivän isännöinnin tekniseen tukipalveluun.
Nyt on mahdotonta tunkeutua sivustoon ulkopuolelta ja voit aloittaa sen palauttamisen.
Ennen jatkotoimenpiteitä poista kaikki olemassa olevat sivustotiedostot, joten niiden joukossa ei taatusti ole haitallisia skriptejä tai CMS-skriptejä, joihin hyökkääjä on lisännyt haitallista koodia. Tämä vaihe on myös tärkeä, koska kun sivusto palautetaan varmuuskopiosta, ennen palautusta olemassa olevia tiedostoja ei aina poisteta. Jos sivustolle jää vanhoja haitallisia komentosarjoja varmuuskopiosta palauttamisen jälkeen, hyökkääjä voi palata sivustolle. Voit välttää tämän poistamalla kaikki sivuston tiedostot ennen palautuksen suorittamista.
Kun olet poistanut kaikki sivuston tiedostot palauttaa sivustosi varmuuskopiosta, luotu ennen kuin se hakkeroitiin. Usein riittää, että palautetaan vain sivuston tiedostot, mutta jos niiden palauttamisen jälkeen havaitaan virheitä sivuston toiminnassa, on sivusto palautettava kokonaan: sekä tiedostot että tietokanta.
Varmuuskopiosta palautuksen jälkeen päivittää sisällönhallintajärjestelmän versiot (CMS) ja sen laajennukset viimeisiin asti. Tämä on välttämätöntä, jotta sivustolla ei ole tunnettuja haavoittuvuuksia, joiden kautta se voidaan hakkeroida. Pääsääntöisesti päivitys voidaan tehdä CMS-hallintaosion kautta. Saat täydelliset ohjeet sisällönhallintajärjestelmän päivittämiseen vierailemalla järjestelmän kehittäjän verkkosivustolla. On tärkeää päivittää paitsi itse CMS, myös kaikki sen laajennukset, koska hakkerointi tapahtuu usein yhdessä CMS-laajennuksessa (esimerkiksi laajennukset, teemat, widgetit jne.) olevan haavoittuvuuden kautta. Tällä hetkellä on edelleen mahdotonta poistaa sivuston estoa vierailijoilta, koska se voi silti olla haavoittuvainen. Pääset sivustollesi päivitystä varten ottamalla yhteyttä sivustoasi isännöivän isännöinnin tekniseen tukeen ja pyytämällä lupaa päästä sivustolle vain tietokoneesi IP-osoitteesta. Voit selvittää IP-osoitteesi esimerkiksi osoitteesta inet.yandex.ru.
Kun olet päivittänyt sivustonhallintajärjestelmän ja sen laajennukset, siirry sivuston hallintaosioon ja vaihda järjestelmänvalvojan salasana hänelle. Varmista, että sivuston käyttäjien joukossa ei ole muita käyttäjiä, joilla on järjestelmänvalvojan oikeudet (hyökkääjä on voinut lisätä heidät), ja jos sellaisia löytyy, poista ne.
Nyt kun sivusto on palautettu varmuuskopiosta eikä se sisällä haitallisia komentosarjoja, CMS ja sen laajennukset on päivitetty uusimpiin versioihin, jotka eivät sisällä haavoittuvuuksia, ja sivuston ja isännöintitilin salasanat on vaihdettu. voi avata sivuston uudelleen vierailijoille.

Kaikki edellä mainitut toimenpiteet on suoritettava määritetyn järjestyksen mukaisesti ilman laiminlyöntejä tai muutoksia. Jos toiminnot suoritetaan virheellisesti, sivustolle voi jäädä haitallisia komentosarjoja tai haavoittuvuuksia, jolloin se muuttuu käyttökelvottomaksi lyhyessä ajassa. hyökkääjä voi hakkeroida uudelleen. Jos yllä olevia vaiheita ei jostain syystä ole mahdollista suorittaa siinä muodossa, jossa ne on ilmoitettu, ota yhteyttä asiantuntijaan sivuston palauttamiseksi hakkeroinnin jälkeen.

Jotta voit suojata sivustosi toistuvilta hakkeroilta tulevaisuudessa, sinun on noudatettava seuraavia suosituksia:

Seuraa sisällönhallintajärjestelmän päivityksiä ja sen laajennuksia kehittäjien verkkosivustoilla ja päivitä ne viipymättä uusimpiin versioihin. Jos päivityksen kommentissa kerrotaan, että se korjaa haavoittuvuuden, asenna päivitys mahdollisimman pian.
Työskentele sivuston ja isännöintitilin kanssa vain tietokoneista, jotka on suojattu viruksilta nykyaikaisilla virustorjuntaohjelmilla, joissa on jatkuvasti päivitetyt virustietokannat.
Käytä monimutkaisia salasanoja, jotta niitä ei voi arvata sanakirjahaun avulla.
Älä tallenna FTP- ja SSH-salasanoja ohjelmiin, joilla voit muodostaa yhteyden sivustoon, äläkä tallenna pääsysalasanaa sivuston hallintoalueelle ja selaimen isännöinnin ohjauspaneeliin.
Vaihda ajoittain (esimerkiksi kolmen kuukauden välein) sivuston ja isännöintitilin salasanat.
Jos tietokoneessa, josta työskentelit sivuston kanssa, havaittiin viruksia, vaihda sivuston ja isännöintitilin salasanat mahdollisimman nopeasti. Kaikki salasanat on vaihdettava: pääsysalasanat FTP:n, SSH:n kautta, salasana sivuston hallintapaneelista sekä salasana hosting-ohjauspaneelista.
Älä anna pääsyä sivustolle kolmansille osapuolille, ellet ole varma, että myös he noudattavat näitä ohjeita.

Voit usein nähdä Internetissä: sivusto toimi normaalisti ja alkoi yhtäkkiä toimia kuin talonmies krapulassa, isännöitsijä kirjoittaa vihaisia kirjeitä, hakukoneet ohittavat sivuston ja selaimet estetään varoituksella "On tietoa, että tämä sivusto hyökkää tietokoneita vastaan!"

Mistä virukset tulevat?

Yleisin syy nykyään on Quickstartin käyttö (Quickstart on asennusarkisto, jonka avulla voit ottaa käyttöön tarkan kopion sivustosta kaikilla laajennuksilla muutamassa minuutissa), yleensä ladataan warez-resursseista; Sinun ei tietenkään tarvitse pelätä kehittäjältä ostettua pikaopastusta. Se on erittäin kätevää, sinun ei tarvitse huolehtia suunnittelusta, laajennuksien asentamisesta tai sivuston perustamisesta. Totta, usein sivuston ohella voit vastaanottaa joukon komentosarjoja, jotka ohjaavat resurssiasi, kuten roskapostin lähettäminen, virusten "jakaminen" tai näkymättömien linkkien sijoittaminen kolmannen osapuolen resursseihin (black hat SEO).

Miksi warez-resurssit sisältävät takaoven (englanninkielisestä takaovesta - "takaovi") arkistossa? Yleensä warez-resurssit elävät rojalteista jokaisesta tiedostojen isännöintipalveluista latauksesta, ja ne puolestaan näyttävät mainoksia ja maksullisia tilauksia lisätäkseen latausnopeutta, mikä on tavallisesti rajoitettua tavallisille käyttäjille. Mutta monille tämä ei näytä riittävältä, varsinkin kun on mahdollista hallita satoja ja jopa tuhansia sivustoja. Jos todella haluat käyttää pika-aloitusta, osta se kehittäjältä, varsinkin kun sen hinta on keskimäärin 30-50 dollaria, mikä on yleensä edullista jopa nykyisellä valuuttakurssilla.

Toiseksi voimme laittaa CMS-hakkeroinnin haavoittuvuuksien kautta, ja kaikki on kunnossa moottoreiden turvallisuuden kanssa, syy on triviaali - käyttäjät eivät asenna päivityksiä. Jotkut pelkäävät, että sivusto kaatuu päivityksen jälkeen, toiset ovat vain laiskoja tai studio on kehittänyt sivuston ja luovuttanut sen asiakkaalle. Asiakas määräsi yhden työntekijän ylläpitämään sivustoa ja hän täyttää sen säännöllisesti ohjeiden mukaan, eikä päivittäminen kuulu hänen tehtäviinsä...

Joten yhtenä mahdollisista syistä Panama-arkiston vuotamiseen asiantuntijat kutsuvat vanhentuneita CMS-järjestelmiä - Drupalia, joka sisälsi hakkerointihetkellä vähintään 25 haavoittuvuutta, ja WordPress 4.1:tä haavoittuvalla laajennuksella.

Takaovea etsimässä

Ensinnäkin virustorjunta etsii haittaohjelmia erityisesti PC:lle, vaikka kuinka paljon asetat takaoven tietokoneellesi php:ssä, et voi tartuttaa sitä (PC).

Toiseksi se voi olla lyhyt koodinpätkä (yleensä salattu), joka lataa haitallisia komentosarjoja toisesta resurssista, ja jos on, on turha etsiä sitä itse.

Voit mennä eri tavoin.

Ensimmäinen vaihtoehto

Koska sivusto sisältää useita tuhansia tiedostoja, muuttuneiden tai "ylimääräisten" tiedostojen etsiminen voi viedä melko paljon aikaa, ja tulos on pettymys - käsittelyn jälkeen "vasemmat" linkit ilmestyvät resurssille uudelleen hetken kuluttua.

Asennamme puhtaan Joomlan (tai muun sisällönhallintajärjestelmän), asennamme mallin, kaikki komponentit, moduulit, lisäosat, jotka olivat sivustollasi. Siirrämme kaikki kuvat vanhalta sivustolta, kuvahakemistosta, tarkistamalla ensin, ettei siinä ole muita tiedostoja jäljellä kuvien lisäksi, myös sisäisissä hakemistoissa. Jos olet asentanut K2-komponentin, kuvat sijaitsevat hakemistossa media/k2/items/cache/.

Huomio! Olisi hyvä idea tarkistaa kuvat, joilla on ilmeisen satunnainen nimi, kuten esimerkiksi i2495mg.gif on yleensä piilotettu sellaisiin kuviin.

Yhdistetään vanhaan tietokantaan. Haitalliset skriptit eivät juuri koskaan kirjoita tietokantaan, ja vaikka näin ei olisi, tietokantaan pääsyä varten ei tällä hetkellä ole skriptejä, voit myös määrittää taulukoiden nimen perusteella, mihin ne kuuluvat, ja poistaa tarpeettomat manuaalisesti.

Tietokannan yhdistäminen vanhasta sivustosta

Tietokannan vienti. Kirjaudu isännöi phpmyadminiin, valitse haluamasi tietokanta vasemmalla olevasta sarakkeesta ja siirry "Vie" -välilehdelle. Napsauta "Valitse kaikki", voit asettaa pakkauksen zip-muotoon ja napsauta sivun alareunassa "OK". Tallenna tietokanta tietokoneellesi. Mene phpmyadminiin, luo uusi tietokanta, siirry siihen, avaa tuonti-välilehti ja määritä polku ladattavaan vedokseen. Nyt on vielä korjattava configuration.php, joka sijaitsee hakemiston juuressa, avaa se millä tahansa editorilla. Esimerkiksi Notepad++.

julkinen $db = "kanta"; - ilmoita kantanimesi sijasta kantanimi;

julkinen $user = "juuri"; - jos et vaihtanut käyttäjänimeä paikallisessa palvelimessa, jätä se ennalleen;

julkinen $salasana = ""; - Paikallisella palvelimella on yleensä tyhjä salasana, joten jätämme senkin.

Tallennamme muutokset ja tarkistamme sivuston toiminnan.

Toinen vaihtoehto

Jos sinulla on tarpeeksi kokemusta, voit käynnistää lähdekoodin katselun ja katsoa, onko siellä "vieraita" linkkejä, ja sitten nähdä esimerkiksi firebugin kautta, mistä ne tulevat. Yleensä ne ovat salattuja ja käyttävät yleensä base64-algoritmia.

Jos sinulla ei ole tarpeeksi kokemusta, voit käyttää verkkopalvelua, helpoin vaihtoehto on verkkovastaavan tilillä Yandex tai Google tai verkkoskanneri https://rescan.pro/. Olen taipuvaisempia tarkistamaan sivukoodia manuaalisesti, vaikka tietysti on syytä huomata, että kaikenlaiset skriptit ja skannerit nopeuttavat huomattavasti työtä.

Esimerkki "vasemman" linkin etsimisestä

Esimerkiksi otin pikakäynnistyksen yhdestä warez-resurssista. Paina Ctrl+F5 nähdäksesi lähdekoodin, vaikka nopealla vilkaisulla löydämme heti:

Vaihdamme sivustomallin hallintapaneelissa tavalliseen malliin, linkit ovat kadonneet, mikä tarkoittaa, että koodi on kirjoitettu warez-malliin ja katsotaan sieltä.

Avaa Notepad++, paina Ctrl+F, siirry "Etsi tiedostoista" -välilehdelle, määritä mallihakemisto ja hakupalkissa haettu sana, tässä tapauksessa "sa_wqngs". Napsauta "Etsi kaikki". Haku löytää kaksi osumaa.

Poistamme rivit, päivitämme sivun, linkkirivit eivät ole kadonneet, ja koska en löytänyt suoria linkkejä aiemmin, se tarkoittaa, että koodi on salattu.

Aloitamme uuden haun, nyt käyttämällä "base64" ja näemme mallikoodissa:

Poistamme rivit 174, 184, 186 (en kommentoi koodia, kuka tahansa voi löytää kuvauksen Internetistä). Päivitämme sivun uudelleen lähdekoodilla, linkit ovat kadonneet. Käymme myös läpi kaikki hakutulokset "base64":llä, mallissa oli noin tusina samanlaista lisäystä. Ajan mukaan lajittelu auttaa tässä, joten jos suurin osa mallitiedostoista on päivätty esimerkiksi 1.5.2014, niin esimerkiksi kahdeksan kuukautta myöhemmin muokatut tiedostot ovat ainakin epäilyttäviä.

Miksi sivustoa päivitetään?

Nykyään "pahat hakkerit" eivät riko verkkosivustoja manuaalisesti, ellei se tietenkään ole suuri portaali tai luottamuksellisten tietojen tietokanta. Hakkerointi on ollut hihnalla pitkään. Tätä tarkoitusta varten on kirjoitettu botteja (skriptejä), jotka etsivät kaikkia verkon sivustoja suosituilla CMS-järjestelmillä, minkä jälkeen he yrittävät soveltaa haavoittuvuuksien kirjastoa, joka lähetetään raporttiin. Vastaavasti, heti kun uusi haavoittuvuus ilmaantuu, se lisätään välittömästi kirjastoon.

Vaikuttaa alkeelliselta, kaikki nykyaikaiset sisällönhallintajärjestelmät ilmoittavat suoraan hallintapaneelissa, että uusia versioita on julkaistu ja niitä on päivitettävä, mutta usein törmäät sivustoihin, joita ei ole päivitetty yli vuoteen.

Skannerin käyttäminen

Aina ei tietenkään ole mahdollista löytää "yllätyksiä" manuaalisesti, joten et ehkä päivittänyt järjestelmää tai laajennuksia ajoissa, ja sivustolle asennettiin takaovi... Nykyään skannereita on monia, yksi niistä AI-Bolit. Lisäksi se on ilmainen ei-kaupalliseen käyttöön.

Käytämme sitä "kokeellisessa" sivustossa, josta etsin "ylimääräisiä" linkkejä. Sen käyttö on dokumentoitu hyvin virallisessa resurssissa, joten en kopioi tietoja.

Pikatarkistuksen tulosten perusteella sain viestin kahdesta haavoittuvuudesta. Ensimmäinen kertoi moottorin vanhentuneesta versiosta, jonka yleensä tiesin jo.

Toinen puhui haavoittuvuudesta administrator/components/com_k2/lib/elfinder/elFinder.class.php - AFU: elFinder. Ehkä syynä on se, että komponentti on myös vanhentunut.

Latasin vain siltä varalta komponentin uusimman version viralliselta verkkosivustolta ja vertasin skannerin valittamaa versiota juuri ladattuun versioon. Tätä varten on kätevää käyttää Notepad++-laajennusta, Vertaa. Kuten odotettiin, ainoa ero oli versioissa.

Me istumme väijytyksessä

Tarkastus olisi voitu suorittaa tässä vaiheessa, mutta varmuuden vuoksi päätin tuntea oloni vainoharhaiseksi. Yksi varma tapa on tarkastella, mitä paketteja sivustosi lähettää verkkoon. Laitamme Wireshark, se on myös hyvin dokumentoitu kehittäjän sivustolla. Selaamme sivuston sivuja, sivusto todellakin käyttää verkkoa, mutta ei ole mitään syytä huoleen. Ladataan kirjasimia Google Fontsista, videoita YouTubesta...

Verho

Tämä materiaali ei tietenkään ole yksityiskohtaisia ohjeita sivustojen "käsittelyyn", vaan vain pieni toimintaopas. Tien hallitsee se joka kävelee...

Tietysti perussuojavarusteet on hyvä asentaa, mutta siitä lisää seuraavassa osassa.

Olemme jo tutkineet erilaisia tapoja ja keinoja suojata Joomlaa hakkerihyökkäyksiltä ja viruksilta. Mutta entä jos sivustosi on jo saanut tartunnan? Kuinka parantaa se?

Tämä artikkeli sisältää vaiheittaisen oppaan Joomla-sivuston hoitamiseen viruksilta (annetut vaiheet koskevat myös muiden sisällönhallintajärjestelmien sivustoja). Noudata kaikkia vaiheita ja sivustosi palautetaan.

Kuka saastuttaa verkkosivustot viruksilla ja miksi?

Oletetaan, että eräänä "hyvänä" päivänä isännöitsijä tai Yandex.Webmaster ilmoitti sinulle, että sivustollasi on havaittu haitallisia komentosarjoja. Ensimmäiset ajatukset, jotka tulevat mieleen tällaisten uutisten jälkeen, ovat: ”Kuinka se on mahdollista? Miksi sivustoni? Olemme pieni yritys. WHO? Kilpailijat? Minkä vuoksi? Miten?".

Katsotaanpa ensin tartunnan teoreettisia syitä. Oletetaan, että sivustollasi ei todellakaan ole niin vieraillut, että se kiinnostaisi hakkereita (sillä vierailee kymmeniä - satoja ihmisiä päivittäin). Kuka, miksi ja miten tartunnan sai sivustosi?

Sinun ei pitäisi mennä heti vihollisten ja kilpailijoiden läpi. Todennäköisesti sivustosi tartunta on onnettomuus, ja epäsuorasti SINÄ (tai yrityksesi sivustosta vastaava verkkovastaava) olet syypää siihen.

Kysyt: "Kuinka?" Annan teille esimerkin jokapäiväisestä elämästä. Talvi tulee pian. Odotettavissa on flunssaepidemia. Epidemian huipentuma-aikana on korvissanne jo kuultu rokotusten tarpeesta, hygieniasta ja ruuhkaisten paikkojen välttämisestä. Mutta päätit: "Uh, mitä hölynpölyä! Olen elänyt niin monta vuotta, enkä sairastu ilman rokotuksia tai neuvoja!” ja jätti huomioimatta kaikki varoitukset. Talvi on tullut. Olet saanut flunssan. Kuka on syyllinen tähän? Henkilö, joka aivasteli sinua? Tai ehkä valtio, joka ei väkisin ruiskuttanut sinulle rokotetta? Tai loppujen lopuksi rakkaasi?

Suurella todennäköisyydellä sama tapahtui sivustollesi.

Kysy itseltäsi:

Päivitänkö säännöllisesti Joomlaa ja kaikkia sivustolla käytettyjä laajennuksia?
Olenko vaihtanut oletusjärjestelmänvalvojan osoitetta?
Onko tietokoneessa, josta kirjaudun sivuston järjestelmänvalvojaan, virustorjunta?

Jos et täytä vähintään yhtä näistä kolmesta kohdasta, sivustosi vaarantuu jo nyt.

Sitten arpajaiset tulevat peliin. Oletetaan, että jonain päivänä joku löysi haavoittuvuuden Joomlassa. Hän lähetti tietoja siitä Joomlan kehittäjille. He korjasivat haavoittuvuuden ja julkaisivat päivitetyn version. Jonkin ajan kuluttua löydetty haavoittuvuus tulee tunnetuksi suurelle yleisölle, johon kuuluu myös joitain ei niin hyviä henkilöitä. Yksi näistä henkilöistä kirjoittaa hämähäkin - ohjelman, joka skannaa Internetiä löytääkseen tämän haavoittuvuuden sisältäviä päivittämättömiä sivustoja, ja löytää ne, käyttää haavoittuvuutta hakkerointiin.

No, kerro minulle, kuka tässä on syyllinen? Ensin kokemattomat verkkovastaavat lataavat Joomla-sivustolle kymmenkunta kolmannen osapuolen laajennusta, siirtävät sitten tällaisen sivuston asiakkaalle, maksavat ja poistavat sen. Asiakas ei ole kovinkaan ajan tasalla päivityksistä ja haavoittuvuuksista. Se toimii sivuston sisällön kanssa. Pari vuotta menee näin. Sitten sivusto löytää hämähäkki, joka on määritetty hyödyntämään yhtä sivustolle asennetun Joomla-laajennuksen uusimmista haavoittuvuuksista. Ja sitten asiakas ja sivuston luonut verkkovastaava huutavat keuhkoihinsa, että Joomla on vuotava moottori.

Kohdennettua hakkerihyökkäystä sivustollesi ei tietenkään voida sulkea pois, mutta tällaisen hyökkäyksen todennäköisyys on hyvin pieni verrattuna siihen, että sait hämähäkin kiinni. Sanoisin 1% vs. 99%. Sivustosi suosion, liikenteen ja suorituskyvyn kasvaessa todennäköisyys siirtyy kohti hakkerihyökkäystä, mutta niin kauan kuin sivustosi ei sisällä mitään erityisen arvokasta, hakkerit eivät tuhlaa siihen aikaa, koska... heidän aikansa on arvokkaampaa.

Yleensä tartunnan todennäköisimpien perimmäisten syiden tulee olla selvillä sinulle. Voit repiä pois pari hiuspalaa päästäsi, lyödä päätäsi seinään pari kertaa ja sanoa "#@@*$#!!!" ( tai lyö päätäsi sivustoa ylläpitäneen verkkovastaavan seinään=)) ja aloita sitten sivuston käsittely.

Sivustoni on saastunut. Mitä tehdä?

Sivustosi on saanut tartunnan. Sen parantamiseksi suosittelen, että käytät ohjeita, jotka koostuvat 10 vaiheesta. Vaiheet on suoritettava peräkkäin, ei satunnaisessa järjestyksessä.

Vaihe 1. Varmuuskopiointi.

Jos sivustosi on saanut tartunnan, kuulut laiminlyönnin tason perusteella johonkin kahdesta kategoriasta:

Varmuuskopioin säännöllisesti verkkosivustoni / olen asettanut säännölliset varmuuskopiot isännöintiin.
Varmuuskopiot? Öh... Mikä tämä on?

Jos kuulut ensimmäiseen luokkaan, minulla on sinulle hyviä uutisia: sinun ei tarvitse käsitellä sivustoasi viruksilta. Palauta vain varmuuskopio ja siirry kohtaan vaihe 7.

Jos kuulut toiseen luokkaan, joudut työskentelemään kovasti tai käyttämään rahaa asiantuntijaan. Lisäksi sinulle on erittäin huonoja uutisia:

Kun puhdistat sivuston viruksista, täydellisestä palautumisesta ei ole eikä voi olla mitään takeita.

Selvitetään miksi.

Kuvitellaanpa zombie-elokuvat, jotka ovat niin suosittuja näinä päivinä. Yhdestä ihmisestä tuli zombi, sitten hän puri toista, sitten kolmatta, ja niin puolet planeettasta sai tartunnan. Jonkin ajan kuluttua ihmiskunta tuli järkiinsä ja tuhosi kaikki tartunnan saaneet. Rauha ja hiljaisuus vallitsi. Jonkin ajan kuluttua kävi ilmi, että jossain syvässä pimeässä kellarissa oli toinen tartunnan saanut henkilö, jota ei voitu havaita. Ja sitten tähän kellariin tuli terve mies...

Sama periaate pätee myös verkkosivuston tartuttamiseen. Sivuston tiedostoja, joita on useita tuhansia, voidaan muuttaa. Voidaan myös lisätä uusia tiedostoja nimillä, jotka eivät kerro itsestään. Virus voi kirjoittaa itsensä mihin tahansa hakemistoon ja tiedostoon sivuston tiedostorakenteessa. Sitten sivusto puhdistetaan viruksista. Kaikki tartunnan saaneet tiedostot poistetaan. Mutta missä on takuu, että yksi näistä tiedostoista ei katoa? Hän on poissa. Ja tällainen tiedosto voi lopulta johtaa koko sivuston uudelleentartunnan saamiseen.

Kaikki tämä ei tarkoita, että sinun pitäisi luovuttaa ja tehdä uusi verkkosivusto. Silti alla kuvatut vaiheet mahdollistavat suurella todennäköisyydellä kaiken haitallisen koodin puhdistamisen viimeistä riviä myöten.

Tehdään yhteenveto vaiheesta 1.

Jos olet tehnyt varmuuskopiot, etsi sellainen, jossa ei ole vielä tartuntaa, ja palauta sivusto siitä. Jatka seuraavaksi vaiheeseen 7.
Jos et ole tehnyt varmuuskopioita, varaudu siihen, että kukaan ei anna sinulle 100% takuuta siitä, että sivusto puhdistetaan täysin viruksista. Siirry vaiheeseen 2.

Vaihe 2. Kopion luominen sivustosta ja alustava vahvistus.

Jos luet tätä vaihetta, onnittelut, huolimattomuutesi on parhaimmillaan. Mutta meidän on etsittävä myös positiivisia puolia tästä. Opit käsittelemään verkkosivustoja ja opit myös paljon niiden kanssa työskentelemisestä. Tästä tiedosta on varmasti hyötyä sinulle verkkosivuston omistajana.

Tässä vaiheessa sinun on luotava paikallinen kopio sivuston tiedostorakenteesta. Luo arkisto isännöintisi sivustotiedostoista ja lataa se tietokoneellesi. Jos et tiedä, miten tämä tehdään, ota yhteyttä tekniseen tukeen. isännöintituen kanssa pyynnön luoda ja lähettää sinulle kopio sivustosta.

Tavallinen Joomla-verkkosivusto koostuu kahdesta osasta:

Sivuston tiedostojärjestelmä
Tietokanta

Haitallista koodia voi olla tiedostoissa ja tietokannassa, mutta se on silti todennäköisimmin löydettävissä tiedostoista.

Kun olet ladannut arkiston sivustotiedostoineen ja ottanut sen käyttöön paikallisella tietokoneellasi, tarkista se hyvällä virustorjuntaohjelmalla, kuten Kasperskyllä. Virustorjuntayrityksillä on ilmaisia työkaluja kertatarkistuksiin. Käytä yhtä niistä:

Jos tietokoneessasi on lisensoitu, päivitetty virustorjunta, voit käyttää sitä.

Käyttöjärjestelmien virustorjuntaohjelmia ei ole suunniteltu desinfioimaan verkkosivustoja, mutta ne voivat kuitenkin havaita ja poistaa tietyn osan viruksista. Nämä ovat kuitenkin ammattimaisimpia työkaluja. Älä unohda niitä.

Tarkistuksen jälkeen löytyy useita viruksia tai ei löydy mitään. Käsittelemme löydetyt tartunnan saaneet tiedostot (puhdistamme ne manuaalisesti haitallisesta koodista) tai poistamme ne. Jatketaan vaihe 3.

Vaihe 3. Tarkastus erikoistyökaluilla

Tässä vaiheessa lämmittely on ohi. Edessä on rutiini ja ikävä työ. On aika tarkistaa tartunnan saanut sivusto haitallisen koodin etsimiseen erikoistuilla työkaluilla. Nämä sisältävät:

AiBolit on ilmainen virusten ja haitallisten komentosarjojen skanneri. Se on kätevä, koska se voidaan helposti käynnistää Windowsissa.
Manul on Yandexin virustorjuntaohjelma.

Suosittelen käyttämään AiBolitia, koska Yandex sulkee Manul-projektin eikä sitä enää päivitetä. Tarkistuksen tulosten perusteella sinulle luodaan raportti epäilyttävistä tiedostoista ja haavoittuvuuksista.

TutkimusAiBolit.

Lataa AiBolit for Windows -sovelluksen viralliselta verkkosivustolta.
Kopioi tartunnan saaneen sivuston tiedostot kansioon sivusto.
Suorita tiedosto start.bat.

Tulosten perusteella luodaan raporttitiedosto AI-BOLIT-RAPORTTI.html

TutkimusManul.

Manul on PHP-skripti. Sen suorittamiseksi tarvitset paikallisen verkkopalvelimen. Voit käyttää näihin tarkoituksiin AvataPalvelin tai Denwer. Seuraa seuraavaksi virallisen Manul-verkkosivuston ohjeita.

Tärkeä! Älä missään tapauksessa saa suorittaa tartunnan saaneita verkkosivustoja paikallisella palvelimellasi. Haitalliset skriptit, joita ei korjata tässä vaiheessa, voivat lisääntyä.

Kun olet tarkistanut skannereilla, saat kaksi raporttia, joissa on epäilyttäviä tiedostoja. Voit olla varma: monet niistä ovat viruksia tai sisältävät haitallista koodia.

Seuraava on melko ikävä vaihe. Sinun täytyy käydä manuaalisesti läpi kaikki epäilyttävät tiedostot ja tarkistaa niissä oleva koodi. Usein haitallinen koodi erottuu pääkoodista muotoilulla. Joomla-koodi on siisti eikä sisällä mitään ylimääräistä. Haitallinen komentosarjakoodi syötetään usein ilman muotoilua. Katso alla oleva esimerkki.

Haitallinen komentosarjakoodi:

Vinkkejä:

Älä pelkää avata tartunnan saaneitaphp-tiedostoja katseltavaksi tekstieditorin kautta. Tulkki ei ole vielä käynnissäPHP (paikallinen palvelin, joka voi suorittaaPHP-koodi), virukset ja haitalliset skriptit eivät ole vaarallisia.

Jos tartunnan saaneita tiedostoja löytyy liian monta, voit käyttää tätä temppua: tarkista nykyinen versioJoomla verkkosivustollasi, lataa tämä versio viralliselta verkkosivustolta. Kopioi ladatun version tiedostot kansioon, jossa tartunnan saanut on, ja korvaa osumat. Tällä tavalla voit korvata suurimman osan tartunnan saaneista tiedostoista alkuperäisillä. Samalla tavalla voit korvata tiedostoja suurilla tunnisteillaJoomla. Tätä kuvataan tarkemmin vaiheessa 5.

Ennen kuin poistat tartunnan saaneita tiedostoja, kirjoita huolellisesti erilliseen tiedostoon haitallisten komentosarjojen koodinpätkät ja niiden tiedostojen nimet, joista ne löytyvät. Tarvitsemme niitä seuraavissa vaiheissa.

Tämä vaihe voi olla aikaa vievä ja vaikea myös niille, jotka eivät ole perehtyneet PHP-koodiin. Yleinen neuvo: jos epäilet, onko edessäsi oleva käsikirjoitus haitallinen vai ei, oleta, että se on. Älä pelkää poistaa tartunnan saaneita Joomla-tiedostoja ja laajennuksia. Palautamme ne seuraavissa vaiheissa. Ainoat poikkeukset ovat tiedostot, jotka sijaitsevat käyttämäsi sivustomallin hakemistossa. Niitä ei voi palauttaa, ja sinun on työskenneltävä niiden kanssa erittäin huolellisesti.

Kun kaikki raporttien tiedostot on tarkistettu/puhdistettu/poistettu, tarkista sivuston tiedostorakenne uudelleen. Mitään ei pitäisi löytää. Tämän jälkeen voit jatkaa vaihe 4.

Vaihe 4. Etsi toistoja ja käsittele tiedostojen luontipäivämääriä.

Nyt on aika kääntyä vähitellen päähän. Toivon, että noudatit neuvojani edellisessä vaiheessa ja kopioit haitalliset komentosarjakoodin osat erilliseen tiedostoon.

Jos sivustosi tartuttaneen viruksen ei ole kirjoittanut nero, ja todennäköisesti näin on, tartunnan saaneet koodinpalat tulisi tavalla tai toisella toistaa tiedostosta toiseen. Käytämme tätä selvittääksemme, mitä skannereita ja virustorjuntaohjelmia on jäänyt huomaamatta.

Tämän vaiheen suorittamiseksi tarvitsemme ohjelman Totaalinen komentaja tai mikä tahansa muu apuohjelma, joka voi etsiä tiedostoja. Suosittelen silti käyttämään Total Commanderia.

Kun olet avannut sivuston tiedostorakenteen Total Commanderin kautta, siirry kohtaan Joukkueet –> Etsitään tiedostoja...

Tässä olemme kiinnostuneita kahdesta välilehdestä.

Yleiset asetukset -välilehti:

Voit määrittää tiedostoista etsittävän tekstin. Olet jo tallentanut osia viruskoodista. Oletko fiksu? Valitsemme fragmentin ja etsimme sen toistoja tiedostoista koko sivuston tiedostojärjestelmästä. Voit olla varma, että jotain tulee olemaan. Seuraavaksi tarkistamme löydetyt tiedostot ja puhdistamme/poistamme ne.

Lisäasetukset-välilehti:

Toinen loistava tilaisuus löytää kaikki tartunnan saaneet tiedostot on käyttää tiedostojen muokkauspäivämäärää. Katso raportti huolellisesti uudelleen AiBolit. Se näyttää epäilyttävien tiedostojen luonti-/muokkauspäivämäärän. Todennäköisesti kaikki tartunnan saaneet tiedostot luotiin noin viikon sisällä tai jopa yhtenä päivänä. Laske se ja aseta se sitten välilehdelle Lisäksi tämä ajanjakso tai päivä. Näin voit tunnistaa kaikki epäilyttävät tiedostot.

Tämä menetelmä ei ole täysin luotettava, koska korkealaatuiset virukset voivat muuttaa luomispäivämääränsä, mutta se on ehdottomasti kokeilemisen arvoinen. Hän auttaa minua paljon.

Kun olet suorittanut kaikki kuvatut vaiheet, voit suorittaa vaihe 5.

Vaihe 5. Palauta sivuston tiedostorakenne.

Tässä vaiheessa sivustosi tiedostorakenne ei todennäköisesti enää sisällä viruksia, mutta se ei enää toimi. Olet muuttanut ja poistanut monia tiedostoja. Heidän joukossaan oli varmasti "viattomia uhreja". Nyt on aika palauttaa sivuston tiedostorakenne ja samalla ottaa uusi askel sen puhdistamiseksi.

Tässä olevat vaiheet ovat seuraavat:

Avaa tartunnan saaneen sivuston hallintapaneeli (vanha, ei puhdistettu!) ja siirry kohtaan Laajennukset -> Laajennusten hallinta -> Hallitse.
Kirjoita uudelleen kaikki asennetut kolmannen osapuolen laajennukset ja niiden versiot. Merkitse muistiin Joomla-versio.
Lataa Joomla annettu(ei uusin!) versio ja kaikki määritettyjen versioiden laajennukset.
Päivitä Joomla-tiedostorakenne manuaalisesti kopioimalla ladattu versio ja korvaamalla se.
Päivitä laajennustiedostorakenne manuaalisesti kopioimalla ja korvaamalla.

Seuraamalla näitä ohjeita voit olla varma, että kaikki sivuston suoritettavat tiedostot ovat puhtaita. Teoriassa vain viruksen luomat ja itse luomasi tiedostot voivat pysyä tartunnan saaneina. Lisäksi, jos sivustollesi on asennettu useita Joomla-malleja, sinun on tarkistettava niiden tiedostot erittäin huolellisesti. Mallitiedostoja ei kirjoiteta päälle päivityksen aikana.

Tässä vaiheessa olemme tehneet kaikkemme puhdistaaksemme ja palauttaaksemme sivuston tiedostorakenteen. On tietokannan aika. Jatketaan vaihe 6.

Vaihe 6. Sivuston tietokannan puhdistaminen.

Haitallista koodia voi sisältyä paitsi sivuston tiedostoihin myös sen tietokantaan. Tietokannan puhdistaminen on jossain määrin vaikeampaa kuin tiedostorakenteen puhdistaminen. Haluaisin korostaa kahta vaihetta:

Lataa sivustotietokantavedos ja tarkista se manuaalisesti. Voit ladata kautta PhpMyAdmin sivuston tietokanta tekstitiedostona ja avaa se Nodepad++:n tai muun tekstieditorin kautta. On suositeltavaa tarkastella tätä tiedostoa outojen fragmenttien varalta ja tarkistaa vaarallisten elementtien, kuten iframe-kehysten, esiintyminen.
Pöydässä #__ käyttäjiä sivuston tietokanta, etsi kaikki käyttäjät, joilla on pääkäyttäjän oikeudet ja tarkista, onko siellä vieraita.

Tämän jälkeen sinun on otettava sivusto käyttöön ja suoritettava se paikallisessa palvelimessa ( vaihe 7).

Vaihe 7. Koekäyttö.

Koska olen hieman vainoharhainen, suosittelen, että käytät sivustoa paikallisella palvelimella, jossa Internet on kytketty pois päältä tässä vaiheessa.

Ennen käynnistämistä sinun on oltava henkisesti valmistautunut siihen, että sivusto käynnistyy virheillä. Ehkä poistit Joomla-tiedoston tai laajennuksia puhdistuksen aikana, mutta et palauttanut niitä myöhemmin. Ei siinä mitään vikaa. Pääasia, että hallintapaneeli käynnistyy. Jos näin käy, toimi seuraavasti:

Päivitämme Joomlan uusimpaan versioon asentamalla päivityksen Joomla laajennushallinnan kautta.
Päivitämme kaikki laajennukset uusimpiin versioihin asentamalla päivitykset Joomla laajennushallinnan kautta.

Tämän jälkeen sivuston pitäisi toimia oikein ja ilman virheitä. Jos jotain on jäljellä, korjaamme sen manuaalisesti ja siirrymme eteenpäin vaihe 8.

Vaihe 8. Vaihda kaikki salasanat.

Muutamme:

Järjestelmänvalvojan salasanat
Salasana tietokantapalvelimella
FTP-salasana
Isännöinnin ohjauspaneelin salasana

Siinä kaikki, sivustosi on puhdistettu. Jäljelle jää vain varmistaa, että tartunnan aiheuttanut haavoittuvuus on suljettu.

Vaihe 9. Infektion syiden analysointi ja eliminointi

Käännymme taas päämme ympäri (kyllä, tiedän, se on jo väsynyt eikä ymmärrä mitään). Mikä oikeastaan johti tulehdukseen? Artikkelin alussa esitin pari ajatusta tästä asiasta.

Yritä ymmärtää, missä sivustossasi saattaa olla haavoittuvuuksia. Sinun ei tarvitse olla suuri asiantuntija. On tärkeää vain ajatella järkevästi.

Suosittelen sinua tarkistamaan kotitietokoneesi virusten varalta ja kiinnittämään huomiota myös isännöintiin, jolla sivustoa isännöidään. Mitä arvosteluja siitä on Internetissä? Ehkä tartunnan syynä oli huonosti määritetty palvelin.

Lue myös tietoja sivustollasi käyttämistäsi Joomla-laajennuksista. Jotkut heistä voivat olla haavoittuvia.

Jos näet tartunnan syitä, jopa teoreettisia, olisi oikein päästä eroon niistä ennen sivuston käynnistämistä uudelleen.

Vaihe 10. Sivuston käynnistäminen ja muutosten seuranta.

Jos olet päässyt näin pitkälle, onnittelut! Se on pitkä matka. Nyt tiedät paljon enemmän verkkosivustoista ja niiden turvallisuudesta. Poista sivuston saastunut kopio kokonaan isännöinnistä ja siirrä puhdistettu kopio sinne. Vaihda myös tietokanta, jos olet tehnyt siihen muutoksia.

Ensimmäisen viikon ajan suosittelen seuraamaan tiedostojärjestelmän muutoksia nähdäksesi, ilmaantuuko virus uudelleen. Aina on mahdollista, että osa tartunnan saaneista tiedostoista säilyy.

Jos kaikki muu epäonnistuu.

Mutta mitä sinun pitäisi tehdä, jos viruksia ilmestyy uudelleen jopa sivuston puhdistamisen ja palauttamisen jälkeen? Tässä on kaksi vaihtoehtoa:

Voit antaa jo puhdistetun kopion tietoturvaasiantuntijoille, jotta he voivat tarkistaa, mitä olet unohtanut.
Voit luoda uuden sivuston (joissain tapauksissa se voi olla halvempi), mutta toivon, että se ei tule siihen.

Pääjohtopäätös.

Toivon, että tämä artikkeli auttoi sinua parantamaan sivustosi viruksilta tai ainakin antanut sinulle paremman käsityksen turvallisuudesta, mahdollisista haavoittuvuuksista ja niiden poistamisesta.

Tärkein asia, joka sinun on tehtävä, jotta et jää yksin hakkeroidun sivuston kanssa, on säännöllinen varmuuskopiointi. Varmista, että sinulla on vähintään yksi varmuuskopio jokaiselle kuukaudelle tietokoneellesi ja nuku hyvin ;-).

Yhteydessä

Aiheeseen liittyvät artikkelit:

Miksi haaveilet kompastumisesta unessa? Kolmas silmä - käpyrauhanen (epifyysi) Käpyrauhanen kolmas silmä Prostakov-Skotinin-perhe komediassa D Goottilainen tyyli eurooppalaisessa taiteessa Goottilainen tyyli taidehistoriassa Alexander Veremeenko pitää itseään uhrina Sergei Veremeenko ja Bashkiria

Uusi: