So your Joomla site got hacked, now what?Опубликовано: 14.11.2016  Примечание создателя: последующие два раздела - самые технические разделы управления. Эти способы более сложные и я постарался представить информацию о средствах, которые можно использовать и как ими воспользоваться. Как я уже упоминал во внедрении, вам пригодятся некие технические способности, чтоб выполнить эти задачки. Подразумевается, что вы сможете решать главные технические задачки, как, к примеру, использовать SFTP. Не считая того, вы будете работать с потенциально вредоносными файлами. Из-за этого, принципиально, что у вас есть антивирусное программное обеспечение. Не запускайте исполняющие файлы потенциально вредных программ (к примеру, файлы либо программки со необычными наименованиями, также не открывайте просмотр картинок, которые не узнаете и т. д.) В конце концов, перед тем, как соберетесь что-либо удалять либо редактировать, сделайте поначалу запасную копию! So your Joomla site got hacked, now what? В этом разделе мы разглядим, как найти взломанные файлы в Joomla и записи в базе данных, которые вы сможете удалить их (эти подходы не изменяются при работе с разными версиями Joomla, будь то Joomla 1.5, Joomla 2.5 либо Joomla 3).
Традиционный пример взломанного файла Joomla. Запутанные функции, сжатие, eval, модифицированные записи... Это просто другой скрипт. Часто встречающийся признак взломанного файла - запутанный код. На самом деле, все, что смотрится как длинноватая линия тарабарщина, возможно, введено атакой. В особенности если этот код находится рядом с запутывающей функцией base64_decode. Обыкновенному юзеру даже обыденный код может казаться написанным на греческом либо китайском, но, все же, данный код не смотрится так, будто бы машина это написала. Взломанные файлы, обычно, смотрятся как очень плохо написанный код с страшной организации, где функции громадны и смешаны с переменными. Также, в главном, взломанные файлы ссылаются на другие сайты либо определенные функции. Перечень вероятных функций взломанных файлов смотри ниже на страничке. Направьте внимание, что наличие таковой функции не значит, что файл был взломан, но это добавляет доказательств того, что это могло произойти. Очередной признак - это неважно какая ссылка на что-то вне веб-сайта , URL-адрес либо на файл со странноватым заглавием. К примеру, ('../../templates/beez_20/b996.php'). Аналогично, ссылка на нормально называющийся файл, находящийся в необычном месте - очередной показатель атаки. К примеру, ('../../templates/beez_20/settings.php'). Из-за особенностей работы Joomla, в большинстве случаев взломщик уделяют повышенное внимание последующим уязвимым файлам: · Index.php Joomla · Index.php шаблона · Файл .htaccess Атаки на эти файлы очень явны, потому утонченные хакерские скрипты закапываются поглубже в систему, когда заносят свои конфигурации. К примеру, пробуют включить файлы в плагины системы и контента, языковые файлы и стандартные шаблоны. Чтоб знать наверное, является код взломанным либо нет, скачайте неизмененный файл расширением либо ядра соответственной версии (т.е. таковой же версии расширения, как и у вас). А сейчас чтоб проверить - сделайте контрольную сумму MD5 этого файла и сверьте ее с контрольной суммой MD5 проверяемого файла. Это как проверка отпечатков пальцев, которая совершенно точно произнесет вам, является ли файл модифицированным. Вот несколько уроков о том, как генерировать контрольную сумму MD5: · Используя программки md5sum для проверки целостности (загруженных) файлов (Linux/Windows) · Сделать и сопоставить MD5, SHA1 (Mac) Больше инфы о контрольных суммах MD5 на официальной страничке документации Joomla: Как найти контрольную сумму пакета Когда ищешь взломанные файлы, всегда необходимо подразумевать несколько вещей: 1. Взломанные файлы и записи базы данных всегда несколько изменены. 2. Хакеры добавляют файлы для сотворения дополнительных уязвимостей либо способности использовать их другим образом. 3. При всем этом хакеры всегда стремятся достигнуть некий цели. Это может показаться естественным, но этим они помогают нам сузить поиск того, что было взломано. Если мы знаем, что взломанные файлы и записи базы данных были изменены, то как мы можем сказать, что поменялось? 2-мя методами: 1. Мы можем провести сопоставление со старенькой запасной копией. 2. Мы можем сделать копию нашего веб-сайта с таким же набором программного обеспечения (таких же версий) и сопоставить конфигурации. Сопоставление при помощи Meld Вот несколько инструментов, которые можно использовать для сопоставления файлов: · Diff (Линукс/Мак) · Diff Tool для Mac · Meld (Линукс/Windows) |
|
Добро пожаловать ,
Гость
!
Войти