Masivní útoky na Joomlu

Cony
21. bře 2019 15:10 - 21. bře 2019 15:24 #139521
Zdá se, že dnes probíhají nějaké masivní útoky na Joomlu, alespoň na hostingu Savana (napříč doménami, napříč různými účty). Jedná se o jednoduché útoky na prolomení hesla do administraci, vzhledem k jejich obrovskému počtu ale dochází k přetížení serveru (i přes zabezpečení pomocí Admin Tools), a znepřístupnění webu.
Nejrychlejší řešení je zakázat přístup do administrace pomocí htaccess, tj vytvořit soubor .htaccess s obsahem
order deny,allow
deny from all
allow from VASE_IP_ADRESA
a nahrát do složky /administrator
Tím bude administrace dostupná jen z ip adresy VASE_IP_ADRESA.
Poděkovali: Linelabcz

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
21. bře 2019 16:05 #139522
Pro doplnění - zabezpečení pomocí Admin Tools (RS Firewall apod.) nebylo v tomto případě dostatečně funkční. Jedná se o zabezpečení až v rámci PHP skritpu, tj. dojde ke spuštění PHP, a tím zatížení serveru.

Nejlepší možnost zabezpečení je pomocí htaccess a to jedním z následujících způsobů
- Zablokování na IP adresu(y) - viz výše
- Pomocí Basic Authentication - tj. druhého hesla do administrace - lze vygenerovat např. pomocí Admin Tools, nebo nástroji na webu
- změnou adresy administrace - zde sice lze také pomocí Admin Tools, ale až v rámci PHP, níže je jeden z možných způsobů, jak toho docílit pomocí htaccess

1/ v kořeni Joomly vytvořte složku např /mojeadministrace
2/ nahrajte do ní soubor index.php s následujícím obsahem
<?php
  $admin_cookie_name = 'cokoliv';
  $admin_cookie_code = 'neco_dalsiho';

  setcookie($admin_cookie_name, $admin_cookie_code, 0, '/');
  header("Location: /administrator/index.php");
3/ do složky /administrator nahrajte soubor .htaccess s následujícím obsahem
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
RewriteCond %{HTTP_COOKIE} !cokoliv=neco_dalsiho
RewriteRule .* - [L,F]

Pozor na hodnoty cokoliv a neco_dalsiho, v obou souborech musí být stejné (bez diakritiky, mezer apod.).

Nyní po přístupu na /administrator skončíte chybou 403. Po pristupu na /mojeadministrace dojde k přesměrování na /administrator a dále již můžete běžně pokračovat.
Poděkovali: Bong, Rudolf

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Rudolf
21. bře 2019 20:08 #139526
Cony,

my používáme variantu:

- Pomocí Basic Authentication - tj. druhého hesla do administrace - lze vygenerovat např. pomocí Admin Tools, nebo nástroji na webu

V kombinaci s hostingem a RSFirewall je to nejlepší řešení, které jsem zatím našel.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
21. bře 2019 21:45 #139528
Druhé heslo je dobré, jen pak někdo brblá, že si musí pamatovat moc hesel, a proč že ho vlatně zadává dvakrát a když si ho změnil, jak to že se nezměnilo to první atd... :D

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Rudolf
21. bře 2019 22:03 #139529
Útoky na uhádnutí hesla mohou a většinou běží na pozadí každou vteřinu a na běžném hostingu to poznáte jen zaplacením logování.

Podle mne je to základní nutnost, jinak se pak nestačíte divit :)

Tohle zákazníci přece musí pochopit ne?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od HonzaG
21. bře 2019 23:09 #139530
Osobně mám nejradši omezení přístupu do administrace jen na vybrané IP, jak je psáno v prvním příspěvku. U mnoha webů to snížilo trafic o 90% :-)

HonzaG
::: Nejsem tak bohatý, abych kupoval levné věci... :::

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
21. bře 2019 23:41 #139531
Zablokování na IP je dobré, jen někdy když je člověk nebo zákazník na dovolené je to na obtíž. Změna adresy adminstrace funguje velmi podobně, a nemusí se pamatovat na změny.

Jinak nevím, jako máte zkušenost, ale co já poznal, tak zákazník obvykle "chápe" jen to co chce, a pokud mu to neubírá na komfortu :D

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od radek
22. bře 2019 08:09 #139532
Zablokovani IP je prece mozne jen tam, kde ma clovek verejnou IP, ne? A takovych lidi moc neni. Vetsina ma Netboxy, UPC apod. a tam verejna IP neni.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
22. bře 2019 11:00 #139536
Tak možné je to všude. Pokud mám sdílenou IP adresu, tak tím povolím přístup do administrace sice víc lidem, ale pořád hodně omezím riziko útoku. Problém samozřejmě je, pokud se mi IP mění, ale co vím např. u UPC se v podstatě nemění (myslím že dokonce ani nemají sdílenou IP).

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od klucon
22. bře 2019 12:07 #139541
tak už asi vím, proč mi nešly weby hostované na savaně.. díky Cony

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Rudolf
22. bře 2019 21:59 #139550
Hehe,mě se u O2 IP adresa pořád mění a musím pořád volat klientovi ať svůj web odblokuje :DD
Chudák...

Cony:
Díky, super, přesměrování administrace vypadá jako lepší řešení než mám nyní pomocí dodatečného hesla do administrace.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.