napadení webu

Luděk Pechanec
04. čec 2021 19:27 #144548
Dobrý den, nedávno jsem udělal web www.msdobrna.cz a již asi 4x jsem řešil napadení webu roboty. Tato napadení proběhla cca po 1 a půl měsíci fungování webu. Pokaždé jsem web obnovil ze zálohy a zkontroloval podezřelé soubory, změnil jsem hesla k FTP i k DB.
Prosím, můžete mi poradit, jaké kroky bych mohl ještě udělat, aby k těmto napadením nedocházelo?

J 3.27.1
PHP 7.3
i plugin Brute Force Stop


Mockrát děkuji

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
04. čec 2021 20:47 - 05. čec 2021 11:19 #144549
Ideálně zjistit kudy je web napadán. To je docela podstatné. Klidně to může být hostingem.

Jinak změnit hesla jen FTP a DB je málo. Změnit i hesla do administrace Joomly a i další, které s hostingem souvisí.

Také jen kontrolování podezřelých souborů je sporné.

Záloha musí být čistá. Tedy složky a soubory Joomly a nainstalovaných rozšíření se musí shodovat se soubory instalace Joomly a všech rozšíření. Co je navíc tam nemá co dělat...

Zálohu je třeba obnovovat na vyčištěný prázdný web s již změněnými hesly.

Také je vhodné zprovoznit HTTPS, pořádné SEF URL, použít zabezpečení například RSFirewall!, Admin Tools, atd...

I'm sorry, my responses are limited...you must ask the right questions.
Poděkovali: Luděk Pechanec

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Teo
15. čec 2021 07:37 #144558
Zkus si stáhnout napadený web a mrknout na soubory či složky, které jsou napadeny. Podle nich se dá potom dál něco řešit. Já jsem napadené složky či soubory našel podle jiného data editace, než ty ostatní. Prostě čas útoku.
Taky se dá ledacos vyčíst z logů. Každopádně to často bývá mravenčí práce.
Poděkovali: Luděk Pechanec

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Luděk Pechanec
15. čec 2021 08:33 #144560
Mockrát děkuji. Již jse provedl a zatím vše OK.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Rudolf
15. čec 2021 08:34 #144561

Já jsem napadené složky či soubory našel podle jiného data editace, než ty ostatní.


Není to bohužel vždy pravidlem.
Takhle to řešili správci serveru dlouhá léta (stažení, projítí antivirovým programem nebo scriptem, znovu nahození) a stejně to nepomáhalo.
Zavirovaný soubor může mít totiž pořád stejný čas vytvoření i změny, jen je do něj dopsaný dodatečný kód.

Jak odvirovat web už bylo mnohokrát popsáno, základní metodu popsal Bong již v roce 2013 na svém webu, my jsme jej rozšířili o použití mysites.guru a nasazení rsfirewall.

Vše ostatní jsou rady ptáka loskutáka (zejména se usmívám při zaručené radě - obnovte ze zálohy) a vedou k možnosti opětovnému zavirování během následujících 5 minut po obnovení.

Stejně si ale každý najde svoji cestu do doby než se mu zaviruje web znovu...

MiniJoomla! - www.minijoomla.org - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
15. čec 2021 15:15 #144568
Akeeba Admin Tools umí kontrolovat změny souborů na základě spočítaného kontrolního součtu (možná to umí i ten RS Firewall, nevím). Při napadení to může být velmi dobré vodítko k nalezení škodlivého kódu (ne ale k nalezení toho, jak byl web napaden).

Časové razítko souboru lze opravdu jednoduše zfalšovat, ale často se tím "hackeři" moc nezabývají, pro rychlý náhled to tedy může být také vodítko.

Než stahovat celý web na lokál, doporučuji ještě vyzkoušet PHP malware scanner - lze spustit přímo na serveru z příkazové řádky (CLI skript).

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Rudolf
15. čec 2021 15:22 #144569
Protože výsledky testů na zavirování mě neuspokojovaly ani pomocí Akeeba Admin Tools (testováno v roce 2013), i nadále používáme online řešení do pana Taylora (jeden z aktivních vývojářů Joomla)

mysites.guru porovnává soubory originální instalace dané verze Joomla se soubory na ftp
rozdíly a podezření v jiných souborech zobrazí online.

Není třeba kopírovat data na local, stačí napojit.

Současně upozorní na další chyby celého webu, které nemusí souviset s Joomla.

Používáme od roku 2013.

Ale dokážu si představit že někdo používá něco jiného (zvlášť když je odkojen - je to zadarmo)

MiniJoomla! - www.minijoomla.org - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
15. čec 2021 18:59 #144572
No Admin Tools zadarmo nejsou ;)

Já zas někdy kolem 2013 zkoušel to mysites.guru a neuspokojilo mně to, tak jsem dopad jako ty, ale opačně :D

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.