napadení webu

04. čvc 2021 19:27 #144548

napadení webu od Luděk Pechanec

Pokročilý uživatel

Dobrý den, nedávno jsem udělal web www.msdobrna.cz a již asi 4x jsem řešil napadení webu roboty. Tato napadení proběhla cca po 1 a půl měsíci fungování webu. Pokaždé jsem web obnovil ze zálohy a zkontroloval podezřelé soubory, změnil jsem hesla k FTP i k DB.
Prosím, můžete mi poradit, jaké kroky bych mohl ještě udělat, aby k těmto napadením nedocházelo?

J 3.27.1
PHP 7.3
i plugin Brute Force Stop

Mockrát děkuji

04. čvc 2021 20:47 - 05. čvc 2021 11:19 #144549

Odpověď od Bong

Moderátor

Ideálně zjistit kudy je web napadán. To je docela podstatné. Klidně to může být hostingem.

Jinak změnit hesla jen FTP a DB je málo. Změnit i hesla do administrace Joomly a i další, které s hostingem souvisí.

Také jen kontrolování podezřelých souborů je sporné.

Záloha musí být čistá. Tedy složky a soubory Joomly a nainstalovaných rozšíření se musí shodovat se soubory instalace Joomly a všech rozšíření. Co je navíc tam nemá co dělat...

Zálohu je třeba obnovovat na vyčištěný prázdný web s již změněnými hesly.

Také je vhodné zprovoznit HTTPS, pořádné SEF URL, použít zabezpečení například RSFirewall!, Admin Tools, atd...

I'm sorry, my responses are limited...you must ask the right questions.

Poděkovali: Luděk Pechanec

15. čvc 2021 07:37 #144558

Odpověď od Teo

Uživatel

Zkus si stáhnout napadený web a mrknout na soubory či složky, které jsou napadeny. Podle nich se dá potom dál něco řešit. Já jsem napadené složky či soubory našel podle jiného data editace, než ty ostatní. Prostě čas útoku.
Taky se dá ledacos vyčíst z logů. Každopádně to často bývá mravenčí práce.

15. čvc 2021 08:33 #144560

Odpověď od Luděk Pechanec

Pokročilý uživatel

Mockrát děkuji. Již jse provedl a zatím vše OK.

15. čvc 2021 08:34 #144561

Odpověď od Rudolf

Joomla Expert

Já jsem napadené složky či soubory našel podle jiného data editace, než ty ostatní.

Není to bohužel vždy pravidlem.
Takhle to řešili správci serveru dlouhá léta (stažení, projítí antivirovým programem nebo scriptem, znovu nahození) a stejně to nepomáhalo.
Zavirovaný soubor může mít totiž pořád stejný čas vytvoření i změny, jen je do něj dopsaný dodatečný kód.

Jak odvirovat web už bylo mnohokrát popsáno, základní metodu popsal Bong již v roce 2013 na svém webu, my jsme jej rozšířili o použití mysites.guru a nasazení rsfirewall.

Vše ostatní jsou rady ptáka loskutáka (zejména se usmívám při zaručené radě - obnovte ze zálohy) a vedou k možnosti opětovnému zavirování během následujících 5 minut po obnovení.

Stejně si ale každý najde svoji cestu do doby než se mu zaviruje web znovu...

MiniJoomla! - www.minijoomla.cz - eshop s rozšířením Joomla/VM
Email Manager - aplikace na správu šablon emailů pro VirtueMart
Easy Feeder - aplikace na generování XML/CSV feedů a napojení na ERP pro VM
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla

15. čvc 2021 15:15 #144568

Odpověď od Cony

Moderátor

Akeeba Admin Tools umí kontrolovat změny souborů na základě spočítaného kontrolního součtu (možná to umí i ten RS Firewall, nevím). Při napadení to může být velmi dobré vodítko k nalezení škodlivého kódu (ne ale k nalezení toho, jak byl web napaden).

Časové razítko souboru lze opravdu jednoduše zfalšovat, ale často se tím "hackeři" moc nezabývají, pro rychlý náhled to tedy může být také vodítko.

Než stahovat celý web na lokál, doporučuji ještě vyzkoušet PHP malware scanner - lze spustit přímo na serveru z příkazové řádky (CLI skript).

15. čvc 2021 15:22 #144569

Odpověď od Rudolf

Joomla Expert

Protože výsledky testů na zavirování mě neuspokojovaly ani pomocí Akeeba Admin Tools (testováno v roce 2013), i nadále používáme online řešení do pana Taylora (jeden z aktivních vývojářů Joomla)

mysites.guru porovnává soubory originální instalace dané verze Joomla se soubory na ftp
rozdíly a podezření v jiných souborech zobrazí online.

Není třeba kopírovat data na local, stačí napojit.

Současně upozorní na další chyby celého webu, které nemusí souviset s Joomla.

Používáme od roku 2013.

Ale dokážu si představit že někdo používá něco jiného (zvlášť když je odkojen - je to zadarmo)