Контрольный список безопасности 7- Если вас взломали

Сайт был взломан/стерт?

Прежде чем послать сообщение на форум по безопасности Joomla! Пожалуйста, прочтите этот перечень резюме, а затем используйте его как шаблон для сообщения.

Список действий

• Работайте с сайтом в автономном режиме, рекомендуем метод htaccess.
• Установите инструмент помощника форума. Запустите помощник постов форума и инструмент безопасности "The simple Instructions". Вам необходимо распаковать этот файл в корневую директорию Joomla.
• Проверять все FTP, Joomla super admin, и Joomla admin на доступность для вредоносных программ, вирусов, троянов, программ-шпионов и т.п.

• Убедитесь, что вы используете последнюю версию Joomla
• Сообщите своему хостеру и работайте с сервером, для того чтобы расчистить сайт и убедиться, что нет посторонних лазеек.
• Просмотрите список уязвимых расширений, чтобы знать, если у вас есть какие- либо уязвимые расширения и как с ними обращаться. Любой ключ к расширениям, являющийся целью – это ваш файловый журнал. Пример того, что необходимо искать:

//administrator/components/com_extension/admin.extension.php?mosConfig.absolute.path=http:

• Рассмотрите статьи принятия мер безопасности, чтобы убедиться, что вы прошли через все шаги (пожалуйста, обратите внимание, что некоторые шаги являются необязательными, но, пожалуйста, рассмотреть их все).

• Измените, все пароли и, если возможно, имена пользователей для панели управления доменами, mysql, FTP, joomla Super Admin, пароль администратора joomla; меняйте их часто. Пароли должны быть, по крайней мере, из 12 смешанных буквенно-цифровых символов и не содержать общие фразы или слова.
• Не используйте стандартный пользователь Admin. Отключить его.

• Замените все шаблоны и файлы с чистовиками

• Проверить и/или заменить все .pdf, изображения, фото файлы для дальнейшего применения

• Проверьте ваши серверные лог-файлы по IP на предмет вызова (запуска) подозрительных файлов или попыток выполнения POST-команд без использования форм.

• Используйте правильные права доступа к файлам и папкам. Они никогда не должны быть 777, лучше всего делать права доступа к файлам и папкам 644 и 755.

chmod и cron

Если у вас есть доступ к SSH (secure shell) через putty вы можете использовать chmod файлы и каталоги. Если вы не имеете доступа к командной оболочке, вы можете запускать команды из cron путем создания временных работ. Скопируйте и вставьте команду в cron. Запустите работу примерно через 2 минуты после сохранения. При использовании команды putty или работе в cron, использовать полный физический путь к public_html рекомендуемый для лучших результатов.

Для файлов, используйте:

find /home/xxxxxx/domains/xxxxxxx.com/public_html -type f -exec chmod 644 {} \;

для каталогов, используйте:

find /home/xxxxxx/domains/xxxxxxx.com/public_html -type d -exec chmod 755 {} \;

Чтобы проверить последние изменения файла за день в системе используйте эти команды из putty (SSH - secure shell) или через cron. Если команда запускается из cron job вы можете запланировать его на предмет измененных файлов несколько раз каждый день. Результаты будут отправлены на имя владельца счета и отображать время/дату для всех измененных файлов. При использовании команды putty или cron-задания, использовать полный физический путь к public_html рекомендуется для лучших результатов.

find /home/xxxxxx/domains/xxxxxxx.com/public_html -type f -ctime -1 -exec ls -ls {} \;

Пожалуйста, обратите внимание, файлы вашего сайта могут быть расположены в public_html, httpdocs, www, или на другом аналогичном месте, и ваш физический путь также может быть другим, нежели в примерах. Скорректируйте путь соответственно.

Разрешение 777

Если сервер требует права 777 чтобы Joomla работала корректно, то необходимо поставить Joomla на другой сервер, где можно использовать "php as CGI", или потребуйте обновить программное обеспечение (PHP и Apache) до современных или поищите другой хостинг.

Для директорий проекта, которые, казалось бы, требуют прав доступа 777 для запуска   или по умолчанию в вашей папке images/media запустите этот код  вместе с файлом .htaccess внутри открытой папки.

# Защитите файлы отключив скрипты
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Опции -ExecCGI

особенно в папке images

• Убедитесь, что находится в директории htaccess файла, который не будет запускать любые скрипты или удалять расширения файлов, по мере необходимости

Проверите вашего хостинг провайдера, чтобы убедиться, обеспечили ли они преднамеренно сервер вашего сайта, и что они или вы выполняете регулярные (еженедельные) обновления безопасности, чтобы усовершенствовать сервер. Ппроверьте что у вас есть jail shell. Общее правило - чем меньше вы платите, тем меньше о вас заботятся.

Безопасный путь для ликвидации последствий взлома

• Сохраните файлы configuration.php, изображения и личные файлы по одному, (не папку, так как они могут содержать нежелательные файлы)
• Почистите папку, куда устанавливали Joomla
• загрузите новую полную последнюю версию Joomla 1.5 (кроме папки установки)
• Выложите ваш файл конфигурации и образы, шаблоны (даже лучше использовать оригинальные чистые экземпляры, чтобы убедиться, что хакер/вредитель не оставил никаких скриптов или файлов на вашем сайте)
• Выложите или переустановите последние версии ваших расширений, шаблонов (еще лучше использовать оригинальные чистые копии, чтобы хакер /вредитель не оставил никаких файлов или скриптов на вашем сайте)

Чтобы это сделать сайт должен быть в автономном режиме в течение приблизительно 15 минут. Чтобы выследить вашего взломщика/ вредителя в HTML может занять несколько часов или даже дольше.

Локальная безопасность

• Не хранить имя пользователя / пароль в FTP-программе
• Используйте менеджер паролей, таких как бесплатный KeePass
• Проверяйте все машины с FTP, пользователей с правами доступа супер администратор и администратор на наличие вредоносных программ, вирусов, троянов, шпионских программ и т.п.

Некоторые из доступных программ:

• ENOD32 от eSet
• Spybot Search and destroy
• Malwarebytes
• Microsoft Malicious Software Removal Tool,
• CD-Диск загрузки Linux AntiVirus
• spyware blaster
• siteadvisor
• Рассмотрим Ultimate Boot CD для загрузки Windows, используемый для ремонта, восстановления или диагностики практически любой проблемы домашнего компьютера.

Другие вопросы

• Не используйте стандартный префикс jos_{имя_тиблицы} и по возможности избегайте инсталляции в один клик.
• Установите Security Newsfeed как основной модуль Joomla в административной панели управления. Настройте Security Newsfeed
• Добавьте модуль Admin Feed Display Module если он отсутствует. Установите его на первое место в вашей клиентской части ваших сайтов и административной панели.
• Попробуйте добавить список бот блока к файлу .htaccess
• По возможности ииспользуйте sFTP вместо FTP
• Ни в ком случае не устанавливайте и не используйте анонимного FTP пользователя.
• Используйте сервер на котором модуль mod_security установлен правильно.
• Проверяйте любые(каждые, все) добавленные поддомены и/или директории
• Проверяйте наличие каких-либо cgi скриптов
• Проверяйте крон на наличие каких-либо задач не установленных администратором домена
• Блокируйте любые IP-адреса, которые получили запрет на посещение вашего сайта, поскольку они могут принадлежать прокси-сайту.

 Ваш сайт был взломан в прошлом и  не была проведена надлежащая проверка действующих (и скрытых) средств
 взлома поэтому осталась  возможность для повторного "заражения" (взлома).

• Рассмотрите возможность удаления "Добро пожаловать на главную страницу", чтобы уменьшить атаки поисковой системы.
• Полностью удалите/деинсталлируйте, неиспользуемые или уязвимые расширения. Не опубликованные уязвимые расширения не будет защищать ваш сайт.

Вредоносный код или нечетные ссылки появляются на вашем сайте

Убедитесь, что исходный файл шаблона или не вставляет нежелательный код/вредный Javascript или что вы загрузили платный шаблон из не надежного источника, например, сайты обмена файлами.

Gumblar не использует какой-либо конкретный уязвимый скрипт. Этот скрипт вводится в каждой веб-странице (не подтверждено, если зараженные страницы редактировалось, затем сохранялись, то они также будут в базе данных) на сайте. Скрипт меняется каждый раз при его использовании. Это было видно, на PhpBB, форумах SMF и VBulletin, на блогах WordPress 2.7.1, на собственных сайтах PHP. Скрипт начинается с функции и не имеет имени и замены. Общая версия Gumblar ломает сайты из-за дефекта скрипта.

Фреймы

С недавних пор iframe вредоносный код вводит только в файлы с наиболее распространенными именами файлов (например, index.html, index.php, и т.д.).

Когда ваш хостинг-провайдер работает с PHP как модуль Apache, он выполняется в контексте пользователь / группы веб-сервера, который обычно "никто", "httpd" или "apache". В соответствии с этим (правом собственности) режимом, файлы или каталоги, которые требуют ваш PHP-скрипт, чтобы иметь возможность писать нужные разрешения 777 (чтение / запись / выполнение на пользователя / группы / мировой уровень), если право собственности на файлы и каталоги не владельца, а пользователя. Такой сценарий является абсолютно неприемлемым с точки зрения безопасности, «777» позволяет не только веб-серверу производить записи в файл, а также кому-либо еще чтение или записи в файл. Если ваш провайдер не в состоянии это изменить, надо подумать об изменении хостера!

Логи

Убедитесь, что в панели управления ваши логи доступа к журналам был включен в обзор!

Необработанные логи файлов доступа позволят вам видеть, кто имеет доступ к вашему сайту без использования графики, диаграммы и другие графических элементов. В cPanel, например, вы можете и использовать меню Raw Access Logs для загрузки архивных версий серверных лог-файлов доступа для вашего сайта. Это может быть очень полезно, когда вам нужно узнать, кто имеет быстрый доступ ваш сайт. Многие забывают, что для это должна быть активирована пользователем учетная запись и автоматически не активизировано после создания хостинг-аккаунта в cPanel например!