Авг
20

Безопасность Joomla

Author asvfedf    Category Без рубрики     Tags

hakedby.pngОдин из самых дырявых в плане безопасности движков – Joomla! В этом я убедился ещё в 2008 году, когда один из моих сайтов был заражён вирусами. Причём сайт был на Даннео, а зараза проникла с поддомена, на котором мой знакомый развернул сайт на Joomla, для своего агентства недвижимости. Хакеры использовали дырку в безопасности Джумлы, и через неё начали хакать все сайты на сервере хостера. Кстати, это одна из главных причин, почему я никогда не использовал Джумлу для своих проектов и для сайтов на заказ. Хотя разработчики и выпускают обновления безопасности, и с каждым новым релизом безопасность увеличивается, в любом стороннем компоненте или модуле может быть бомба замедленного действия.

На днях мне предложили небольшую работу по спасению сайта на Joomla 1.5 от хакеров. В моей практике это 2-я работа по защите сайта на старой версии Джумлы. Она, видимо, самая дырявая из всех. Хакеры действовали по стандартной схеме, использовали одну из уязвимостей компонентов, в данном случае это был компонент редактора com_jce. В папку images/stories заливают файл с расширением .jpg, который на самом деле замаскированный shell. В первую очередь я прошёлся по всем папкам движка и поудалял все файлы, которые залили хакеры. Но так как я не сразу вычислил, какой компонент они использовали, левые файлы появились вновь ещё в большем количестве. При первой проверке я не смог удалить замаскированный под рисунок shell скрипт. Дело в том что у хостера в панели управления нет встроенного файл браузера с правами root, а через обычное FTP соединение файл не удалялся.

Что бы вычистить всю заразу, пришлось закачать на хостинг скрипт файлового менеджера FileMan. Кстати, очень неплохой скрипт использующий фреймворк Yii. Правда, из за этого он довольно большой по весу – 11 с лишним метров. Но работу выполнил на отлично. Через него я смог удалить все, что мне нужно было. Плюс к этому я удалил компонент редактора и на всякий случай переименовал компонент поиска (он тоже дырявый и его могут использовать для взлома). Компонент редактора удалил физически, стерев все файлы, а не просто выключил в админке. После этого я ещё раз перепроверил все файлы движка на наличие посторонних, сравнивая с оригинальными файлами 1.5.25 версии. Папки, куда загружаются рисунки и файлы при работе с сайтом, проверил особенно тщательно.

Тот, кто взломал сайт, был явно не школьник. Судя по датам, с момента появления шелла до взлома сайта прошло не менее 2-х недель. Обычно хостер хранит бэкапы файлов не более 2-х недель. Расчёт был на то, что после взлома владелец сайта попытается восстановить его из бэкапа, а он уже будет с заразой. Недаром все рекомендуют относится к своим сайтам более внимательно и не надеяться на хостера. Нужно хотя бы раз в неделю делать бэкап базы и файлов самостоятельно и скачивать на свой комп. Есть варианты через крон сливать на Ядекс Диск или какое нибудь другое облачное хранилище данных.