Que faire si mon site Web Joomla a été piraté?

J'ai un site Web Joomla 2.5. Hier, je n'ai pas pu me connecter au panneau administrateur. J'ai vérifié le tableau des utilisateurs. J'ai été choqué quand j'ai vu que tous les champs de nom d'utilisateur des utilisateurs étaient « admin » et que les mots de passe étaient « 268e27056a3e52cf3755d193cbeb0594 ». Je n'utilise généralement pas d'extensions tierces non connues / peu fiables.

Y a-t-il quelqu'un ici qui a rencontré le même problème? Si oui, pouvez-vous me dire quelle est la raison et quelle est la solution?

Ce que je vous recommande de faire tout de suite, c'est:

1. Créez une nouvelle installation de Joomla sur un sous-domaine ou un hôte local,
2. Créez un compte super utilisateur avec un mot de passe fort
3. Copiez le hachage de mot de passe de la #__userstable de votre compte nouvellement créé et remplacez l'ancien.

Je ne sais pas comment les hachages et les noms d'utilisateur ont été modifiés, mais cela peut être dû à plusieurs raisons. Assurez-vous toujours que vous exécutez la dernière version de Joomla et la dernière version des extensions. Il existe de nombreuses extensions qui rendent les sites vulnérables aux injections SQL. Je ne peux pas souligner combien il est important de garder les choses à jour.

Vous voudrez peut-être commencer à envisager de migrer vers Joomla 3.3 dès que possible, car cette version fournit l'une des méthodes de cryptage de mot de passe les plus sécurisées (bcrypt).

Et comme @Brian l'a mentionné, la mise à jour de votre mot de passe de base de données vers quelque chose de plus fort est fortement recommandée. Une autre bonne chose à prendre en considération est également de modifier les préfixes de votre table de base de données. Beaucoup de sites Joomla utilisent jos_que vous pouvez changer en quelque chose d'un peu plus unique en utilisant une extension telle que Admin Tools qui a été mentionnée dans l'autre réponse

Pour garder votre site Web toujours sécurisé, vous avez besoin d'une politique de sécurité stricte:

1. Mettre à jour Joomla vers la dernière version
2. Utilisez UNIQUEMENT des thèmes de développeurs bien connus (sans exception) ET mettez à jour vers la dernière version
3. Utilisez UNIQUEMENT des extensions de développeurs connus (sans exception) ET mettez à jour vers la dernière version
4. Implémenter une extension de sécurité pour Joomla Hardening (Akeeba Admin est un must et c'est gratuit)

Veuillez vérifier cette liste de contrôle de sécurité:

Liste de contrôle de sécurité / Vous avez été piraté ou effacé http://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Une route sûre pour les secours en cas de catastrophe

une. enregistrez le fichier configuration.php et vos images et fichiers personnels un par un, (pas le dossier car il peut contenir des fichiers indésirables) b. essuyez tout le dossier où Joomla! est installé c. télécharger un nouveau package complet propre dernière version de joomla 1.5.x ou Joomla 2.5.x, joomla 3.x (moins le dossier d'installation) d. téléchargez à nouveau votre fichier de configuration et vos images. e. téléchargez à nouveau ou réinstallez les dernières versions de vos extensions, modèles (encore mieux, utilisez des copies propres originales pour vous assurer que le pirate / défaceur n'a laissé aucun fichier de script shell sur votre site) f. Pour ce faire, votre site sera déconnecté pendant environ 15 minutes. Pour retrouver votre html piraté / altéré peut prendre des heures, voire plus.

Cela peut être très frustrant, parfois un site ne peut pas rester à jour pour diverses raisons, mais pour la meilleure aide, veuillez inclure la version complète, comme 2.5.9 ou quelque chose. Si vous avez déjà supprimé des extensions, une ancienne version de Joomla pourrait en être la raison.

Nous avons déjà vu quelque chose de similaire sur nos sites, était-ce sur un serveur partagé? Cela peut se produire même dans un site propre sur un serveur partagé, si un compte sur le serveur partagé est atteint, cela pourrait compromettre l'ensemble du serveur. Il n'y a pas grand chose à faire non plus, rien de ce que Joomla a peut empêcher un tel exploit et c'est la raison pour laquelle les hôtes partagés peuvent être problématiques. Bien que cela dépend de l'hôte, ceux comme Siteground ou Hostgator sont assez bons pour garder leur infrastructure intacte.

Je recommanderais donc de faire une analyse des logiciels malveillants pour voir ce qu'il détecte, très probablement s'ils frappent votre base de données comme ça, alors ils ont beaucoup de fichiers injectés. Il est préférable de restaurer à partir de la sauvegarde dans ce cas et de la mettre à jour, puis de rechercher les logiciels malveillants.

Consultez également les outils d'administration d'Akeeba, il contient des outils utiles pour sécuriser votre site.

Il semble que votre site Web ait été piraté.

Raisons pour un site Web piraté Joomla

Certaines des raisons pour lesquelles les pirates informatiques ont accès à votre site Web sont:

1. une extension tierce avec une vulnérabilité
2. une vulnérabilité Joomla
3. un autre compte avec une vulnérabilité sur le même serveur partagé
4. serveur / environnement d'hébergement mal configuré / entretenu
5. ordinateur local compromis qui contient des informations d'identification de site Web
6. mot de passe faible fissuré via des attaques par force brute

L'utilisation d'un nombre minimal d'extensions tierces bien prises en charge par des développeurs réputés est une bonne pratique, mais n'oubliez pas que vous devez tenir à jour Joomla et les extensions tierces afin que les vulnérabilités soient corrigées avant d'être exploitées par des pirates.

Solutions pour un site Web Joomla piraté

1. Restaurer à partir d'une sauvegarde propre. Mettez à jour Joomla et toutes les extensions tierces vers les dernières versions. C'est une bonne solution si vous savez exactement quand le site Web a été compromis, mais le moment est difficile à déterminer en toute confiance.

2. Essuyez le site Web et reconstruisez à partir de zéro en utilisant des versions à jour de Joomla et des extensions tierces. Ce n'est généralement pas une solution pratique en raison du travail impliqué mais peut fournir un degré élevé de confiance dans l'éradication de l'infection.

3. Nettoyez le site Web à l'aide de l' outil de sécurité commercial https://mysites.guru (anciennement myjoomla.com) ou similaire, en restaurant tous les fichiers de base modifiés sur les originaux, en supprimant les logiciels malveillants et en réinstallant les extensions tierces si nécessaire. Mettez à jour Joomla et toutes les extensions tierces vers les dernières versions.

Vous devez également mettre à jour Joomla, l'hébergement et les mots de passe de la base de données.

En pratique, l'option 3 fonctionne généralement bien pour moi.

Envisagez d'améliorer la sécurité du site Web conformément à la liste de contrôle de sécurité officielle et à "Comment sécuriser une nouvelle installation Joomla?"

Aujourd'hui, j'ai à nouveau rencontré le même problème. Ce n'est pas joomla ou ses extensions. C'est parce que j'ai mis CHMOD de tous les fichiers et répertoires à 775. Je l'ai fait juste pour mettre à jour joomla plus facilement.

Après avoir lu http://www.itoctopus.com/the-mass-username-password-update-hack-in-joomla , j'ai regardé les dates de changement des répertoires et enquêter sur ceux qui ont des valeurs différentes.

J'utilise WinSCP pour l'accès FTP. J'ai vu 5 fichiers .php avec une icône de raccourci que je ne peux pas ouvrir pour voir leur contenu.

1. Settings.php
2. e107_config.php
3. config.php
4. conf_global.php
5. wp-config.php

et également dans le répertoire comprend

1. config.php
2. configure.php

Je les ai supprimés et restauré les sites Web à partir d'une sauvegarde. Et je vous promets que je ne donnerai pas accès en écriture au groupe www-data sauf au répertoire images.