6

我的 Joomla 2.5.4 网站昨晚被破解了。此外,Joomla 论坛目前已关闭,我什至无法运行 Joomla 的诊断实用程序。(fpa-en.php)

我已按照 Joomla 的指示进行诊断,但没有成功。(见下文)我还通过电子邮件发送了我的虚拟主机(我在共享服务器上,但我使用 Joomla 推荐的主机,它是 Joomla 网站的专家)。所以,我的问题是我接下来要做什么?

这是我到目前为止的信息。

使用 Joomla 2.54(最新)。所有扩展都更新到最新版本,并且没有一个在 Joomla 易受攻击的扩展列表中。

其他管理员的密码已更改,但幸运的是我没有更改。

User_notes 表被删除,这使得管理部分的用户管理器无用。

根据日志,攻击按此顺序命中以下文件:

  1. /管理员/index.php
  2. /index.php(根)
  3. /plugins/authentication/joomla/joomla.php
  4. /plugins/user/joomla/joomla.php

然后是对 users 和 user_notes 表的更改。

index.php 中都没有垃圾

攻击 ip 为 199.15.234.216,来自 Supremetelecom.com 的 Fort Worth 服务器

幸运的是,我有备份并且没有损坏,但是在我无法让 fpa-en.php 工作并访问 Joomla 论坛之前,除了更改所有密码并阻止 ip 之外,我不确定要做什么。

提前感谢您的帮助!

4

4 回答 4

12

首先,重置所有管理员的密码,包括您的密码,然后更改它们并确保它们包含字母和数字。然后使用密码生成器更改主机控制面板的密码(如果他们提供的话)。如果没有,请在线使用密码生成器。完成此操作后,更改数据库用户名的密码,不要忘记使用新密码更新 configuration.php。

其次,下载并安装管理工具,这将为您的网站增加更多的安全性,以备将来使用。管理工具还带有一个非常有用的紧急离线按钮。

然后下载并安装Saxum IP Logger,它将跟踪所有注册用户,为您提供他们的 IP 地址、国家等,您还可以使用随附的插件阻止 IP 地址。

接下来,转到主机控制面板并查看日志以查看哪些 IP 地址进入了您的网站以及他们访问了哪些文件。对应于编辑文件的 IP 地址,然后您可以使用我之前提到的插件进行阻止。Joomla 2.5 很难破解,因此您很可能有一个开发不善并允许 SQL 注入的扩展。因此,当它们与数据库相关时,您应该始终选择在您的网站上安装的流行扩展。

希望这对您将来有所帮助。问候

编辑:您还可以使用密码保护 FTP 中的文件夹以提高安全性。

您可能还会发现此扩展非常有用

于 2012-06-14T16:42:32.307 回答
1

从此恢复后,请确保使用 .htaccess 在 /administrator 目录中放置密码,假设这是基于 Linux 的服务器。

于 2012-10-02T15:20:08.447 回答
0

几个步骤将帮助您识别访问点。还取决于您是否可以访问某些服务器端工具。

  1. 联系主机并询问他们是否运行 Mod_Sec,如果是,请询问他们该 IP 的 Mod_sec 标志。
  2. 询问主机是否运行任何类型的恶意工具 - 如果是,请扫描您的帐户。
  3. 如果您有 shell 访问权限,请检查最近的文件更改是什么……来自 tmp 和缓存文件。

修复黑客 1. 更改所有密码 - 2.安装项目蜜罐。 3. 管理工具安装很好,但您需要专业版才能真正访问安全工具。4. 迁移到专门研究 Joomla 平台的主机,在大多数情况下,他们已经为 Joomla 中的常见安全问题配置了帐户。

被黑真的很糟糕......祝你好运!

于 2014-12-24T05:11:51.833 回答
-2

通过编辑 config.php 文件重新定位您的管理员页面.. 并编辑您的 FTP 权限设置。如果您的管理登录 url 是标准位置。(www.site.com/administrator)更改此位置并使用您的主机控制面板阻止访问,使其仅限于某些 IP 地址(甚至按可用时间限制访问。您有多少管理员用户帐户。真的应该只有一个具有超级用户访问权限的人。让其他用户以管理员权限对网站进行少量编辑,这确实是不高效或安全的;他们可能会意外导致问题。这些是基本步骤,您可以做的还有很多。发送如果您需要帮助/分步说明,请发送电子邮件。希望一切顺利。

于 2012-06-14T17:34:09.370 回答