GreekEnglish (United Kingdom)
Προστατέψτε το Joomla site σε 8+1 βήματα PDF Print E-mail
User Rating: / 0
PoorBest 

Σήμερα (16 Απρ 2013), είχαμε ένα κρούσμα hackαρισματος στην σελίδα ενός πελάτη μας που μετέφερε πρόσφατα την ιστοσελίδα του στην web-expert.gr

Η σελίδα του αποτελείται απο 2 joomla sites, σε subdirectory το ένα. Με την επίθεση το μόνο που καταφέραν ήταν να ανεβάσουν ενα html αρχείο και να πειράξουν το .htaccess.

Μόνο το ένα site χακαριστηκε...το 2ο που αναφέρω πιο κάτω

Τα site αυτά είχαν τις εξής εκδόσεις

  • Joomla 1.5.26 (και τα δύο)
  • Virtuemart 1.1.9 (το 1ο) Virtuemart 1.1.3 (το 2ο!!!)
  • JCE 1.5.7.2 (το 2ο!!! μόνο)
  • και πολλά άλλα μη αναβαθμισμένα αλλά κυρίως αχρησιμοποίητα.

...και ναι έγινε το αυτονόητο! Η σελίδα χακαριστηκε! Ωραία, δεν έγινε κανένα μεγάλο κακό, διότι οι server μας τρέχουν suphp και δεν επιτρέπουν να εξαπλωθεί ο χακερ σε άλλο hosting λογαριασμό. Κάναμε διαγραφή του πακέτου και επαναφορά του backup. Και όλα καλά .... αλλά εαν η σελίδα παραμείνει έτσι είναι πολύ πολύ πιθανό να την ξανά-πειράξουν! Οπότε ακολουθούμε την λίστα παρακάτω!

Φίλε webmaster/site owner, πως το να έχεις μια ιστοσελίδα είναι πλέον το πιο απλό και το πιο οικονομικό.
Θα πρέπει να καταλάβεις όμως πως εάν δεν την συντηρήσεις θα "χαλάσει". Το αυτοκίνητο, το κλιματιστικό και πολλά άλλα γιατί τα πας για service και πληρώνεις? Έτσι είναι και η ιστοσελίδα και μάλιστα μπορείς να την έχεις up to date (ενημερωμένη) εντελώς δωρεάν!

vuln tips1

Ξεκινάμε να αναφέρουμε τις πιο διαδεδομένες ενέργειες για να έχετε ένα πιο ασφαλή joomla site (1.5,2.5,3.0+)

 

Κατεβάζουμε το το AdminTools (τελευταία συμβατή έκδοση για Joomla 1.5 είναι η v2.2.10). Αυτο πραγματικά είναι ένα extension που σου λύνει τα χέρια.

1) Τα αρχεία του site θα πρέπει να έχουν συγκεκριμένα δικαιώματα. Λάθος δικαιώματα είναι σαν να ξεχνάμε το κλειδί στην πόρτα.

Αφου έχουμε εγκαταστήσει το AdminTools πατάμε στο Fix Permissions και τα διορθώνει αυτόματα.

Αρχεία θα πρέπει να έχουν 644, το configuration.php 444 και οι φάκελοι 755

2) Στις εκδόσεις Joomla 1.5 το πρόθεμα των πινάκων είναι πάντα το "jos_" καθώς και o πρώτος λογαριασμός του administrator έχει ID=62

  • AdminTools >> Purge Sessions . Καθαρίζει τον πίνακα ώστε να μην δημιουργηθεί κάποιο πρόβλημα κατα τις αλλαγές.
  • AdminTools >> Database table prefix editor
  • AdminTools >> Super Administrator ID. Τέλος έαν το username μας είναι "admin" καλό είναι να το αλλάξουμε!

3) Μπλοκάρουμε την ανάγνωση των xml αρχείων και αυτό γιατί περιέχει την έκδοση του extension.

Ανοίγουμε το htaccess.txt βρίσκουμε την γραμμή ## Deny access to extension xml files (uncomment out to activate) και αφαιρούμε απ'το block που ακολουθεί τα # (σχόλια)

<Files ~ "\.xml$">
Order allow,deny
Deny from all
Satisfy all
</Files>

και πατάμε "Αποθήκευση ως..." και ορίζουμε όνομα αρχείου .htaccess

4) Εγκαθιστούμε anti-spam plugin για να προστατέψουμε τις φόρμες και anti-SQL Injection plugin για μια βασική προστασία.

Η λύση του EasyCalcCheck PLUS είναι πολύ καλή και συνεργάζεται με πάρα πολλά components. Captcha,askimet, form encryption και πάρα πολλά άλλα!

Για SQL Injection υπάρχουν αρκετές λύσεις, ωστόσο φαίνεται να κάνει καλύτερη δουλειά το Marco's SQL Injection ( ενεργοποιήστε προσωρινά την αναφορά e-mail, το 500 Error και το IP Block)

5) Δεν ξεχνάμε ποτέ να ενημερώσουμε τον πυρήνα του Joomla CMS. Πώς θα ξέρετε κάθε πότε υπάρχει νέα διαθέσιμη έκδοση? Απλό.... με subscribe σε RSS κατευθείαν στο e-mail σας

6) Ενημερώνουμε τα extension που έχουμε εγκαταστήσει και κάνουμε απεγκατάσταση αυτά που ΔΕΝ χρησιμοποιούμε!

’Oτι κάποιο extension είναι ανενεργό δεν σημαίνει οτι δεν αποτελεί κίνδυνο για το Joomla Site μας. 'Εχουμε στο νού μας σε αυτήν εδώ την λίστα που αναφέρει τα extensions με τα κενά ασφαλείας

7) Κλείδωμα του /administrator φακέλου

Μπορείτε να κλειδώσετε τον φάκελου του administrator ( μπορεί να γίνει εύκολα με το Admin Tools) ή να προσθέσετε κάποιο plugin το οποίο θα επιτρέπει την είσοδο μόνο με κάποιο κρυφό password-key

 Δηλαδη .../administrator/?mysecretkey

8) BACKUP...και πάλι BACKUP! Κακά τα ψέματα, ενας ταλαντούχος hacker μπορεί να μπει σχεδόν παντού, ακούμε συχνά για επιθέσεις σε Nasa κτλ...

H Web-expert.gr λαμβάνει 3 backups ( ημερήσιο, εβδομαδιαίο, μηνιαίο). Εάν δεν σας καλύπτει το backup του πάροχου σας η λύση είναι AkeebaBackup και θα έχετε κάθε μέρα το δικό σας αντίγραφο.

Για 1.5 η τελευταία έκδοση είναι 3.3.5.

8+1) Τελευταίο και... χειρότερο .... αναβαθμίστε το Joomla Site σας σε 2.5+ με PHP 5.3+

Κακά τα ψέματα, το 1.5 το λατρέψαμε, δημιουργήσαμε, το "ξεκοκαλήσαμε" ... αλλά πρέπει να προχωρήσουμε σε νεότερες πιο ασφαλές και γρήγορες εκδόσεις. Migration Wizard εδώ

Χρονοβόρα διαδικασία και ειδικά εάν έχεις Joomfish.

Περισσότερα στο topic εδώ

 

Προτάσεις / Ιδέες απορίες δεκτές στο "Επικοινωνία" / Σχόλια κάτω

19/4/2013: ενημερώθηκε το 2) και το 5)

Στέργιος Ζγουλέτας

web-expert.gr

Write a comment...
awesome comments!
 

Please fill in the following form to contact us for SALE only questions!


* Are you human?