PDA

Zobacz pełną wersję : Jaki polecacie platny komponent do ochrony Joomla



PawelJacekZ
01-02-2016, 20:42
Witam
Jestem po ataku na moją stronę www.cafeamigo.pl .
Nie wiem czy poradzę sobie z odzyskaniem mojej pracy ale ...
Teraz już wiem że muszę chronić swoje prace ...
Jaki komponent płatny zainstalować aby zminimalizować ryzyko włamania ?
Co polecacie ...
Bardzo proszę radę i pomoc ...

Pozdrawiam
Paweł Z.

zbig1972
01-02-2016, 23:07
Ja używam do wszystkich moich stron RSFirewall.
Blokuję wgrywanie i kopiowanie plików na FTP.
Otwieram sporadycznie, tylko kiedy muszę coś dograć.
Aktualizuję 1 raz w tygodniu Blacklist IPs w .htaccessie.

GOGOKOM
02-02-2016, 12:58
@zbig1972 ujawnisz więcej szczegółów:
- blokowanie ftp tzn. usuwasz konto ftp na serwerze
- Blacklist IPs skąd ją pobierasz

Proponuję:
- bardzo silne hasło na katalog administratora
- dobry antywirus na kompie używanym do administracji www
- do przesyłania plików używać narzędzi serwera

zbig1972
02-02-2016, 16:55
Blokowanie FTP-a mozliwe jest tylko dla adminów na poziomie panelu dostępu do domeny.
Jeśli masz dostęp do własnego panelu do konfiguracji FTP, DNS i domeny to masz szansę na ustawienie sobie blokady dostępu do FTP-a oraz do kopiowania plików na FTP i z FTP-a.
Trzeba mieć uprawnienia administratora u hostingodawcy. Dla większości kont mało realna opcja.

Blacklist IPS biorę z https://myip.ms/browse/blacklist/Blacklist_IP_Blacklist_IP_Addresses_Live_Database_ Real-time
Do głównego katalogu dodj sobie plikzbacklistips.php

<?php
/************************************** * Myip.ms, Copyright (c) 2013 * * FreePHP Script – This Script Automatically Downloads the * Latest Blacklist IP List to your website and saves blacklist * ip in your file .htaccess. This will block all spam bots, * prohibits spam bots from accessing your site. * You can setup this script as cron job (every hour)
* If you use NGINX - please use function nginx_htaccess() from * the file phpscript_nginx.php at the top of each of your php files. * By default NGINX ignore .htaccess data, but this procedure manually * compares to determine if user IP in .htaccess blacklisted and * if yes - blocks it from accessing your website pages * * More info: http://myip.ms/browse/blacklist/ * /**************************************/
error_reporting(E_ALL);
// Latest Blacklist IP file$file = "http://myip.ms/files/blacklist/htaccess/latest_blacklist.txt";
// Latest Blacklist User Submitted IP // Optional, delete this variable $file2 if you don't need it$file2 = "http://myip.ms/files/blacklist/htaccess/latest_blacklist_users_submitted.txt";
// .htaccess apache file$file3 = rtrim($_SERVER['DOCUMENT_ROOT'], "/ ")."/.htaccess";
// Separator$line = "## BLACKLIST IP AUTO ADDED ##";
$data = @file_get_contents($file);if ($data === false || !$data) die ("<font color='red'><b>Error!</b></font> No access to file: $file");
$htaccess = @file_get_contents($file3);if ($htaccess === false) die ("<font color='red'><b>Error!</b></font> No access to file: $file3 in your website root directory. Please create this file or change file permissions if it exists");
$htaccess = trim($htaccess);if (stripos($htaccess, $line) !== false) $htaccess = trim(substr($htaccess, 0, stripos($htaccess, $line)));if (stripos($data, "# Copyright")) $data = substr($data, 0, strripos($data, "# Copyright")) . substr($data, strripos($data, "##############")+16);$htaccess .= "\n\n\n" . $line . "\n\n" . $data;
if (isset($file2) && $file2){ $data2 = @file_get_contents($file2); if ($data2 === false || !$data2) die ("<font color='red'><b>Error!</b></font> No access to file: $file2"); $data2 = substr($data2, strripos($data2, "##############")); $htaccess .= "\n\n" . $data2;}
$htaccess = trim($htaccess) . "\n\n";

$res = file_put_contents($file3, $htaccess);
if ($res === false) die ("<font color='red'><b>Error!</b></font> Cannot write blacklist ip to file: $file3 in your website root directory. Please change file permissions to 0777 (command: chmod 0777 $file3)");else die ("<font color='green'><b>File .htaccess successfully updated with new Myip.ms Blacklist IPs.</b></font><br>Date: " . date("r"));
?>

i wywołaj go raz na jakiś czas, powiedzmy raz w tygodniu: http://twojastrona.pl/plikzblacklistips.php
Ten skryp wzbogaci twój .htaccess o wszystkie IP stanowiące w danym miesiącu zagrożenie na świecie.
Zamiast robić to ręcznie możesz dodać zadanie do CRONA w Panelu o ile możesz to zrobić i CRONA ustawić, żeby wykonywał skrypt za ciebie.

GOGOKOM
02-02-2016, 17:01
Dziękuję za opis.
Pochwal się gdzie masz hosting.

PawelJacekZ
03-02-2016, 11:33
A czym i jak zrobić audyt plików Joomla ?
Jak ustawić w Akeeba Admin Tols w ochronie mojej strony ...

trzepiz
03-02-2016, 12:52
Z tego co widzę, Twoja strona nadal jest zainfekowana.
Sugerowane rozwiązanie problemu - usługa audytu (skanowanie wszystkich plików i bazy danych) oraz ewentualne czyszczenie strony po ataku.

asfixcom
28-02-2016, 11:53
Polecam securitycheck pro, nie jest drogi, razem z pluginem update baz około 200zł/rok nielimitowana ilość domen.

rado85
13-03-2016, 07:20
To w ogóle stało się męczące. Ja mam problem od jakiś 3-4 miesięcy. To musi być jakaś poważna luka w którejś z ostatnich joomla i z kolejnymi aktualizacjami nie jest wcale lepiej. Strony mam hakowane. Na początku były to skrypty spamujące. Poradziłem sobie z tym. Teraz już na innych domenach na różnych serwerach mam wrzucane skrypty, które utrudniają działanie witryny (albo mam blokowany index.php albo wrzucony skrypt require once wywołujący jakaś inną stronę przy pierwszym wejściu). Myślę, że dosyć dobrze zacząłem zabezpieczać witryny. Więc musi to być luka w samej joomla, albo w którymś z komponentów, modułów, pluginów.

Pisze często w tych sprawach z serwisem home.pl i sami stwierdzają że z joomla sa największe problemy, zdecydowanie lepiej jest z wordpress a z drupalem prawie w ogóle nie ma.

Także jak mam kilkadziesiąt stron w joomla i z każdą się zaczną problemy to ja dziękuję. Nie chodzi przecież o to, żeby płacić co chwile za audyt. Bo sam tak zrobiłem, wszystko poczyściłem, spamy przestały się wysyłać, hasła wszyściutkie zmieniłem to zaczęło się później coś innego i to na różnych serwach i na różnych domenach. Bo rozumiem, że raz na jakiś czas się coś stanie, to można pomyśleć o jakimś audycie, poprawie bezpieczeństwa itp. ale nie co chwilę. Ja mam ESET antywirus i jak przywracam na localu kopię z serwera to zawsze kilka zainfekowanych plików wyrzuci. A wiadomo, że te antywirusy nie wykryją wszystkiego.

Także Joomla niech coś wymyśli, bo zacznie się masowa przesiadka na wordpressa. A widzę że nie jestem odosobnionym przypadkiem tylko problem jest spory. Proponuję napisanie przez jakiegoś specjalistę artykułu na joomla.pl co robić żeby stronę zabezpieczyć. i dobrze jakby to nie był artykuł sponsorowany reklamujący własne usługi czy rozszerzenia.
A znalazłem jakieś info o blokowaniu spamujacych ip w htaccess, czy samoaktualizujących się listach spamujacych ip. Tylko jak to zrobić? A moze już coś takiego jest? Bo co chwilę widzę jakieś porady.

Od siebie dodam taki sposób. Wrzuciłem stronę na netbeansa (może być coś innego jak eclipse) i wyszukałem w plikach wyrażenia eval. no i pliki z takimi podejrzanymi stringami należy wyrzucić :) oczywiście bardzo dużo z eval jest ok, tzreba to z głową robić. Ale i tak skońcyzło się na tym, że wrzuciłem czystą joomla z zachownaą bazą danych i przywracałem co się dało.

p.s. Jak czytać logi? na co zwwracać uwagę? wszystkie takie informacje byłyby cenne.

Gall Anonim
13-03-2016, 10:36
zdecydowanie lepiej jest z wordpress a z drupalem prawie w ogóle nie ma.
No to proponuję poczytać na grupie WP na FB - czy nie ma, czy jest :D Aż wrze w tyglu.
Informacje o które pytasz w przypadku niektórych osób nie zostaną ci podane bo po prostu na tym robią kasę.
W przypadku innych osób nie zostaną ci podane bo trzeba by napisać elaborat.
Najwyraźniej "tłucze" ci witryna po witrynie - czyli zaraża jedna drugą.
Zasada jest taka że należy zablokować na jednym hostingu wszystkie katalogi z witrynami jednocześnie i leczyć każdą po kolei - lokalnie - wyłączoną - są skrypty które replikuję się w sekwencjach 30 minutowych (chociaż może to być całkiem inna dyferencja czasowa lub wręcz losowa - tak również się zdarza) - przy włączonej/aktywnej witrynie po prostu zanim wyleczysz znowu posieje kolejne pliki .
Zasada jest taka że należy separować katalogi w których są witryny - co jest bodajże na home.pl możliwe - jedna nieseparowana witryna może być źródłem wszystkich pozostałych - separowanych.
Zasada jest taka że - że sprawdzenie aby osiągnąć 99% wymaga użycia szeregu różnych skryptów i metod o których można by napisać pracę doktorską - na co nie mam czasu - więc najlepszą dla Ciebie metodą byłoby stworzenie repliki i przepięcia bazy danych (ostatnie taki opierają się raczej na plikach witryny niż bazach danych) oraz katalogów z obrazami które najpierw trzeba dokładnie sprawdzić (w katalogu images nie mają prawa znajdować się jakiekolwiek pliki php, jak również musisz przeskanować obrazy pod kontem ich autentyczności - tutaj znajdziesz skrypty w sieci), ewentualnie możesz rzeczywiście komuś to zlecić ale musisz słuchać jego zaleceń co do kwestii związanych z serwerem i wszystko musi być do bólu aktualne - i jak świętość - kopie zapasowe. Natomiast jeżeli masz czyste kopie zapasowe to - j.w. zablokowanie wszystkich katalogów (nie wyłączenie witryn bo to zasadnicza różnica ) - i naprawa po jednej - separacja - usunięcie zawartości - odtworzenie z kopii - maksymalna aktualizacja - zabezpieczenie jakimś firewall'em - osobiście polecam tutaj Admintools'a i RS Firewll'a - pierwszy robi mapę plików php oraz ich sum kontrolnych, drugi zawiera niezłe wzorce "syfu" i je wyszukuje ale też nie wszystko - no i jedna rzecz - połączenia ftp tylko ze wskazanego IP (ograniczyć do jednego). No i jeszcze jedna sprawa - asymetria struktury katalogów docelowych parkowania domen - niektóre skrypty na potrzeby ataków wykorzystują "symetrię" struktury podstawowej katalogów.
Qrcze - odrobinkę napisałem ale to nawet nie wstęp - chociaż może pomoże metoda z kopiami zapasowymi.
Pzdr
P.S. Korzenie problemu sięgają marca zeszłego roku - odnosi się to tak samo do Joomla, Drupala ale i Wordpress'a - więc sugeruję aktualizować wcześniejsze kopie - najlepiej lokalnie i dopiero naprawione przenosić do odpowiednio przygotowanych katalogów.

rado85
14-03-2016, 05:37
@Gall Anonim - dzięki za odpowiedź

Z tym, że jest lepiej z wordpress i drupalem to info od pomocy technicznej home. Napisali mi, ze mają po prostu dużo mniej zgłoszeń od osób które używają tych cms.



Zasada jest taka że należy separować katalogi w których są witryny - co jest bodajże na home.pl możliwe - jedna nieseparowana witryna może być źródłem wszystkich pozostałych - separowanych.

Proszę jaśniej. Mam w public_html foldery sze stronami - dla kazej domeny osobno - przypisane bez separacji serwisu. Jak mozna inaczej? na niektórych serwerach widziałem, ze gdy przypiszę domenę do serwera to tworzy się tam katalog public_html_nazwa_domeny - ale to chyba podobnie? zresztą problem i tak jest na różnych stronach na róznych serwerach więc to nie samo zarażanie jednej witryny o inną.


Admintools i RS Firewll i firewall to trzeba używać razem? Nie ma czgeos 2 w 1? np. ten securitycheck pro ? Czy jak to się zainstaluje to samo oczyści stronę ?

Ja właśnie jedną stronę która miała skrypty spamujace oczyśicłem tak, że w sumie zainstalowałem nową joomle na istniejącej bazie danych. Był spokój kilka tygodni a później wpadł jakis skrypt wywołujący przy pierwszym wejściu jakaś rosyjską wyszukiwarkę. `Także to chyba tutaj jest problem jakiś z samą joomla.

z tym FTP do jednego IP to problem. Sam mam internet w play a tam tylko dynamiczne ip.

Nie wstawiłeś linka do skryptów sprawdzających obrazki.

headge
14-03-2016, 08:30
Przede wszystkim musisz zbadać gdzie jest problem więc jeśli sam nie potrafisz to zleć specjalistom, bo się będziesz tak bawić w nieskończoność. Możesz też sprawdzić usługi typu incapsula.
Home ma problemy (niekoniecznie związane z bezpieczeństwem) z Joomla! odkąd pamiętam, kwestia oprogramowania serwera, więc admini wolą pewnie zapobiegawczo zniechęcać swoich użytkowników do tego cms-a ;)

Gall Anonim
14-03-2016, 09:07
Także to chyba tutaj jest problem jakiś z samą joomla.
Nie bardzo teraz mam czas ale: Wyjaśnij mi wobec tego czemu ty masz problem a ja nie?
Pzdr
Sorki -wracam w tej chwili do zarabiania pieniędzy a co do home.pl - odkąd się rozrosło to w piórka urosło - od czasów 1.5.x mieli fochy w nosie i traktowali często gęsto to forum jak swoją pomoc techniczną - w pewnym momencie tak namieszali że został stworzony oddzielny pakiet instalacyjny dla home.pl, umieszczony na legendarnym chomiku i pobrany ponad 30 000 razy.
Co do skryptów - proszę spraw mi przyjemność i poszukaj samemu - jak pisałem - są dostępne w sieci - odrobina inicjatywy i tak dostałeś szereg wskazówek które z założenia omijasz a nie omijają roboty - jednolita systematyka / struktura katalogów jest przekleństwem - bo booty wiedzą gdzie szukać - przykład - dam ci klucz do samochodu ale zamek umieszczę w górnej części przestrzeni nad korkiem paliwa zamkniętym klapką - jak szybko otworzysz ten samochód nie wybijając szyb? A jak będzie w drzwiach to po sprawie - otwarte z marszu.
Na szybko jeszcze jedna kwestia - skoro masz ataki na wielu serwerach - może warto zerknąć na twojego kompa? Jaki klient ftp? Może masz kwiatki u swoim własnym komputerze. No i rzecz ostatnia - mam również dynamiczne IP - ale wolę przypisywać każdorazowo ip do hostu niż kląć na czym świat stoi bo mi się na witrynę włamali i zamiast iść na jakieś fajne spotkanie muszę siedzieć i dłubać a do tego jeszcze klient mi głowę urywa - propozycje dostałeś - nie daję gwarancji że wszystkie są trafne i niezbędne - decyzja należy do ciebie - ja muszę już faktycznie kończyć.
Pzdr

Hansolo
27-11-2016, 00:59
(@rado85 mam podobnie choc mam włamy "tylko" na 3 stronach,)

myślę nad zakupem RSFirewalla (https://www.rsjoomla.com/joomla-extensions/joomla-security/subscriptions.html) za 99eur, mam pytanie czy RSFirewall poza wykryciem plików zarażonych (np. jakimś dopisanym kodem w plikach php) automatycznie go usunie (tzn. ten kod, wpis) czy tylko go wskaże?

Pawelo31
27-11-2016, 20:59
Tylko wskaże. Niektóre zaszyfrowane skrypty php dodają się do plików Joomla także trzeba podejrzeć co tam jest i usunąć czy to kod czy to cały plik

Hansolo
28-11-2016, 14:39
no wlasnie,
a np. Centrora Security ma chyba taka opcje czyszczenia:



Free Malware Removal Service for annual subscribers until the website is 100% clean.
Clean or quarantine infected files within the scan report without accessing FTP.


chyba ze to nieskuteczne i tak trzeba ręcznie? ktoś wie jak to jest?

wiec zastanawiam sie miedzy Centrora Security a RSFirewall,

headge
28-11-2016, 16:12
Tu masz cały proces:
http://www.centrora.com/centrora-security-tutorial/virus-scanner-3/

Centrora to bardzo dobry pakiet aczkolwiek ma tendencję do fałszywych alarmów więc własnoręczne sprawdzenie "zainfekowanych" plików jest jak najbardziej wskazane.