Jaki polecacie platny komponent do ochrony Joomla

[PawelJacekZ]

Witam
Jestem po ataku na moją stronę www.cafeamigo.pl .
Nie wiem czy poradzę sobie z odzyskaniem mojej pracy ale ...
Teraz już wiem że muszę chronić swoje prace ...
Jaki komponent płatny zainstalować aby zminimalizować ryzyko włamania ?
Co polecacie ...
Bardzo proszę radę i pomoc ...

Pozdrawiam
Paweł Z.

[zbig1972]

Ja używam do wszystkich moich stron RSFirewall.
Blokuję wgrywanie i kopiowanie plików na FTP.
Otwieram sporadycznie, tylko kiedy muszę coś dograć.
Aktualizuję 1 raz w tygodniu Blacklist IPs w .htaccessie.

[GOGOKOM]

@zbig1972 ujawnisz więcej szczegółów:
- blokowanie ftp tzn. usuwasz konto ftp na serwerze
- Blacklist IPs skąd ją pobierasz

Proponuję:
- bardzo silne hasło na katalog administratora
- dobry antywirus na kompie używanym do administracji www
- do przesyłania plików używać narzędzi serwera

[zbig1972]

Blokowanie FTP-a mozliwe jest tylko dla adminów na poziomie panelu dostępu do domeny.
Jeśli masz dostęp do własnego panelu do konfiguracji FTP, DNS i domeny to masz szansę na ustawienie sobie blokady dostępu do FTP-a oraz do kopiowania plików na FTP i z FTP-a.
Trzeba mieć uprawnienia administratora u hostingodawcy. Dla większości kont mało realna opcja.

Blacklist IPS biorę z https://myip.ms/browse/blacklist/Bla...base_Real-time
Do głównego katalogu dodj sobie plikzbacklistips.php

Kod PHP:

<?php
/************************************** *  Myip.ms, Copyright (c) 2013 *     *  FreePHP Script – This Script Automatically Downloads the  *  Latest Blacklist IP List to your website and saves blacklist  *  ip in your file .htaccess. This will block all spam bots,  *  prohibits spam bots from accessing your site.  *  You can setup this script as cron job (every hour)
 *  If you use NGINX - please use function nginx_htaccess() from  *  the file phpscript_nginx.php at the top of each of your php files.  *  By default NGINX ignore .htaccess data, but this procedure manually  *  compares to determine if user IP in .htaccess blacklisted and  *  if yes -  blocks it from accessing your website pages *   *  More info: http://myip.ms/browse/blacklist/ * /**************************************/
error_reporting(E_ALL);
// Latest Blacklist IP file$file     = "http://myip.ms/files/blacklist/htaccess/latest_blacklist.txt";
// Latest Blacklist User Submitted IP // Optional, delete this variable $file2 if you don't need it$file2     = "http://myip.ms/files/blacklist/htaccess/latest_blacklist_users_submitted.txt";
// .htaccess apache file$file3 = rtrim($_SERVER['DOCUMENT_ROOT'], "/ ")."/.htaccess";
// Separator$line     = "## BLACKLIST IP AUTO ADDED ##";
$data = @file_get_contents($file);if ($data === false || !$data) die ("<font color='red'><b>Error!</b></font> No access to file: $file");
$htaccess = @file_get_contents($file3);if ($htaccess === false) die ("<font color='red'><b>Error!</b></font> No access to file: $file3 in your website root directory. Please create this file or change file permissions if it exists");
$htaccess = trim($htaccess);if (stripos($htaccess, $line) !== false) $htaccess = trim(substr($htaccess, 0, stripos($htaccess, $line)));if (stripos($data, "# Copyright")) $data = substr($data, 0, strripos($data, "# Copyright")) . substr($data, strripos($data, "##############")+16);$htaccess .= "\n\n\n" . $line . "\n\n" . $data;  
if (isset($file2) && $file2){    $data2 = @file_get_contents($file2);    if ($data2 === false || !$data2) die ("<font color='red'><b>Error!</b></font> No access to file: $file2");        $data2 = substr($data2, strripos($data2, "##############"));    $htaccess .= "\n\n" . $data2;}
$htaccess = trim($htaccess) . "\n\n";

$res = file_put_contents($file3, $htaccess);
if ($res === false) die ("<font color='red'><b>Error!</b></font> Cannot write blacklist ip to file: $file3 in your website root directory. Please change file permissions to 0777 (command: chmod 0777 $file3)");else die ("<font color='green'><b>File .htaccess successfully updated with new Myip.ms Blacklist IPs.</b></font><br>Date: " . date("r"));
?>

i wywołaj go raz na jakiś czas, powiedzmy raz w tygodniu: http://twojastrona.pl/plikzblacklistips.php
Ten skryp wzbogaci twój .htaccess o wszystkie IP stanowiące w danym miesiącu zagrożenie na świecie.
Zamiast robić to ręcznie możesz dodać zadanie do CRONA w Panelu o ile możesz to zrobić i CRONA ustawić, żeby wykonywał skrypt za ciebie.

[GOGOKOM]

Dziękuję za opis.
Pochwal się gdzie masz hosting.

[PawelJacekZ]

A czym i jak zrobić audyt plików Joomla ?
Jak ustawić w Akeeba Admin Tols w ochronie mojej strony ...

[trzepiz]

Z tego co widzę, Twoja strona nadal jest zainfekowana.
Sugerowane rozwiązanie problemu - usługa audytu (skanowanie wszystkich plików i bazy danych) oraz ewentualne czyszczenie strony po ataku.

[asfixcom]

Polecam securitycheck pro, nie jest drogi, razem z pluginem update baz około 200zł/rok nielimitowana ilość domen.

[rado85]

To w ogóle stało się męczące. Ja mam problem od jakiś 3-4 miesięcy. To musi być jakaś poważna luka w którejś z ostatnich joomla i z kolejnymi aktualizacjami nie jest wcale lepiej. Strony mam hakowane. Na początku były to skrypty spamujące. Poradziłem sobie z tym. Teraz już na innych domenach na różnych serwerach mam wrzucane skrypty, które utrudniają działanie witryny (albo mam blokowany index.php albo wrzucony skrypt require once wywołujący jakaś inną stronę przy pierwszym wejściu). Myślę, że dosyć dobrze zacząłem zabezpieczać witryny. Więc musi to być luka w samej joomla, albo w którymś z komponentów, modułów, pluginów.

Pisze często w tych sprawach z serwisem home.pl i sami stwierdzają że z joomla sa największe problemy, zdecydowanie lepiej jest z wordpress a z drupalem prawie w ogóle nie ma.

Także jak mam kilkadziesiąt stron w joomla i z każdą się zaczną problemy to ja dziękuję. Nie chodzi przecież o to, żeby płacić co chwile za audyt. Bo sam tak zrobiłem, wszystko poczyściłem, spamy przestały się wysyłać, hasła wszyściutkie zmieniłem to zaczęło się później coś innego i to na różnych serwach i na różnych domenach. Bo rozumiem, że raz na jakiś czas się coś stanie, to można pomyśleć o jakimś audycie, poprawie bezpieczeństwa itp. ale nie co chwilę. Ja mam ESET antywirus i jak przywracam na localu kopię z serwera to zawsze kilka zainfekowanych plików wyrzuci. A wiadomo, że te antywirusy nie wykryją wszystkiego.

Także Joomla niech coś wymyśli, bo zacznie się masowa przesiadka na wordpressa. A widzę że nie jestem odosobnionym przypadkiem tylko problem jest spory. Proponuję napisanie przez jakiegoś specjalistę artykułu na joomla.pl co robić żeby stronę zabezpieczyć. i dobrze jakby to nie był artykuł sponsorowany reklamujący własne usługi czy rozszerzenia.
A znalazłem jakieś info o blokowaniu spamujacych ip w htaccess, czy samoaktualizujących się listach spamujacych ip. Tylko jak to zrobić? A moze już coś takiego jest? Bo co chwilę widzę jakieś porady.

Od siebie dodam taki sposób. Wrzuciłem stronę na netbeansa (może być coś innego jak eclipse) i wyszukałem w plikach wyrażenia eval. no i pliki z takimi podejrzanymi stringami należy wyrzucić oczywiście bardzo dużo z eval jest ok, tzreba to z głową robić. Ale i tak skońcyzło się na tym, że wrzuciłem czystą joomla z zachownaą bazą danych i przywracałem co się dało.

p.s. Jak czytać logi? na co zwwracać uwagę? wszystkie takie informacje byłyby cenne.

[Gall Anonim]

zdecydowanie lepiej jest z wordpress a z drupalem prawie w ogóle nie ma.

No to proponuję poczytać na grupie WP na FB - czy nie ma, czy jest Aż wrze w tyglu.
Informacje o które pytasz w przypadku niektórych osób nie zostaną ci podane bo po prostu na tym robią kasę.
W przypadku innych osób nie zostaną ci podane bo trzeba by napisać elaborat.
Najwyraźniej "tłucze" ci witryna po witrynie - czyli zaraża jedna drugą.
Zasada jest taka że należy zablokować na jednym hostingu wszystkie katalogi z witrynami jednocześnie i leczyć każdą po kolei - lokalnie - wyłączoną - są skrypty które replikuję się w sekwencjach 30 minutowych (chociaż może to być całkiem inna dyferencja czasowa lub wręcz losowa - tak również się zdarza) - przy włączonej/aktywnej witrynie po prostu zanim wyleczysz znowu posieje kolejne pliki .
Zasada jest taka że należy separować katalogi w których są witryny - co jest bodajże na home.pl możliwe - jedna nieseparowana witryna może być źródłem wszystkich pozostałych - separowanych.
Zasada jest taka że - że sprawdzenie aby osiągnąć 99% wymaga użycia szeregu różnych skryptów i metod o których można by napisać pracę doktorską - na co nie mam czasu - więc najlepszą dla Ciebie metodą byłoby stworzenie repliki i przepięcia bazy danych (ostatnie taki opierają się raczej na plikach witryny niż bazach danych) oraz katalogów z obrazami które najpierw trzeba dokładnie sprawdzić (w katalogu images nie mają prawa znajdować się jakiekolwiek pliki php, jak również musisz przeskanować obrazy pod kontem ich autentyczności - tutaj znajdziesz skrypty w sieci), ewentualnie możesz rzeczywiście komuś to zlecić ale musisz słuchać jego zaleceń co do kwestii związanych z serwerem i wszystko musi być do bólu aktualne - i jak świętość - kopie zapasowe. Natomiast jeżeli masz czyste kopie zapasowe to - j.w. zablokowanie wszystkich katalogów (nie wyłączenie witryn bo to zasadnicza różnica ) - i naprawa po jednej - separacja - usunięcie zawartości - odtworzenie z kopii - maksymalna aktualizacja - zabezpieczenie jakimś firewall'em - osobiście polecam tutaj Admintools'a i RS Firewll'a - pierwszy robi mapę plików php oraz ich sum kontrolnych, drugi zawiera niezłe wzorce "syfu" i je wyszukuje ale też nie wszystko - no i jedna rzecz - połączenia ftp tylko ze wskazanego IP (ograniczyć do jednego). No i jeszcze jedna sprawa - asymetria struktury katalogów docelowych parkowania domen - niektóre skrypty na potrzeby ataków wykorzystują "symetrię" struktury podstawowej katalogów.
Qrcze - odrobinkę napisałem ale to nawet nie wstęp - chociaż może pomoże metoda z kopiami zapasowymi.
Pzdr
P.S. Korzenie problemu sięgają marca zeszłego roku - odnosi się to tak samo do Joomla, Drupala ale i Wordpress'a - więc sugeruję aktualizować wcześniejsze kopie - najlepiej lokalnie i dopiero naprawione przenosić do odpowiednio przygotowanych katalogów.