Πως να «καθαρίσετε» αποτελεσματικά το χακαρισμένο Joomla site σας

Πως να «καθαρίσετε» αποτελεσματικά το χακαρισμένο Joomla site σας

Από τη στιγμή που το site σας έχει outdated open source scripts είναι θέμα χρόνου να γίνουν exploited. Αν έχουν ήδη γινει expoited θα πρέπει να καθαριστούν και να γίνουν updated στο τελευταίο version. To ίδιο ισχύει και για τα Extensions. Αν το site δεν καθαριστεί εντελώς ακόμα και να προχωρήσετε στα απαραίτητα updates τα κενά ασφαλείας παραμένουν. Να διατηρείτε τα site και τα extensions σας πάντα στα πιο πρόσφατα versions.

Εάν συμβεί να χακαριστεί το site σας, συνήθως είναι καλύτερο να μην χρονοτριβήσετε με τη διαδικασία καθαρισμού, δεδομένου πως μια γρήγορη επαναφορά θα ελαχιστοποιήσει τη ζημιά που έχει προκληθεί. Εάν το Joomla site σας έχει χακαριστεί τότε ακολουθήστε τα παρακάτω βήματα για να αφαιρέσετε τον κακόβουλο κώδικα και την πρόληψη μελλοντικών επιθέσεων.

Αρχικά επείγοντα μέτρα

1. Το πρώτο και πιο σημαντικό βήμα είναι να απενεργοποιήσετε εντελώς το site σας και να επιτρέπετε την πρόσβαση μόνο από τη δική σας διεύθυνση IP. Με αυτό τον τρόπο θα θέσετε σε καραντίνα το site σας, έτσι ώστε οι hackers να μην είναι σε θέση να επεξεργαστούν αρχεία και βάση δεδομένων. Αυτό το βήμα είναι πολύ βασικό. Εάν δεν απενεργοποιήσετε το site σας οι επισκέπτες σας θα έχουν πρόσβαση σε επιβλαβές περιεχόμενο. Επιπλέον, οι μηχανές αναζήτησης (Google, MSN, κλπ) θα αποκλείσουν το site σας και θα εμφανίζονται μηνύματα προειδοποίησης σε όλους τους επισκέπτες. Ο ευκολότερος τρόπος για να θέσετε σε καραντίνα το site σας είναι να επεξεργαστείτε το αρχείο .htaccess και να επιτρέψετε την πρόσβαση μόνο από τη δική σας διεύθυνση IP. Χρησιμοποιήστε τις ακόλουθες δύο γραμμές (λειτουργούν στους διακομιστές Apache):

deny from all
allow from IP_ADDRESS

Αντικαταστήστε το IP_ADDRESS με τη δική σας διεύθυνση IP. Μόλις το κάνετε αυτό το site θα είναι εκτός λειτουργίας για τους επισκέπτες σας. Βγάζοντας εκτός λειτουργίας το site σας κατά τη διάρκεια της αποκατάστασης δεν θα επηρεάσει τα μελλοντικά rankings σας στις μηχανές αναζήτησης. Καλό είναι να δημιουργήσετε μια προσαρμοσμένη σελίδα λάθους 403 ώστε να ενημερώνει τους επισκέπτες ότι το site σας είναι προσωρινά κλειστό για συντήρηση.
Μην βασίζεστε στη λειτουργία συντήρησης του Joomla (maintenance mode) – δεν έχει σχεδιαστεί για να προστατεύει το site σας από επιθέσεις στο διαδίκτυο.

2. Για να βεβαιωθείτε ότι είστε ο μόνος που έχει πρόσβαση στο hosting λογαριασμό / site σας πρέπει να αλλάξετε όλους τους κωδικούς πρόσβασης – Joomla administrators, χρήστες FTP, χρήστες MySQL database, λογαριασμοί cPanel, κλπ. Εάν δεν είστε βέβαιοι πώς να το κάνετε αυτό, μπορείτε να επικοινωνήσετε με τον provider του hosting λογαριασμού σας και να ζητήσετε βοήθεια.


Επαναφορά του site σας από ένα καθαρό αντίγραφο ασφαλείας & Ενημέρωση του Joomla!

3. Ο πιο γρήγορος τρόπος για να λειτουργήσει ξανά το site σας είναι να το επαναφέρετε από ένα καθαρό και λειτουργικό αντίγραφο ασφαλείας*. Ωστόσο, πριν το κάνετε αυτό θα πρέπει να αφαιρέσετε τα μολυσμένα αρχεία και βάση δεδομένων του Joomla, έτσι ώστε να μην είναι προσβάσιμα στο κοινό. Αντί να διαγράψετε το site, μετακινήστε τα αρχεία και τη βάση δεδομένων του Joomla σε μια ασφαλή τοποθεσία για περαιτέρω ανάλυση. Δημιουργήστε ένα αντίγραφο ασφαλείας του μολυσμένου site (αρχεία + βάση δεδομένων) και αποθηκεύστε τα σε ένα ξεχωριστό φάκελο που δεν είναι προσβάσιμος μέσω ενός web browser. Έπειτα χρησιμοποιήστε το καθαρό αντίγραφο ασφαλείας για να επαναφέρετε το site.

*Σημειώστε ότι η ακόλουθη διαδικασία θα σβήσει όλες τις αλλαγές ή/και προσθήκες που έγιναν στο διάστημα μετά από τη λήψη του αντιγράφου ασφαλείας που θα τοποθετήσετε.

4. Ελέγξτε το site σας και βεβαιωθείτε ότι λειτουργεί σωστά. Σε αυτό το στάδιο, καταφέρατε να αποκαταστήσετε το site σας, αλλά είναι ευάλωτο και δεν μπορείτε ακόμα να αφαιρέσετε την καραντίνα. Επιπλέον, θα πρέπει να αλλάξετε τους κωδικούς πρόσβασης για όλους τους χρήστες του Joomla μια ακόμη φορά. Αυτό είναι απαραίτητο, διότι οι κωδικοί άλλαξαν όταν κάνατε επαναφορά της βάσης δεδομένων από το αντίγραφο ασφαλείας. Πολύ συχνά οι ιστοσελίδες Joomla χακάρονται εξαιτίας παρωχημένων extensions, plugins ή ακόμα και του ίδιου του πυρήνα του Joomla. Έτσι, το επόμενο βήμα είναι να αναβαθμίσετε το Joomla καθώς και όλα τα extensions και plugins στις τελευταίες διαθέσιμες σταθερές εκδόσεις.

Τελικά βήματα

5. Σαρώστε το μολυσμένο αντίγραφο ασφαλείας του site σας (αρχεία + DB) με τη χρήση ενός τοπικού προγράμματος Anti-Virus. Όταν σαρώσετε το μολυσμένο αντίγραφο ασφαλείας, θα δείτε μια πλήρη λίστα με τα κακόβουλα αρχεία και στη συνέχεια, μπορείτε να ελέγξετε τα αρχεία καταγραφής πρόσβασης στο server για να μάθετε περισσότερες πληροφορίες σχετικά με το πώς οι hackers απέκτησαν πρόσβαση στο site σας. Θα πρέπει πάντα να προσπαθείτε να εντοπίσετε την πηγή της επίθεσης (δυστυχώς μερικές φορές αυτό δεν είναι δυνατό). Ο εντοπισμός της επίθεσης είναι δύσκολος και μπορεί να χρειαστεί να ζητήσετε βοήθεια από τον provider του hosting λογαριασμού σας.

6. Αφαιρέστε την καραντίνα, έτσι ώστε το site σας θα είναι και πάλι προσβάσιμο από το κοινό. Εάν η Google έχει χαρακτηρίσει το site σας ως επιβλαβές θα πρέπει να ζητήσετε επανεξέταση μέσα από τον λογαριασμό σας Webmaster Tools.

Επιπλέον χρήσιμα links:
https://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

Extensions που μπορούν να σας βοηθήσουν να διατηρήσετε το site σας secure:
https://extensions.joomla.org/category/access-a-security/site-security
https://extensions.joomla.org/extension/securitycheck


Online checkers (free & remote scanners)

https://sitecheck.sucuri.net/
https://www.virustotal.com/


Αφήστε μια απάντηση