Взломать Joomla обратно на рельсы

Question

У меня есть старая установка Joomla, которая была взломана. Все, что я знаю, пока был изменен только index.php, и они испортили мои учетные записи. Я скачал index.php из текущей версии, но в один момент он вызывает $app->dispatch();, что требует параметра имени компонента в моей версии. Кто-нибудь знает, каким параметром это должно быть? Я пробовал: null, 'home', 'application', ...

Также я планирую обновить до последней версии позже, однако я не могу найти свой номер текущей версии. Я нашел где-то, что это отображается на страницах администратора, но я пока не могу получить к ним доступ. Могу ли я найти его где-нибудь в файлах кода?

РЕДАКТИРОВАТЬ: Работал index.php из версии 1.5.22. Видимо правильная версия была 1.5.3. Кто-нибудь знает, что еще я должен проверить, что могло быть взломано / испорчено?

Answer 1

Мне недавно пришлось вычистить взломанную установку Joomla.Мой совет - grep для всех файлов base64_decode: некоторые хаки состоят из декодирования огромной строки, которая выдает php.

find ./ |xargs grep base64_decode

Хак выглядел так: error_reporting (0); eval (base64_decode ('JGxMOXdGMWFZNHpY .....

) Этот конкретный фрагмент кода обнаружил googlebot и других сканеров, а затемвыдал список спам-ссылок, насыщенных виагрой. Если использовалась обычная строка пользовательского агента, это показывало нормальный сайт. Мне пришлось использовать расширение firefox, которое изменяет пользовательский агент для отладки.

Следующим шагом будетизбавьтесь от эксплойта, а затем либо исправьте Joomla и дождитесь следующего эксплойта, либо переключитесь на что-нибудь более безопасное, например, статический html или хорошо поддерживаемую CMS.

Answer 2

Почему бы не получить копию версии, которую вы использовали?

http://forum.joomla.org/viewtopic.php?p=2221953

Вы можете перейти в проект Joomla на joomlacode.org, затем выберите поиск Вкладка. Оттуда вы вводите "1.0.10" и выберите Релизы для поиска. Вы должен получить некоторые результаты. Нажми на тот, который вы ищете, файлы можно найти на вкладке файлов, это время вкладка находится на синей полосе (больше нижняя часть экрана).

Хотя я бы порекомендовал обновить полностью, чтобы больше не подвергаться повторному взлому.

====== Ответ на второй вопрос

Насколько велик сайт? Обычно, если это просто атака со ссылками на спам, достаточно быстрых повторных атак.

Следующая проблема заключается в том, что вам нужно исправить дыру, которая вызвала проблему, в этом случае обновление до последней версии Joomla (1.6 - я считаю) является первым портом вызова.

Вы модифицировали систему Joomla таким образом, чтобы вы могли открыть хак?

Мой совет, сбросьте пароли администратора и обновите Joomla.

Очень сложно сказать что-то еще, не понимая, что это за "взлом".

Answer 3

К счастью, у Joomla действительно хорошая документация о том, как восстановиться после взлома. http://docs.joomla.org/Security_Checklist_7. Как упомянул Пино, очень важно, чтобы вы всегда были в последней версии, чтобы минимизировать подверженность угрозам безопасности.