Joomla！2.5.4 Hacked:诊断有问题

Question

我的Joomla 2.5.4网站昨晚被破解了。此外，Joomla论坛目前已经关闭，我甚至不能运行Joomla的诊断实用程序。(fpa-en.php)

我按照Joomla的指示进行诊断，但没有成功。(见下文)我也通过电子邮件发送了我的See主机(我在一个共享服务器上，但我使用Joomla推荐的主机，它是Joomla站点的专家)。所以，我的问题是我下一步该怎么办？

这是我目前掌握的信息。

使用Joomla 2.54 (最新版本)。所有扩展都更新到了最近的版本，而且都不在Joomla易受攻击扩展列表中。

其他管理员的密码被更改了，但幸运的是我的密码没有被更改。

删除User_notes表，这会使管理部分中的用户管理器毫无用处。

根据日志，攻击按以下顺序击中以下文件：

1. /管理员/index.php
2. /index.php (根)
3. /plugins/身份验证/joomla/joomla.php
4. /plugins/user/joomla/joomla.php

然后是对用户和user_notes表的更改。

两个index.php中都没有垃圾

攻击ip为199.15.234.216，来自supremetelecom.com的沃斯堡服务器

幸运的是，我有备份，没有任何污点，但是直到我无法让fpa-en.php工作和访问Joomla论坛，我不知道除了更改所有密码并阻止ip之外，还需要做什么d0。

提前感谢您的帮助！

Answer 1

首先，重置所有管理员的密码，包括您的密码，然后更改密码，并确保它们包含字母和数字。然后，如果提供密码生成器，则使用密码生成器更改主机控制面板的密码。如果没有，请在线使用密码生成器。完成此操作后，请更改数据库用户名的密码，并且不要忘记使用新密码更新configuration.php。

其次，下载并安装管理工具，这将为您的站点增加更多的安全性。管理工具还附带了一个紧急脱机按钮，这是有用的。

然后下载并安装Saxum IP记录器，它将跟踪所有注册用户，给出他们的IP地址、国家等等，您也可以使用它附带的插件阻止IP地址。

接下来，转到主机控制面板，查看日志，查看哪些IP地址已进入您的网站，以及它们访问了哪些文件。与编辑的文件相互响应的IP地址，然后可以使用前面提到的插件阻止。Joomla2.5很难破解，所以很可能您的扩展开发得很糟糕，并且允许SQL注入。因此，您应该始终选择流行的扩展安装在您的网站上，当它们是数据库相关的。

希望这对你将来有帮助。问候

编辑:您还可以通过密码保护FTP中的文件夹，以提高安全性.

您可能还会发现 这个扩展 非常有用的

Answer 2

恢复之后，请确保在/administrator目录中使用.htaccess设置密码，前提是这是一个基于Linux的服务器。

Answer 3

几个步骤将帮助您识别接入点。还取决于您是否可以访问某些服务器端工具。

1. 联系主机，询问他们是否运行Mod_Sec，如果是的话，请向他们询问IP的Mod_sec标志。
2. 询问主机是否运行任何类型的maldet工具-如果是，请扫描您的帐户。
3. 如果您拥有shell访问权限，请检查最近的文件更改.从tmp和缓存文件旁边。

修改你所有的密码- 2. 安装项目蜂蜜罐。 3.管理工具安装很好，但是你需要专业版本才能真正获得安全工具的访问权限。4.迁移到专门处理Joomla平台的主机，在大多数情况下，它们已经为Joomla中常见的安全问题配置了帐户。

被黑真的很糟糕..。祝好运!