WŁAMANIE JOOMLA - Naprawa po włamaniu cz. 5

Logujemy się konsolą SSH bądź przez FTP. Komendą (SSH) sprawdzamy jakie pliki zostały zmienione w ostatnim czasie. Jeśli stronę instalowaliśmy np. pół roku temu to możemy podejrzeć czasy zmian plików.

Pamiętaj, że są katalogi w których zapisywane są obrazki do dodawanych treści oraz CACHE strony, te katalogi i pliki ulegają częstej zmianie, ale również z tego względu hackerzy lubią tam ukrywać swoje pliki. Jeśli w logach widzimy katalog, który ma ukryty skrypt sprawdźmy datę tego pliku. Następnie wyszukajmy wszystkie pliki z datą z tego samego zakresu.

Często sam skrypt jest jednym elementem, a są jeszcze backdoory czyli dodatkowe pliki, które hacker umieszcza po to, aby w przypadku usunięcia skryptu ponownie (nawet po zaktualizowaniu systemu) umieścić je na serwerze poprzez wywołanie ukrytego skryptu. Zatem usunięcie tego pliku na pewno nie wystarczy. Szukamy dalej. Najlepiej jest ściągnąć całą stronę z serwera i przeskanować wszystkie pliki pod kątem zaszyfrowanych fragmentów kodu bądź podobnych ciągów znaków, nagłówków jak w pierwszym znalezionym pliku. Często plików mogą być setki.

Zapisujemy sobie wszystkie pliki sprawdzamy po datach katalogi czy są tam jeszcze jakieś nietypowe rzeczy. Zapewniam, że nawet niewinny obrazek joomla_logo.gif może mieć ukryty skrypt. Warto sprawdzić daty plików IMAGES/ jeśli zobaczysz tam pliki z nowszymi datami sprawdź je w edytorze. Często hacker żeby zmylić niedoświadczoną osobę umieszcza informację o programie OPENSOURCE, że to plik systemowy, że nie można usunąć itd. a dalej zaszyfrowany kod. Ten zaszyfrowany kod to praktycznie pewność, że jest to złośliwy kod.

Po określeniu jakie pliki zostały podmienione sprawdzamy czy zainstalowane komponenty oraz dodatki są na czarnej liście JOOMLA SECURITY. Zapewniam, że dodatki, które były super napisane w 2011 roku i bardzo popularne z setkami recenzji mogą być powodem do zmartwienia w 2013. Trzeba sprawdzić i zrobić listę komponentów/dodatków do usunięcia i zaktualizowania.