Computer >> Máy Tính >  >> Kết nối mạng >> An ninh mạng

Joomla Pharma Hack:Nguyên nhân, Phát hiện &Khắc phục

Joomla là Hệ thống quản lý nội dung mã nguồn mở được sử dụng rộng rãi thứ hai dựa trên PHP và MySQL. Nó cung cấp các tính năng ưu việt như quản lý người dùng tốt hơn, linh hoạt trong việc hiển thị nội dung không theo tiêu chuẩn và hỗ trợ đa ngôn ngữ được tích hợp sẵn. Nhưng mọi thứ phổ biến trên web này đều thu hút rủi ro bảo mật. Và, Joomla cũng không ngoại lệ. Do đó, trong bài viết này, chúng ta sẽ thảo luận chi tiết về một vấn đề bảo mật liên quan đến trang web Joomla - vụ hack Joomla pharma.

Có rất nhiều bài báo có sẵn trên web nói với bạn về cách thực hiện hack này. Nhưng sau khi đọc bài viết này, bạn sẽ được hưởng lợi vì bạn sẽ có được cái nhìn tổng quan toàn diện về Joomla pharma hack.

Bài viết liên quan - Joomla bị tấn công:Hiện tượng, lỗ hổng bảo mật &bản sửa lỗi

Joomla Pharma Hack là gì?

Pharma hack về cơ bản là một SEO mũ đen được thực hiện trên các trang web hợp pháp để quảng cáo các sản phẩm dược phẩm, đặc biệt là các phương pháp điều trị liên quan đến rối loạn cương dương. Hacker quảng bá những điều này trên các trang web theo cách mà nó bỏ qua sự chú ý của chủ sở hữu hợp pháp của trang web. Gần đây, nhiều trang web Joomla cũng bị phát hiện bị lây nhiễm bởi cuộc tấn công này. Vụ tấn công này dường như được che giấu với những người truy cập trang web nhưng nó đầu độc kết quả bộ nhớ cache của các trang kết quả của công cụ tìm kiếm (SERPs). Do đó, việc báo cáo nó với chủ sở hữu của trang web sẽ trở thành một vấn đề nhỏ dẫn đến việc trang web bị khai thác mạnh hơn.

Giống như một "dịch vụ lưu trữ ký sinh trùng", nó là thứ đã được gọi là vượt quá khả năng của SEO mũ đen và cũng được gọi đơn giản là "hack bất hợp pháp".

Joomla Pharma Hack:Nguyên nhân, Phát hiện &Khắc phục

Joomla Pharma Hack hoạt động như thế nào?

  1. Joomla Pharma Hack chỉ nhắm mục tiêu vào các trang web CMS đang sử dụng các tiện ích bổ sung hoặc plugin lỗi thời.
  2. Tin tặc giành được quyền truy cập vào trang web Joomla của bạn thông qua việc tải lên web-shell hoặc buộc một người phải tải thông qua lỗ hổng bao gồm tệp từ xa.
  3. Khi vào trong trang web Joomla, họ thực hiện các kỹ thuật SEO mũ đen và chèn các từ khóa có liên quan đến việc hack Joomla pharma.
  4. Vì trình duyệt hiển thị tiêu đề như trước đây, do đó những thay đổi sẽ không được khách truy cập trang web chú ý trong vài tuần. Ngoài ra, một thư mục mới được tạo và điền trong hệ thống tệp.
  5. Khi trình thu thập thông tin của Google thu thập lại thông tin về trang web bị ảnh hưởng, trang web sẽ đạt được thứ hạng trên công cụ tìm kiếm cho các từ khóa mới của nó.
  6. Các siêu liên kết được nhúng trong trang web và các liên kết độc hại đến một trang web bị tấn công cũng được thêm vào. Điều này làm sâu sắc thêm việc hack Joomla pharma.

Giờ đây, khi người dùng không thể cảm nhận được những thay đổi mới, họ tiếp tục thấy trang web duy trì trạng thái bình thường. Việc liên kết và quảng bá lẫn nhau của các trang web bị tấn công bằng cách sử dụng các từ khóa mới sẽ thúc đẩy toàn bộ mạng. Các tin tặc xây dựng lưu lượng truy cập tiềm năng trong tương lai cho tất cả các trang web độc hại. Tuy nhiên, cần nhiều thời gian để thu được những lợi ích trực tiếp từ liên kết liên mới này.

Đoạn mã từ một trong những trang web bị tấn công như sau:

<script>

// <![CDATA[

function bl(){x = document.referrer;if ( (x.indexOf('viagra')!=-1)||(x.indexOf('VIAGRA')!=-1)||(x.indexOf('buy')!=-1)||(x.indexOf('Viagra')!=-1)||(x.indexOf('Buy')!=-1)||(x.indexOf('viagra')!=-1)) {location.replace("https://www.megarxpills.com/viagra.php?affid=34582011");}}bl();

// ]]>

</script>

Mã tìm kiếm bất kỳ chi tiết nào mà trình duyệt web mang theo về trang web giới thiệu. Nếu các từ như 'Viagra' hoặc 'Mua' được tìm thấy trong URL của trang web đã đưa khách truy cập trang web đến đây thì lưu lượng truy cập sẽ được chuyển đến trang Viagra của megarxpills.com và tín dụng sẽ được chuyển đến đơn vị liên kết có id là 34582011.

Ý định đằng sau Joomla Pharma Hack

Động cơ cho loại hack này chủ yếu là tăng lưu lượng truy cập, khả năng hiển thị và lợi nhuận tiền tệ cho hacker. Bọn tội phạm tìm kiếm những nhà phát triển web thiếu hiểu biết đang nâng cấp nội dung của họ và trong quá trình này, để lộ các lỗ hổng bảo mật trong trang web Joomla của họ. Do đó, trang web hợp pháp bị xâm phạm phải đối mặt với việc mất danh tiếng trong các lĩnh vực tương ứng và có khả năng phải chịu chi phí đáng kể liên quan đến việc xóa hack khỏi trang web của họ. Nhưng bây giờ chúng tôi có các công ty như Astra cung cấp các giải pháp bảo mật cho trang web Joomla của bạn, bạn có thể cảm thấy tự tin về tính bảo mật của trang web của mình. Vậy làm cách nào để tìm ra các triệu chứng của việc hack Joomla pharma?

Phát hiện Joomla Pharma Hack

Vì vụ hack Joomla pharma đầu độc kết quả của công cụ tìm kiếm, do đó, một tìm kiếm đơn giản của Google có thể tiết lộ thông tin tiềm năng cho dù trang web Joomla của bạn đã bị xâm phạm hay chưa. Các dấu hiệu nhận biết sẽ là đề cập đến các loại thuốc hoặc phương pháp điều trị rối loạn cương dương xuất hiện trong văn bản của nội dung kết quả tìm kiếm.

Mạo danh bot công cụ tìm kiếm

Vì công cụ tìm kiếm đang cung cấp cho bạn các kết quả dự đoán khả năng xảy ra vụ hack Joomla pharma, do đó bạn có thể mạo danh là một bot của Google và thử nhìn từ mắt họ về cách họ nhìn thấy trang web Joomla của bạn. Bạn có thể sửa đổi chuỗi tác nhân người dùng - một văn bản mà trình duyệt gửi để nhận dạng chính nó đến trang web bạn đang truy cập. Hãy để tôi giải thích thông qua trình duyệt Firefox. Trong trình duyệt Firefox, chuỗi tác nhân người dùng có vẻ giống như:

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1

Bạn cần sử dụng tiện ích bổ sung này của Firefox để thay đổi chuỗi tác nhân người dùng này và sau đó duyệt kết quả dưới dạng bot của công cụ tìm kiếm. Nếu đây có vẻ là một tùy chọn rắc rối đối với bạn, thì bạn có thể sử dụng tùy chọn ‘Tìm nạp như Googlebot’ trong Công cụ quản trị trang web của Google và kiểm tra các từ khóa được liên kết với Joomla Pharma Hack .

Xem trang nguồn

Trong bất kỳ trình duyệt web nào, bạn có thể tìm kiếm trang web Joomla của mình và phát hiện vụ hack Joomla pharma bằng cách nhấp chuột phải và xem nguồn của trang kết quả của công cụ tìm kiếm.

Joomla Pharma Hack:Nguyên nhân, Phát hiện &Khắc phục

Nếu bạn thấy rằng toàn bộ trang nguồn đang chứa đầy nội dung SPAM như thế này, thì có khả năng là mã nguồn của bạn có lỗ hổng trong đó khiến tệp SPAM được đưa vào bất kỳ đâu trong trang web Joomla của bạn. Bạn sẽ tìm thấy Joomla Pharma Hack các từ khóa như Viagra, Cialis hoặc Regalis có trong mã nguồn của trang.

Sử dụng lệnh để quét tệp trên thư mục máy chủ trang web

Bạn có thể chạy các lệnh sau để kiểm tra xem có bị hack Joomla pharma trong thư mục trang web của mình không:

  • Xác định các tệp zip, gzip, rar và các tệp khác có vẻ không tự nhiên. Bạn có thể sử dụng lệnh sau để tìm kiếm cùng một:

find /home/user_account/public_html/ ( -iname "*.zip" -o -iname "*.gz" -o -iname "*.tar" -o -iname "*.jpa" -o -iname "*.rar" ) -exec ls -hog {} ;

  • Kiểm tra vị trí và nội dung của các tệp .htaccess xem có bất thường nào không. Lệnh để tìm kiếm các tệp .htaccess trên trang web Joomla của bạn là:

find /home/user_account/public_html/ ( -name ".htaccess" ) -type f -print

  • Tìm tất cả các tệp .cgi, .pl, .sh bằng lệnh sau:

find /home/user_account/public_html/ ( -iname "*.cgi" -o -iname "*.pl" -o -iname "*.sh" ) -exec ls -hog {} ;

  • Kiểm tra các tệp PHP mà chúng thường có thể không nằm ở vị trí mà chúng cần.
  • Một lệnh cụ thể mà bạn có thể sử dụng để quét Joomla Pharma Hack tệp là:

find /home/user_account/public_html/ ( -name "*xmloem*.*" -o -name "*pharma*.*" -o -name "mod_joomla" -o -name "com_article" -o -name "LICESNE.php" ) -print

  • Sử dụng lệnh grep, tìm kiếm các mẫu tệp được liên kết với tệp tin tặc - base64_decode, eval, preg_replace, sử dụng công cụ sửa đổi a / e, gunzip, rot13, v.v. Một lệnh mẫu để quét các dòng chứa 'base64_decode' như sau:

find /home/user_account/public_html/ ( -name "*.php" ) -type f -print0 | xargs -0 grep --binary-files=without-match -ir "base64_decodes*("

  • Tìm địa chỉ IP của các tệp đang truy cập các tệp độc hại này từ nhật ký mạng
  • Quét địa chỉ IP để tìm bất kỳ kết nối nào tới .php các tệp khác với index.php trong thư mục gốc của trang web của bạn
  • Quét nhật ký mạng của bạn trong 2-3 tháng qua để kiểm tra các kết nối từ bất kỳ IP không xác định nào tới máy chủ web của bạn
  • Quét các yêu cầu ĐĂNG trong một thông báo 200 "được". Bạn sẽ xác định được bằng lần tiếp xúc đầu tiên với tệp tin tặc đã biết - POST về cơ bản là tải lên. Địa chỉ IP thực hiện yêu cầu ĐĂNG sẽ thực hiện một yêu cầu duy nhất tới tập lệnh tin tặc mới tải lên. Do đó, các trang web khác cũng bắt đầu liên hệ với cùng một tệp. Do đó, giờ đây bạn có thể phát hiện vị trí của tệp đã bị xâm phạm và xóa nó trước khi tải trang web của bạn trở lại web.

Trang web Joomla của bạn có bị tấn công không? Hãy để lại tin nhắn cho chúng tôi tại đây hoặc trò chuyện với đại lý Astra ngay bây giờ và chúng tôi sẽ sẵn lòng trợ giúp bạn?

Loại bỏ tin tặc Joomla Pharma

Trước khi bạn bắt đầu sửa đổi máy chủ của trang web Joomla của mình để xóa các tệp hack, bạn nên sao lưu trang web của mình một cách thích hợp để không xảy ra mất mát thông tin . Sau đó, bạn cũng phải đảm bảo rằng hệ thống máy tính đang lưu trữ trang web của bạn không bị nhiễm phần mềm không mong muốn tiềm ẩn như vi rút, phần mềm gián điệp hoặc phần mềm độc hại khác. Quét các PC có bất kỳ đặc quyền quản trị nào được cấp cho chúng.

Sau khi thực hiện tất cả các lần quét, cần phải kiểm tra tính bảo mật của thông tin đăng nhập cho tài khoản FTP, tài khoản email và cơ sở dữ liệu của bạn. Bạn nên tắt quyền truy cập SSH cho người dùng FTP và khóa quyền truy cập SSH đối với các địa chỉ IP được liệt kê trắng cụ thể.

Đăng bài này, chúng tôi khuyên bạn nên gỡ trang web Joomla của mình khỏi web và thực hiện các hành động sau đối với các tệp xóa bản hack Joomla pharma trong thư mục trang web của bạn:

Bảng cơ sở dữ liệu sạch

Xóa mọi từ khóa, nội dung, trọng tải spam mà bạn tìm thấy trong quá trình quét khỏi bảng cơ sở dữ liệu .

Tệp lõi sạch

Xem lại tất cả các sửa đổi được gắn cờ trong các tệp chính trong kết quả quét. So sánh các tệp với các bản sao tốt và thực hiện các thay đổi cần thiết.

Kiểm tra nhật ký người dùng

Xóa người dùng / quản trị viên không xác định , nếu có. Có thể kẻ tấn công đã tạo nhiều hồ sơ với tư cách người dùng hoặc tự thêm mình làm quản trị viên. Thực hiện kiểm tra cẩn thận nhật ký của người dùng và quản trị viên và xóa chúng để chặn mọi quyền truy cập.

Xóa các cửa hậu

Loại bỏ các cửa hậu có thể có. Tin tặc có xu hướng bỏ lại các cửa sau để truy cập vào trang web nhiều lần. Một số địa điểm phổ biến mà bạn có thể tìm thấy backdoor là- base64, str_rot13, gzuncompress, gzinflate, eval, execute, create_ functions, location.href, curl_exec, stream, v.v.

Các mục nhập chặn

Ngoài ra, chúng tôi thường đặt một tập lệnh-

  • Chặn kết nối từ các tác nhân người dùng đáng ngờ
  • Phát hiện những nỗ lực truy cập tệp của tin tặc và chặn vĩnh viễn những khách truy cập đó
  • Danh sách đen địa chỉ IP độc hại

Phòng chống Hack Joomla Pharma:Tóm tắt lại

Không có gì có sẵn trong World Wide Web là an toàn. Nó đã bị hack hoặc đang chờ hack. Với tư cách là quản trị viên trang web, bạn có thể thực hiện một số bước hợp lý để ngăn chặn việc hack Joomla pharma. Đó là:

  • Giảm thiểu cơ hội hack thành công, trong trường hợp của chúng tôi là hack Joomla pharma.
  • Kéo dài quá trình khôi phục khi bạn không thể chịu đựng được tại một thời điểm nào đó

Đã cập nhật CMS của bạn

Điều quan trọng nhất mà quản trị viên web Joomla có thể làm là cập nhật trang web quản lý nội dung của họ. Họ phải nhớ rằng không phải bài viết hay hình ảnh giúp xây dựng trang web Joomla của bạn mà là trang web quản lý nội dung. Đây là cách bạn có thể ngăn trang web Joomla của mình bị tấn công.

Theo dõi các tiện ích bổ sung

Ngoài ra, điều quan trọng là bạn phải kiểm tra hoạt động của các tiện ích bổ sung của mình. Cập nhật tất cả các tiện ích bổ sung, chủ đề và mẫu lên phiên bản mới nhất và an toàn nhất của chúng.

Loại bỏ sơ hở

Sự tồn tại của bất thường hoặc lỗi trong trang web Joomla của bạn có thể cung cấp cho hacker một cửa sổ để cài đặt tệp và thực hiện hack Joomla pharma. Giám sát các tiện ích bổ sung cho phép khách truy cập tải tệp lên. Đảm bảo rằng nó đủ thông minh để phát hiện rằng tệp đúng loại đang được tải lên hay không.

Sử dụng Tiện ích tường lửa ứng dụng web như Astra

Cuối cùng, bạn có thể tin tưởng vào tiện ích tường lửa ứng dụng web như Astra’s và không cần căng thẳng về tính bảo mật của trang web Joomla của bạn. Tiện ích này bảo vệ trang web của bạn khỏi nhiều loại phần mềm độc hại bằng cách quét và xóa chúng theo thời gian thực. Nó thực hiện kiểm tra thường xuyên các tệp spam đang được tạo trong thư mục trang web của bạn và cố gắng xóa chúng mà không gây ra bất kỳ thiệt hại nào cho trang web Joomla của bạn.

Để biết thêm các bài viết về Joomla Security, hãy truy cập phần này của blog Astra Security . Bạn sẽ tìm thấy các lỗ hổng bảo mật hoặc các vấn đề bảo mật khác có thể xảy ra trên trang web Joomla của bạn.