Безопасность Joomla (Джумла) - причины взломов и проникновения вирусов, действия по восстановлению

По статистике поисковых систем каждый день регистрируется около 10 000 зараженных сайтов.

Так как Джумла (Joomla) одна из самых распространенных систем управления контентом сайта (CMS), то конечно же усилия злоумышленников направлены также и на нее.

Взломанный сайт

Причины заражения сайтов

Одной из самых распространенных причин заражения является не обновление ядра CMS после разработки сайта на Joomla. Причем не обновляться Джумла может как в пределах одного поколения (например реальная версия 2.5.14, актуальная 2.5.28), так и в пределах нескольких поколений (реальная версия 1.5.28 актуальная 2.5.28 или 3.4.0).

Отсутствие обновлений в любом варианте имеет потенциальную опасность, так как практически каждое обновление призвано закрыть уязвимость, которая выявилась в процессе использования версии CMS. Но не обновление в пределах нескольких поколений наиболее опасно, так как устаревшие версии Joomla уже не обновляются и соответственно бреши в их безопасности не закрываются.

При этом при обновлении Joomla могут возникать ошибки, к чему нужно быть готовым, имея достаточный уровень тех подготовки.

Вторая причина взлома сайта хакерами – это скачивание и установка владельцами сайтов условно бесплатных шаблонов и расширений. Такие шаблоны, расширения как правило размещаются на русскоязычных сайтах. Если посмотреть сайты разработчиков этих шаблонов и расширений (как правило англоязычные сайты), то можно увидеть, что они на самом деле являются платными. В чем же может быть подвох? Хакеры, купив эти расширения шаблоны, вставляют в них различного рода вредоносные скрипты, к-е могут перенаправлять посетителей сайта на другие сайты, либо собирать данные (в т.ч. cookies) о пользователях, либо устанавливают на компьютеры посетителей вирусы. После эти зараженные шаблоны и расширения публикуются на сайтах для бесплатной загрузки.

Пример такого PHP-скрипта (вставлен на страницы Джумлы):

Пример скрипта хакера

Некоторые взломщики помещают  в одну из папок сайта отдельные HTML-страницы со ссылкой на какие-нибудь медицинские сайты (например о виагре), которые невозможно продвинуть в поисковых системах, из-за запрета рекламы этих тематик.

Незащищённость административной панели Joomla – это следующая причина взлома сайта. Хакерам не составляет труда узнать, пропарсив просторы интернета, какие сайты сделаны на платформе Джумла. Причина в том, что часто в самих шаблонах пишется о том, какая CMS используется на сайте, а также ее версия. Во многих файлах сайта в верхней их части пишется о том, что файл создан на CMS Joomla.

Узнав, что сайт создан на Джумле легко определить адрес панели управления сайтом. Как правило она находиться здесь: http://site.by/administrator  Если хакер знает, где панель управления сайтом, значит он сможет попробовать взломать ее способом полного перебора, брутфорс (англ. brute force – грубая сила). Т.е. специальная программа взломщика делает много  запросов к админ панели, автоматически подставляя в поля ввода логина и пароля различные их варианты. Есть статистика о том, что количество самых распространенных паролей около 10 000.

На картинке ниже изображен лог ошибок сайта. Здесь очень хорошо видно как с IP 95.30.116.249 c интервалом времени около 30 минут пытались подобрать логин/пароль к админ панели.

Лог ошибок Джумлы  

В практике также часто видишь, что люди не любят делать сложные пароли, так как их трудно запомнить. Также часто они делают один логин/пароль для разных доступов (повторяющиеся пароли). И этим часто пользуются взломщики.

Еще одна банальная причина взлома – похищение логина, пароля от хостинга, FTP (протокол передачи файлов) или административной панели с помощью вируса, который установлен на компьютере веб-мастера. Поэтому на компьютерах, где хранятся такие учетные данные, в обязательном порядке должен быть установлено антивирусное ПО, и компьютер должен периодически сканироваться на предмет нахождения вредоносных программ.

Причиной взлома, также может стать «открытая переадресация», когда посетитель по задумке владельца сайта может перенаправляться на необходимую страницу урлом вида:

Редирект на сайте веб-мастера

Но в такую переадресацию хакер может подставлять свои адреса для перенаправления посетителей на свои сайты.

Взлом также может произойти и в результате подбора/похищения пароля к базе данных. Здесь хакер делает специальные SQL-запросы и размещает свой контент на сайте.

Как узнать, что сайт взломан

Это очень сложно сделать, если вы практически не заглядываете в файлы сайта на хостинге, не анализируете их. Понятно, что в силу своей подготовки, не все могут это делать. Поэтому для облегчения этой задачи поисковые системы Яндекс (Yandex) и Гугл (Google) создали для веб-мастеров специальные кабинеты, в которых можно регистрировать свой сайт и получать статистику по нему.

Кабинеты веб-мастера Яндекс и Google

В случае появления проблем с работой сайта, заражения поисковые системы в оперативном порядке высылают вам сообщение (в кабинет или на e-mail).

Также о заражении можно узнать из поисковой выдачи, когда в сниппете сайта пишется строка о том, что сайт взломан и может нанести вред компьютеру.

Предупреждение в выдаче Яндекса

Предупреждение в выдаче Google

Это сразу же негативно сказывается на посещаемости сайта, так как многие пользователи не будут переходить на сайт с таким сообщением. Поэтому нужно предпринять максимум усилий, чтобы в короткие сроки снять это предупреждение, предварительно очистив и защитив сайт. Запрос в поисковые системы о снятии предупреждения также делается из кабинета веб-мастера.

В практике встречались случаи, когда факт заражения видел только Гугл, а Яндекс не видел. Ситуация была, когда хакерский скрипт вставлялся на все страницы сайта. Вероятно, это связано с тем, что на данный момент поисковой робот Google лучше индексирует содержимое скрипта, чем Яндекс. Отсюда можно сделать немного обывательский, но полезный на сегодня вывод, что с Гугла переходить на сайты безопаснее, чем с Яндекса.

Что делать если ваш сайт на Джумле взломали?

Действия после атаки хакера

В первую очередь поменяйте все пароли, по которым можно получить доступ к сайту: это хостинг, FTP, админ панель.

Потом обратитесь к специалистам по устранению уязвимостей на сайте, его чистке от хакерских скриптов, обновлению ядра, если это необходимо. Также сообщите вашему провайдеру хостинга о произошедшем взломе.

Если у вас есть  специальные навыки по работе с HTML-, PHP-файлами сайта на Джумле, вы можете попробовать самостоятельно восстановить правильную работу сайта. Для этого вам необходимо провести анализ файлов на предмет нахождения в них стороннего кода, проверить административную панель на предмет появления новых пользователей с функцией администрирования сайтом. Также хорошо посмотреть панели веб-мастера Гугла и Яндекса, так как взломщики могут в них также изменять настройки (например, уменьшать частоту посещения сайта поисковым роботом).

Если вам нужна оперативная помощь по защите вашего сайта, чистке его от вирусов и сторонних ссылок смело обращайтесь к нам – в Агентство J2.