Joomla เป็นระบบจัดการเนื้อหาแบบโอเพ่นซอร์สที่ใช้กันอย่างแพร่หลายมากเป็นอันดับสองโดยอิงจาก PHP และ MySQL มีคุณสมบัติที่เป็นประโยชน์ เช่น การจัดการผู้ใช้ที่ดีขึ้น ความยืดหยุ่นในการแสดงเนื้อหาที่ไม่ได้มาตรฐาน และการสนับสนุนหลายภาษาในตัว แต่ทุกสิ่งที่เป็นที่นิยมบนเว็บนี้ดึงดูดความเสี่ยงด้านความปลอดภัย และ Joomla ก็ไม่มีข้อยกเว้น ดังนั้นในบทความนี้ เราจะหารือในรายละเอียดเกี่ยวกับปัญหาด้านความปลอดภัยที่เกี่ยวข้องกับเว็บไซต์ Joomla – Joomla pharma hack
มีบทความมากมายบนเว็บที่จะบอกคุณเกี่ยวกับวิธีการแฮ็คนี้อย่างกระจัดกระจาย แต่หลังจากอ่านบทความนี้ คุณจะได้รับประโยชน์เนื่องจากคุณจะได้รับภาพรวมที่ครอบคลุมของ Joomla pharma hack
บทความที่เกี่ยวข้อง – Joomla Hacked:อาการ ช่องโหว่ และการแก้ไข
แฮ็ค Joomla Pharma คืออะไร
แฮ็ค Pharma นั้นเป็นการทำ SEO แบบหมวกดำบนเว็บไซต์ที่ถูกต้องตามกฎหมายเพื่อส่งเสริมผลิตภัณฑ์ยา โดยเฉพาะอย่างยิ่งการรักษาที่เกี่ยวข้องกับการหย่อนสมรรถภาพทางเพศ แฮ็คส่งเสริมสิ่งเหล่านี้บนเว็บไซต์ในลักษณะที่ข้ามความสนใจของเจ้าของที่ถูกต้องตามกฎหมายของเว็บไซต์ เมื่อเร็ว ๆ นี้ คะแนนของเว็บไซต์ Joomla ก็ถูกพบว่าติดเชื้อจากการโจมตีนี้เช่นกัน ดูเหมือนว่าแฮ็คจะถูกปกปิดจากผู้เยี่ยมชมเว็บไซต์ แต่จะทำให้ผลแคชของหน้าผลลัพธ์ของเครื่องมือค้นหา (SERPs) เสียหาย ดังนั้นจึงกลายเป็นปัญหาเล็กน้อยในการรายงานไปยังเจ้าของเว็บไซต์ซึ่งนำไปสู่การแสวงหาประโยชน์เชิงรุกของเว็บไซต์ต่อไป
เช่นเดียวกับ 'ปรสิตโฮสติ้ง' เป็นสิ่งที่เรียกว่าเกินความสามารถของ SEO หมวกดำ และยังเรียกง่ายๆ ว่า 'การแฮ็กที่ผิดกฎหมาย'
แฮ็ค Joomla Pharma ทำงานอย่างไร
- แฮ็ค Joomla Pharma กำหนดเป้าหมายเฉพาะเว็บไซต์ CMS ที่ใช้ส่วนเสริมหรือปลั๊กอินที่ล้าสมัย
- แฮ็กเกอร์สามารถเข้าถึงเว็บไซต์ Joomla ของคุณผ่านการอัปโหลด web-shell หรือบังคับให้โหลดผ่านช่องโหว่ในการรวมไฟล์จากระยะไกล
- เมื่อเข้าไปในเว็บไซต์ Joomla พวกเขาใช้เทคนิค SEO หมวกดำ และแทรกคำหลักที่จะเชื่อมโยงกับ Joomla pharma hack
- เนื่องจากเบราว์เซอร์แสดงชื่อเหมือนเมื่อก่อน ดังนั้นการเปลี่ยนแปลงจึงไม่มีใครสังเกตเห็นเป็นเวลาสองสามสัปดาห์โดยผู้เยี่ยมชมเว็บไซต์ อีกทางหนึ่ง โฟลเดอร์ใหม่จะถูกสร้างขึ้นและเติมข้อมูลภายในระบบไฟล์
- เมื่อโปรแกรมรวบรวมข้อมูลของ Google รวบรวมข้อมูลเว็บไซต์ที่ได้รับผลกระทบอีกครั้ง เว็บไซต์จะได้รับการจัดอันดับของเครื่องมือค้นหาสำหรับคำหลักใหม่
- ไฮเปอร์ลิงก์ถูกฝังอยู่ภายในเว็บไซต์และเพิ่มลิงก์ที่เป็นอันตรายไปยังเว็บไซต์ที่ถูกแฮ็กด้วย สิ่งนี้ทำให้การแฮ็กยา Joomla ลึกซึ้งยิ่งขึ้น
ขณะนี้ เนื่องจากผู้ใช้ไม่สามารถรับรู้ถึงการเปลี่ยนแปลงใหม่ได้ พวกเขายังคงเห็นเว็บไซต์รักษาความปกติของมัน การเชื่อมโยงกันและการโปรโมตระหว่างกันของเว็บไซต์ที่ถูกแฮ็กโดยใช้คำหลักใหม่จะส่งเสริมทั้งเครือข่าย แฮกเกอร์สร้างทราฟฟิกที่อาจเกิดขึ้นในอนาคตสำหรับเว็บไซต์ที่เป็นอันตรายทั้งหมด อย่างไรก็ตาม การเก็บเกี่ยวผลประโยชน์โดยตรงจากการเชื่อมโยงใหม่นี้ต้องใช้เวลามาก
ข้อมูลโค้ดจากเว็บไซต์ที่ถูกแฮ็กมีดังต่อไปนี้:
<script>
// <![CDATA[
function bl(){x = document.referrer;if ( (x.indexOf('viagra')!=-1)||(x.indexOf('VIAGRA')!=-1)||(x.indexOf('buy')!=-1)||(x.indexOf('Viagra')!=-1)||(x.indexOf('Buy')!=-1)||(x.indexOf('viagra')!=-1)) {location.replace("https://www.megarxpills.com/viagra.php?affid=34582011");}}bl();
// ]]>
</script>
รหัสจะค้นหารายละเอียดใดๆ ที่เว็บเบราว์เซอร์นำมาเกี่ยวกับเว็บไซต์ที่อ้างอิง หากพบคำเช่น 'ไวอากร้า' หรือ 'ซื้อ' ใน URL ของหน้าเว็บที่ส่งผู้เยี่ยมชมเว็บไซต์มาที่นี่ การเข้าชมจะถูกส่งไปยังหน้าไวอากร้าของ megarxpills.com และเครดิตจะถูกส่งไปยังบริษัทในเครือที่มีรหัส 34582011
ความตั้งใจเบื้องหลัง Joomla Pharma Hack
แรงจูงใจในการแฮ็กประเภทนี้ส่วนใหญ่เป็นการเพิ่มทราฟฟิก การมองเห็น และรายได้ที่แฮ็กเกอร์ได้รับ อาชญากรมองหานักพัฒนาเว็บที่ไม่รู้ซึ่งกำลังอัปเกรดเนื้อหาและอยู่ในกระบวนการ โดยเปิดเผยช่องโหว่ด้านความปลอดภัยในเว็บไซต์ Joomla ด้วยเหตุนี้ เว็บไซต์ที่ถูกต้องตามกฎหมายที่ถูกบุกรุกต้องเผชิญกับการสูญเสียชื่อเสียงในสาขาที่เกี่ยวข้อง และอาจต้องเสียค่าใช้จ่ายจำนวนมากที่เกี่ยวข้องกับการลบการแฮ็กออกจากเว็บไซต์ของตน แต่ตอนนี้ เรามีบริษัทเช่น Astra ที่เสนอโซลูชั่นการรักษาความปลอดภัยสำหรับเว็บไซต์ Joomla ของคุณ คุณอาจรู้สึกมั่นใจเกี่ยวกับความปลอดภัยของเว็บไซต์ของคุณ แล้วเราจะค้นหาอาการของ Joomla pharma hack ได้อย่างไร?
การตรวจจับ Joomla Pharma Hack
เนื่องจากการแฮ็ค Joomla Pharma ทำให้ผลลัพธ์ของเครื่องมือค้นหาเป็นพิษ ดังนั้นการค้นหาโดย Google อย่างง่ายอาจเปิดเผยข้อมูลที่เป็นไปได้ว่าเว็บไซต์ Joomla ของคุณถูกบุกรุกหรือไม่ สัญญาณบอกเล่าจะกล่าวถึงยารักษาภาวะหย่อนสมรรถภาพทางเพศหรือการรักษาที่ปรากฏในเนื้อหาของผลการค้นหา
เลียนแบบบอทของเครื่องมือค้นหา
เนื่องจากเสิร์ชเอ็นจิ้นกำลังแสดงผลลัพธ์ที่คาดการณ์ถึงเหตุการณ์ที่จะเกิดขึ้นจากการแฮ็ก Joomla pharma ดังนั้นคุณจึงสามารถแอบอ้างเป็นบอตของ Google และลองมองจากสายตาของพวกเขาว่าพวกเขาเห็นเว็บไซต์ Joomla ของคุณอย่างไร คุณสามารถแก้ไขสตริง user-agent ซึ่งเป็นข้อความที่เบราว์เซอร์ส่งเพื่อระบุตัวเองไปยังเว็บไซต์ที่คุณกำลังเยี่ยมชม ให้ฉันอธิบายผ่านเบราว์เซอร์ Firefox ในเบราว์เซอร์ Firefox สตริง user-agent จะมีลักษณะดังนี้:
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1
คุณต้องใช้ ส่วนเสริมนี้ ของ Firefox เพื่อเปลี่ยนสตริง user-agent นี้แล้วเรียกดูผลลัพธ์เป็นบอทของเครื่องมือค้นหา หากเป็นตัวเลือกที่ยุ่งยากสำหรับคุณ คุณสามารถใช้ตัวเลือก "ดึงข้อมูลเหมือนเป็น Googlebot" ภายใน Google Webmaster Tools และตรวจสอบคำหลักที่เกี่ยวข้องกับ Joomla Pharma Hack .
ดูหน้าแหล่งที่มา
ในเว็บเบราว์เซอร์ใดๆ ก็ตาม คุณสามารถค้นหาเว็บไซต์ Joomla ของคุณและตรวจหา Joomla pharma hack ได้ด้วยการคลิกขวาและดูที่มาของหน้าผลลัพธ์ของเครื่องมือค้นหา
หากคุณพบว่าหน้าต้นฉบับเต็มไปด้วยเนื้อหาสแปมเช่นนี้ เป็นไปได้ว่าซอร์สโค้ดของคุณมีช่องโหว่ซึ่งทำให้ไฟล์ SPAM ถูกแทรกเข้าไปที่ใดก็ได้ในเว็บไซต์ Joomla ของคุณ คุณจะพบ Joomla Pharma Hack คีย์เวิร์ด เช่น ไวอากร้า เซียลิส หรือ Regalis มีอยู่ในซอร์สโค้ดของหน้า
ใช้คำสั่งเพื่อสแกนไฟล์ บนไดเร็กทอรีเซิร์ฟเวอร์เว็บไซต์
คุณสามารถเรียกใช้คำสั่งต่อไปนี้เพื่อตรวจสอบ Joomla pharma hack ในไดเร็กทอรีของเว็บไซต์ของคุณ:
- ระบุไฟล์ zip, gzip, rar และไฟล์อื่นๆ ที่ดูไม่เป็นธรรมชาติ คุณสามารถใช้คำสั่งต่อไปนี้เพื่อค้นหาสิ่งเดียวกัน:
find /home/user_account/public_html/ ( -iname "*.zip" -o -iname "*.gz" -o -iname "*.tar" -o -iname "*.jpa" -o -iname "*.rar" ) -exec ls -hog {} ;
- ตรวจสอบตำแหน่งและเนื้อหาของไฟล์ .htaccess เพื่อหาความผิดปกติ คำสั่งในการค้นหาไฟล์ .htaccess ในเว็บไซต์ Joomla ของคุณคือ:
find /home/user_account/public_html/ ( -name ".htaccess" ) -type f -print
- ค้นหาไฟล์ .cgi, .pl, .sh ทั้งหมดโดยใช้คำสั่งต่อไปนี้:
find /home/user_account/public_html/ ( -iname "*.cgi" -o -iname "*.pl" -o -iname "*.sh" ) -exec ls -hog {} ;
- ตรวจสอบไฟล์ PHP ที่โดยปกติแล้วอาจไม่ได้อยู่ในตำแหน่งที่ควรจะเป็น
- คำสั่งเฉพาะที่คุณอาจใช้เพื่อสแกนหา Joomla Pharma Hack ไฟล์คือ:
find /home/user_account/public_html/ ( -name "*xmloem*.*" -o -name "*pharma*.*" -o -name "mod_joomla" -o -name "com_article" -o -name "LICESNE.php" ) -print
- ใช้คำสั่ง grep ค้นหารูปแบบไฟล์ที่เกี่ยวข้องกับไฟล์แฮ็กเกอร์ – base64_decode, eval, preg_replace, ใช้ตัวแก้ไข a/e, gunzip, rot13 เป็นต้น คำสั่งตัวอย่างเพื่อสแกนหาบรรทัดที่มี 'base64_decode' มีดังนี้:
find /home/user_account/public_html/ ( -name "*.php" ) -type f -print0 | xargs -0 grep --binary-files=without-match -ir "base64_decodes*("
- ค้นหาที่อยู่ IP ของไฟล์ที่เข้าถึงไฟล์ที่เป็นอันตรายเหล่านี้จากบันทึกเครือข่าย
- สแกนหาที่อยู่ IP สำหรับการเชื่อมต่อกับ
.php
ไฟล์อื่นที่ไม่ใช่index.php
ในรากของเว็บไซต์ของคุณ - สแกนบันทึกเครือข่ายของคุณในช่วง 2-3 เดือนที่ผ่านมาเพื่อตรวจสอบการเชื่อมต่อจาก IP ที่ไม่รู้จักไปยังเว็บเซิร์ฟเวอร์ของคุณ
- สแกนคำขอ POST ในข้อความว่า "โอเค" 200 ข้อความ คุณจะระบุได้ด้วยการติดต่อครั้งแรกกับไฟล์แฮ็กเกอร์ที่รู้จัก – POST นั้นเป็นไฟล์อัปโหลด ที่อยู่ IP ที่ส่งคำขอ POST จะส่งคำขอเดียวไปยังสคริปต์แฮ็กเกอร์ที่อัปโหลดใหม่ ด้วยเหตุนี้ เว็บไซต์อื่นๆ จึงเริ่มติดต่อกับไฟล์เดียวกัน ด้วยเหตุนี้ คุณจะสามารถตรวจจับตำแหน่งของไฟล์ที่ถูกบุกรุกและลบออกได้ก่อนที่จะอัปโหลดเว็บไซต์ของคุณกลับสู่เว็บ
เว็บไซต์ Joomla ของคุณถูกแฮ็กหรือไม่ ฝากข้อความถึงเราที่นี่หรือพูดคุยกับตัวแทนของ Astra ตอนนี้ และเรายินดีที่จะช่วยเหลือคุณ ?
ลบ Joomla Pharma Hack
ก่อนที่คุณจะเริ่มแก้ไขเซิร์ฟเวอร์ของเว็บไซต์ Joomla เพื่อลบไฟล์แฮ็ก ขอแนะนำให้สำรองข้อมูลเว็บไซต์ของคุณอย่างเหมาะสมเพื่อไม่ให้ข้อมูลสูญหาย . จากนั้น คุณต้องตรวจสอบให้แน่ใจด้วยว่าระบบคอมพิวเตอร์ที่โฮสต์เว็บไซต์ของคุณไม่ได้ติดซอฟต์แวร์ที่อาจไม่เป็นที่ต้องการ เช่น ไวรัส สปายแวร์ หรือมัลแวร์อื่นๆ สแกนพีซีที่มีสิทธิ์ของผู้ดูแลระบบที่มอบให้
หลังจากทำการสแกนทั้งหมดแล้ว จำเป็นต้องตรวจสอบความปลอดภัยของข้อมูลประจำตัวสำหรับบัญชี FTP บัญชีอีเมล และฐานข้อมูลของคุณ ขอแนะนำให้ปิดการเข้าถึง SSH สำหรับผู้ใช้ FTP และล็อกการเข้าถึง SSH ไปยังที่อยู่ IP ที่อนุญาตพิเศษเฉพาะ
โพสต์สิ่งนี้ ขอแนะนำให้ลบเว็บไซต์ Joomla ของคุณออกจากเว็บและดำเนินการดังต่อไปนี้สำหรับไฟล์ลบ Joomla pharma hack ในไดเรกทอรีของเว็บไซต์ของคุณ:
ล้างตารางฐานข้อมูล
ลบคำหลัก เนื้อหา เพย์โหลดใดๆ ที่เป็นสแปมที่คุณพบในการสแกน จากตารางฐานข้อมูล .
ล้างไฟล์คอร์
ตรวจสอบการแก้ไขทั้งหมดที่ติดธง ในไฟล์หลัก ในผลการสแกน เปรียบเทียบไฟล์ที่มีสำเนาที่ดีและทำการเปลี่ยนแปลงที่จำเป็น
บันทึกการตรวจสอบผู้ใช้
ลบ ผู้ใช้/ผู้ดูแลระบบที่ไม่รู้จัก , ถ้ามี. เป็นไปได้ว่าผู้โจมตีสร้างหลายโปรไฟล์เป็นผู้ใช้หรือเพิ่มตัวเองเป็นผู้ดูแลระบบ ตรวจสอบบันทึกของผู้ใช้และผู้ดูแลระบบอย่างระมัดระวัง และนำออกเพื่อบล็อกการเข้าถึง
ลบแบ็คดอร์
กำจัดแบ็คดอร์ที่เป็นไปได้ แฮกเกอร์มักจะทิ้งแบ็คดอร์ไว้เบื้องหลังเพื่อเข้าถึงเว็บไซต์ซ้ำๆ สถานที่ทั่วไปบางแห่งที่คุณสามารถหาแบ็คดอร์ได้ ได้แก่ base64, str_rot13, gzuncompress, gzinflate, eval, exec, create_function, location.href, curl_exec, stream เป็นต้น
บล็อกรายการ
นอกจากนี้ โดยปกติเราจะใส่สคริปต์ที่-
- บล็อกการเชื่อมต่อจาก user-agent ที่น่าสงสัย
- ตรวจจับความพยายามของแฮ็กเกอร์ในการเข้าถึงไฟล์และบล็อกผู้เยี่ยมชมเหล่านั้นอย่างถาวร
- บัญชีดำที่อยู่ IP ที่เป็นอันตราย
การป้องกัน Joomla Pharma Hack:สรุป
ไม่มีสิ่งใดในเวิลด์ไวด์เว็บที่ปลอดภัย มันถูกแฮ็กหรือกำลังรอการแฮ็ค ในฐานะผู้ดูแลเว็บไซต์ คุณสามารถทำตามขั้นตอนที่เหมาะสมเพื่อป้องกัน Joomla pharma hack ได้ คือ:
- ลดโอกาสในการแฮ็คที่ประสบความสำเร็จ ในกรณีของเรา แฮ็ค Joomla Pharma
- เร่งกระบวนการกู้คืนเมื่อคุณยอมจำนนในบางจุด
อัปเดต CMS ของคุณแล้ว
สิ่งที่สำคัญที่สุดที่ผู้ดูแลเว็บ Joomla สามารถทำได้คือการทำให้ไซต์การจัดการเนื้อหาเป็นปัจจุบันอยู่เสมอ พวกเขาต้องจำไว้ว่าไม่ใช่ทั้งบทความและรูปภาพที่ช่วยสร้างเว็บไซต์ Joomla ของคุณ แต่เป็นเว็บไซต์การจัดการเนื้อหาที่นี่คือวิธีที่คุณสามารถป้องกันไม่ให้เว็บไซต์ Joomla ถูกแฮ็กได้
คอยดูส่วนเสริม
นอกเหนือจากนี้ เป็นสิ่งสำคัญที่คุณจะต้องตรวจสอบการทำงานของส่วนเสริมของคุณ อัปเดตส่วนเสริม ธีม และเทมเพลตทั้งหมดให้เป็นเวอร์ชันล่าสุดและปลอดภัยที่สุด
ขจัดช่องโหว่
การมีอยู่ของความผิดปกติหรือข้อบกพร่องในเว็บไซต์ Joomla ของคุณสามารถให้หน้าต่างแฮ็กเกอร์เพื่อวางไฟล์และดำเนินการแฮ็ค Joomla pharma ตรวจสอบส่วนเสริมที่อนุญาตให้ผู้เยี่ยมชมอัปโหลดไฟล์ ตรวจสอบให้แน่ใจว่ามีความฉลาดพอที่จะตรวจพบว่ากำลังอัปโหลดไฟล์ประเภทที่ถูกต้องหรือไม่
ใช้ยูทิลิตี้ไฟร์วอลล์สำหรับเว็บแอปพลิเคชันเช่น Astra
ในท้ายที่สุด คุณสามารถพึ่งพายูทิลิตี้ไฟร์วอลล์ของเว็บแอปพลิเคชันเช่น Astra และไม่ต้องกังวลเรื่องความปลอดภัยของเว็บไซต์ Joomla ของคุณ ยูทิลิตีนี้ปกป้องเว็บไซต์ของคุณจากมัลแวร์หลายประเภทโดยการสแกนและลบออกตามเวลาจริง มันทำการตรวจสอบไฟล์สแปมเป็นประจำที่สร้างขึ้นในไดเรกทอรีเว็บไซต์ของคุณ และพยายามลบออกโดยไม่ทำให้เว็บไซต์ Joomla ของคุณเสียหาย
สำหรับบทความเพิ่มเติมเกี่ยวกับ Joomla Security โปรดไปที่ส่วนนี้ของบล็อก Astra Security . คุณจะพบช่องโหว่หรือปัญหาด้านความปลอดภัยอื่นๆ ที่อาจเกิดขึ้นบนเว็บไซต์ Joomla ของคุณ