web-dev-qa-db-fra.com

Comment ce site aurait-il pu être infecté?

Je gère un petit site Web sur certaines versions de Joomla 1.5. Il semble qu’aujourd’hui il ait été piraté: les fichiers index.php et index2.php ont été écrasés, le mot de passe du compte administrateur a été modifié et le dossier images contient un fichier exécutable probablement malveillant.

J'ai pu restaurer les pages index avec une sauvegarde et réinitialiser l'utilisateur admin avec un autre compte d'utilisateur privilégié.

Comme je ne suis pas un expert dans ce domaine, ma question est la suivante: Comment ce site a-t-il pu être infecté? Comme dans: Comment était-il possible de supprimer et de remplacer certains fichiers et de stocker un fichier? exécutable dans un dossier. Comment quelqu'un pourrait-il changer le mot de passe de l'administrateur tout en laissant le reste inchangé?

(Je suis très conscient de l'importance d'installer des mises à jour de version de base. Je suis plus intéressé par la façon dont une telle attaque aurait pu être exécutée.)

Merci pour toute réponse perspicace.

phpjoomlamalwarehacking
1
slhck

Un attaquant aurait pu accéder au site de plusieurs manières. Voici quelques possibilités communes:

  1. L’attaquant a eu accès au serveur via FTP ou un autre canal de publication/administration disponible. Il existe peut-être un mot de passe faible et l'accès a été obtenu via une attaque par force brute, ou peut-être par le biais de l'ingénierie sociale, le mot de passe a été obtenu. Vérifiez le journal de sécurité du serveur (bien que l'attaquant puisse avoir eu l'accès pour supprimer le journal).

  2. Le site Web peut comporter des vulnérabilités XSS ou d’autres défauts de code. Par exemple, le code peut être associé à une injection SQL ou PHP peut effectuer des appels system formés avec des données utilisateur.

  3. Joomla peut avoir des vulnérabilités connues. Assurez-vous que toutes les mises à jour de sécurité sont appliquées.

Bonne chance!

1
Jacob

Je l'ai vu plusieurs fois. Il n'est pas toujours possible de savoir ce qui s'est passé, mais dans plusieurs cas, une machine contenant les détails FTP a été infectée par un type de virus/virus, qui utilise les détails FTP pour se connecter au serveur et infecter la machine.

0
nthonygreen

Vous devez voir les journaux de votre serveur Web. Vous y trouverez suffisamment d'informations sur l'intrusion. Il a été piraté via le Web, et donc tous dans les journaux Apache (ou un autre serveur que vous utilisez)

0
RusAlex