Joomla 2.5.14 Tietoturva!?

Mitenkäs mahtaa olla mahdollista, että viimeisimmän version Joomla sivusto jossa on asennettuna Akeeban admintools, Akeebabackup sekä jHackguard voidaan hakkeroida spammibottia käyttämään palvelimella. Sivulla muita komponentteja: JCE editori, Phocamaps komponentti sekä plugari, jcrawler(voiko tämä olla riski), swMenufree. Yksikään noista ei löydy haavoittuvien listalta.

Tämä hakkerointi on nyt toisella sivustolla samalta serveri palveluntarjoajalta. Ensimmäinen sivusto oli jätetty 1.5.x versioon joten sen ymmärrän kyllä mutta että nyt viimeisimmän version Joomla sivusto hakkeroitu... joku haiskahtaa ja pahasti!

Onko sivusto migroitu hakkeroidusta sivustosta? Onko samalla palvelimella vielä vanha 1.5 sivusto?

JCE voi myös olla syynä, onko se päivitetty oikein? siinä on aika usein haavoittuvuuksia..

Jos sivusto hakkeroidaan siitä on aina ja ehdottomasti ilmoitettava palveluntarjoajalle.

Palveluntarjoaja pystyy (todennäköisesti) palvelimen lokeista näkemään miten hakkerointi on tehty.

Koko tämän vuoden ehdottomasti yleisin hakkerointitapa on ollut käyttää haavoittuvaa JCE versiota.

Erittäin yleinen lienee myös ns. "Apache symlink security issue", mutta meillä sitä ei esiinny, ja jos sitä joku pääsee käyttämään niin silloin yleensä kutakuinkin kaikki palvelimen sivustot hakkeroidaan.

Melko yleistä on myös se, että FTP tunnukset ja salasanat joutuvat vääriin käsiin, yleensä siten että käyttäjän koneella on haittaohjelma.

Mitä suosittelette käytettäväksi tekstieditorina? Jos tuo JCE on hakkerien syynissä niin käytättekö te jotain muuta itse?

Itseasiassa haittakoodia löytyi sivuston html kansion juureen jätetyn vanhan basic html sivuston kansioista. Eli ilmeisesti oli ftp tiedot päässeet livahtamaan.

JCE on ihan hyvä, eikä mitenkään erityisesti hakkereiden syynissä. Vanhasta versiosta löytyi havoittuvuus ja sitä käytettiin hyväksi kun ihmiset ei tuota haavoittuvuutta paikanneet. Suurin osa JCE:n kautta hyökätyistä sivuista oli myös Joomla 1.5 versioita, joissa ei ollut automaattista ilmoitusta päivityksistä.

Henkilökohtainen mielipiteeni on, että voit huoletta käyttää niin Joomlaa kuin JCE:tä, kunhan pidät päivitykset ja varmuuskopiot kunnossa. Jos käytössä on myös Akeeba Admin Tools ja Jhackguard, niin sanoisin että on erittäin epätodennäköistä, että Joomlan kautta tultaisiin sisään. Yleensä haavoittuvuudet on sitten muualla.

Noviisi esittää tyhmän kymysyksen eli mistä voi tietää että spammibotti on asettunut sivuille jos palveluntarjoaja ei siitä infoa? Herjaako esim. Admin Tools tästä vai?

Minuun otti palveluntarjoaja yhteyttä. Koska teen sivustoja työkseni eikä kaikki halua ylläpitoa minun kauttani hoitaa niin valitettavasti näitä on sattunut pariinkin otteeseen, koska ihmiset eivät viitsi päivitellä sivustojaan enkä vapaa-ajallani viitsi käydä tekemieni sivustojen päivitystilannetta seuraamassa.

Minulla Admin Tools on välillä laittanut tälläistä emailia:

We would like to notify you that a security exception was detected on your site, with the following details:

IP Address: xxx.xxx.xxx.xxx
Reason: Spammer (via HTTP:BL)

If this kind of security exception repeats itself, please log in to your site's back-end and add this IP address to your Admin Tools's Web Application Firewall feature in order to completely block the misbehaving user.

Näitä emaileja tulee 20-30kpl / viikossa.
Laittelen näitä ip osoitteita admin toolsin ip block listalle, mutta eipä tuo paljoa tunnu auttavan kun spammerin ip osoite aina vaihtuu..

Onko tuo normaalia vai onko sivuilla spammibotti?
Palveluntarjoaja ei ole spammiboteista valittanu.

Ihan normaalia on! Admin Toolssin kehittäjän vastaus tällä enkuksi

www.akeebabackup.com/support/admin-tools/9983-very...n-my-website-please-guide.html