Zoearth Joomla Site

台中阿任的Joomla網站

大家好!

最近突然遇到駭客進入網站的事件，覺得蠻特別的

跟大家分享一下。

 

 

 

我發現我突然無法登入我的網站後台，覺得蠻奇怪的(前台一切正常)，所以我就進去資料庫看一下，發現密碼居然被修改了!那我也發現其實他把密碼改成 MD5 格式，一般joomla密碼格式並不是 MD5格式，但是joomla 是允許MD5格式密碼(其實這也算是一種漏洞)，所以駭客取得修改資料庫權限後，修改了密碼與帳號，然後登入後台。

 

 

那...駭客是如何取得密碼呢?又如何連線DB修改密碼呢?在joomla程式中，DB密碼是記錄在 configuration.php 裡面，他是如何取得該檔案內容呢?

要知道駭客的手法，就必須先看LOG。

 

我在伺服器的存取LOG中發現一個訊息

 

38.130.96.86 - - [11/Jul/2016:05:15:06 +0000] "GET / HTTP/1.1" 301 20 "http://被駭客入侵網址/templates/wpmass.php?do=pass_change" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0"

 

就是說，有人從我這邊網站301轉址轉到

這邊過去了!

 

然後我去存取 http://被駭客入侵網址/

發現被駭了!(變成救救敘利亞網頁...)

然後

變成一個駭客工具網頁

很明顯的可以看到，其實牠攻擊的都是針對 套裝CMS 去做，這邊並不是說套裝CMS不好，而是說，不管用什麼 framework 或是 CMS 系統，都必須注意以及關注是否有漏洞的新聞，並且加以修復。

 

而且其實他這程式線上也有，大家可以參考這邊:

 

這網站其實很神奇的是，他這邊已經取得檔案修改權限以及資料庫密碼，所以我們也可以明白駭客的手法了

1.入侵一個網站(猜中密碼或使用漏洞)

2.上傳駭客程式(用程式內的手法，例如安裝檔或是修改模板功能)

3.攻擊同一台伺服器上的所有網站

4.修改DB密碼，登入你的網站後台

5.重複第二步(留後門，即使之後檔案修復，有些沒注意的網站仍然可以使用該後門)

也就是一個網站中標，同伺服器都會中標= =

 

1.比對程式或是還原程式(務必確認檔案正確!)

2.修改密碼與帳號(避免使用admin 或是網址這種帳號)

3.修補漏洞加強安全性(例如我在寫一個外掛禁止修改後密碼直接登入後台)

 

至於其他的漏洞，就必須伺服器服務商要幫忙配合了，例如:PHP禁止存取非本網域以外資料夾，有些主機商的安全性的觀念比較...還在...學習中。

 

以上就是我這次被駭客入侵的經驗，給大家參考囉!

感恩!有問題大家可以一起討論。