[Joomla3][程式][駭客][心得]我的網站被駭客了!!

日期:2016/07/13

大家好!
最近突然遇到駭客進入網站的事件,覺得蠻特別的
跟大家分享一下。
 
 
 
發現:
我發現我突然無法登入我的網站後台,覺得蠻奇怪的(前台一切正常),所以我就進去資料庫看一下,發現密碼居然被修改了!那我也發現其實他把密碼改成 MD5 格式,一般joomla密碼格式並不是 MD5格式,但是joomla 是允許MD5格式密碼(其實這也算是一種漏洞),所以駭客取得修改資料庫權限後,修改了密碼與帳號,然後登入後台。
 
思考:
 
那...駭客是如何取得密碼呢?又如何連線DB修改密碼呢?在joomla程式中,DB密碼是記錄在 configuration.php 裡面,他是如何取得該檔案內容呢?
要知道駭客的手法,就必須先看LOG。
 
我在伺服器的存取LOG中發現一個訊息
 
38.130.96.86 - - [11/Jul/2016:05:15:06 +0000] "GET / HTTP/1.1" 301 20 "http://被駭客入侵網址/templates/wpmass.php?do=pass_change" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0"
 
就是說,有人從我這邊網站301轉址轉到
http://被駭客入侵網址/templates/wpmass.php?do=pass_change
這邊過去了!
(為了保護當事人,不公布被駭客網站)
 
然後我去存取 http://被駭客入侵網址/
發現被駭了!(變成救救敘利亞網頁...)
然後
http://被駭客入侵網址/templates/wpmass.php?do=pass_change
變成一個駭客工具網頁
很明顯的可以看到,其實牠攻擊的都是針對 套裝CMS 去做,這邊並不是說套裝CMS不好,而是說,不管用什麼 framework 或是 CMS 系統,都必須注意以及關注是否有漏洞的新聞,並且加以修復。
 
而且其實他這程式線上也有,大家可以參考這邊:
 
手法:
這網站其實很神奇的是,他這邊已經取得檔案修改權限以及資料庫密碼,所以我們也可以明白駭客的手法了
1.入侵一個網站(猜中密碼或使用漏洞)
2.上傳駭客程式(用程式內的手法,例如安裝檔或是修改模板功能)
3.攻擊同一台伺服器上的所有網站
4.修改DB密碼,登入你的網站後台
5.重複第二步(留後門,即使之後檔案修復,有些沒注意的網站仍然可以使用該後門)
也就是一個網站中標,同伺服器都會中標= =
 
解決:
1.比對程式或是還原程式(務必確認檔案正確!)
2.修改密碼與帳號(避免使用admin 或是網址這種帳號)
3.修補漏洞加強安全性(例如我在寫一個外掛禁止修改後密碼直接登入後台)
 
至於其他的漏洞,就必須伺服器服務商要幫忙配合了,例如:PHP禁止存取非本網域以外資料夾,有些主機商的安全性的觀念比較...還在...學習中。
 
以上就是我這次被駭客入侵的經驗,給大家參考囉!
感恩!有問題大家可以一起討論。
 

相關文章

[joomla]如何修改 網站離線的模板

[PHP]joomla3 撰寫新的欄位外掛時的注意事項

留言板

歡迎留下建議與分享!希望一起交流!感恩!

comments powered by Disqus