Computer >> 컴퓨터 >  >> 네트워킹 >> 네트워크 보안

Joomla 맬웨어 및 해킹 제거에 대한 전체 가이드 – 해킹된 Joomla 웹사이트 수정

Joomla는 WordPress 다음으로 가장 인기 있는 CMS이며 정기적으로 해커의 표적이 됩니다. 아래 그래프는 XSS가 WordPress와 같은 Joomla에서 공격자가 악용하는 가장 일반적인 취약점임을 보여줍니다. Joomla 해킹의 다른 이유는 코드 삽입, SQLi 등입니다.

이 가이드는 해킹된 Joomla 웹사이트에서 맬웨어를 제거하기 위한 리소스를 찾고 있는 경우에 유용합니다. 찾고 계신다면 아래 링크를 따라가세요

  • Joomla 보안 가이드

해킹된 Joomla 웹사이트는 심각한 문제가 될 수 있습니다. 하지만 Joomla 해킹 제거 프로세스를 시작하기 전에 해킹된 Joomla 사이트에서 나타나는 증상을 빠르게 살펴보겠습니다.

해킹된 Joomla 웹사이트의 징후

  • Google 검색에 '해킹된 사이트일 수 있음이 표시됩니다. ' 메타 설명에서.
  • 백그라운드에서 암호화폐 채굴.
  • 스팸으로 리디렉션되는 웹사이트
  • 인덱스 페이지가 훼손되거나 Joomla 해킹으로 대체되었습니다.
  • 관리자 계정에서 로그아웃합니다.
  • 새 관리자가 나타납니다.
  • 페이지 로딩이 느리거나 부피가 커집니다.
  • 이전에 존재하지 않았던 스팸이 사이트에 나타나기 시작합니다.
  • 사이트가 '악성코드로 인해 Google에서 블랙리스트에 추가됨 ' 또는 '피싱 '.
  • 이 스팸에는 광고와 원치 않는 리디렉션도 포함됩니다.
  • 사이트에 부자연스러운 트래픽 증가가 발생했습니다. Google 웹마스터 도구를 사용하여 이 모든 것을 확인할 수 있습니다.
  • CMS 또는 기타 소프트웨어가 손상되었을 수 있습니다. 특히 방화벽!
Joomla 맬웨어 및 해킹 제거에 대한 전체 가이드 – 해킹된 Joomla 웹사이트 수정 Joomla 맬웨어 및 해킹 제거에 대한 전체 가이드 – 해킹된 Joomla 웹사이트 수정

Joomla 해킹 및 맬웨어 제거 프로세스

Google 및 기타 검색 엔진의 블랙리스트 경고, 비정상적인 브라우저 동작, 수정된 파일 및 Joomla 대시보드의 악의적인 새 사용자의 존재와 같은 특정 공통 지표는 해킹된 Joomla 웹사이트를 나타냅니다. 아래는 해킹된 Joomla 사이트를 식별하고 정리하기 위한 가이드입니다.

  1. 해킹 식별

    Joomla 사이트를 스캔하여 악성코드 위치와 악성 페이로드를 식별합니다. Astra의 통합 Joomla 보안은 해킹된 Joomla 사이트를 적시에 모니터링하고 식별할 수 있도록 합니다.

    그런 다음 코어 파일을 포함하여 수정된 파일이 있는지 확인합니다. SFTP를 통해 수동으로 파일을 확인하면 됩니다.

    악의적인 사용자 계정 및 관리자에 대한 감사.

    귀하의 Joomla 사이트가 Google 또는 기타 웹사이트 보안 당국에 의해 차단된 것으로 표시되는 경우 Joomla!의 보안 상태를 확인할 수 있습니다. 그들의 진단 도구를 사용하여 웹사이트. Google 투명성을 확인하려면 볼 수 있는 세이프 브라우징 사이트 상태 웹사이트를 방문하세요.

    • 현장 안전 세부정보 악성 리디렉션, 스팸 및 다운로드에 대한 정보를 제공합니다.
    • 테스트 세부정보 멀웨어를 발견한 가장 최근의 Google 검사에 대해 알려줍니다.

      Google 웹마스터 센터, Bing 웹마스터 도구, Norton SafeWeb과 같은 무료 보안 모니터링 도구를 사용하여 웹사이트의 보안 보고서를 확인하세요.

      관련 블로그 – 검색 엔진 블랙리스트

  2. Joomla 해킹 수정

    잠재적인 맬웨어 위치, 손상된 사용자 및 위협 평가에 대한 정보를 얻으면 전체 웹 사이트 정리를 선택하십시오. 감염된 파일을 이전 백업과 비교하여 수정 범위를 평가하고 악의적인 변경 사항을 제거합니다. PHPMyAdmin과 같은 데이터베이스 관리 패널 또는 Search-Replace-DB와 같은 도구를 사용하여 해킹된 Joomla 데이터베이스를 정리합니다. 또는 관리자.

    다음 단계는 모든 사용자 계정을 보호하는 것입니다. 종종 해커는 웹 사이트가 정리된 후에도 다시 액세스하기 위해 여러 백도어를 남깁니다. 백도어는 일반적으로 합법적으로 보이는 파일에 포함되지만 잘못된 디렉토리에 있습니다. 따라서 백도어에서 파일을 철저히 정리하는 것이 필수적입니다. 그렇지 않으면 재감염의 위협이 있습니다.

    1. 데이터베이스 정리

    먼저 감염된 데이터베이스에서 치료를 시작하십시오. Joomla SQL 주입은 새로운 데이터베이스 사용자를 생성할 수 있습니다. 특정 날짜 이후에 생성된 새 사용자를 찾으려면 다음 코드를 사용하십시오.

    Select * from users  as u

    AND u.created > UNIX_TIMESTAMP(STR_TO_DATE('My_Date', '%M %d %Y '));

    불량 사용자가 발견되면. 따라서 SQL 문 Drop User;을 사용하여 삭제합니다. .이뿐만 아니라 향후 감염을 방지하기 위해:

    • 사용자 입력을 살균합니다.
    • 데이터베이스 권한을 계정으로 제한합니다.
    • 데이터베이스 오류 공개를 로컬로만 차단합니다.
    • 가능한 경우 유형 캐스팅을 사용합니다.

      2. 서버 보안

      설치가 안전한 경우에도 오류 서버로 인해 Joomla 해킹이 발생할 수 있습니다. Joomla 보안 문제의 큰 목록이 있지만. 기억해야 할 주요 사항은 다음과 같습니다.

    • 열린 포트를 모두 닫습니다.
    • 사용하지 않는 하위 도메인을 제거합니다.
    • 구성 문제를 정기적으로 확인합니다.
    • 서버를 공유하는 경우 서브넷으로 이동합니다. 또는 VPN을 사용하세요.
    • 정보 유출 오류 메시지를 차단합니다.
    • FTP 계정과 데이터베이스에 강력하고 임의의 암호를 지정하십시오!
    • 방화벽이나 일종의 보안 솔루션을 사용하고 있는지 확인하십시오.

      3. 권한 설정

    • 주로 사용자가 .php와 같은 실행 파일을 업로드할 수 없도록 합니다. .aspx 등. 이미지 파일만 서버에 업로드됩니다.
    • 이제 서버에 대한 파일 권한 설정으로 이동합니다. 아마도 가장 민감한 파일은 .htaccess 파일일 것입니다. 따라서 적절한 파일 권한을 설정합니다. .htaccess 설정 444 (r–r–r–)에 대한 권한 또는 440 (r–r—–) .
    • 또한 PHP 파일을 덮어쓸 수 없는지 확인하십시오. 따라서 *.php 를 설정해야 합니다. 444 (r–r–r–)로 .
    • 가장 중요한 것은 널리 사용되는 파일 확장자를 사용하는 것입니다. Joomla는 꽤 큰 CMS이므로 대체품이 항상 있습니다. 인기 있는 확장 프로그램은 취약점이 있는 경우 업데이트를 더 빨리 받습니다. 따라서 대부분의 시간을 대중적인 수요에 맞추려고 노력하십시오!

      4. Joomla에서 수정된 파일 확인

      대부분의 경우 해커는 스팸을 주입하기 위해 파일을 수정합니다. 그것은 당신의 설치에 진짜 혼란을 일으킬 수 있습니다. 새로 설치해야 할 수도 있습니다. 이 모든 것을 방지하려면 항상 백업을 유지하십시오. Joomla Hack 이후에 파일을 분석하는 동안 diff 명령어가 유용합니다. 수정된 파일을 확인하는 데 도움이 됩니다. 모든 Joomla 파일은 Github에서 공개적으로 사용할 수 있습니다. 이것은 비교에 사용할 수 있습니다. SSH 명령으로 코어 파일 무결성을 확인하려면:

      $ mkdir joomla $ cd joomla

      먼저 joomla이라는 디렉토리를 만들었습니다. 그걸로 바꿨습니다.

      $ wget https://github.com/joomla/joomla-cms/releases/download/3.6.4/

      Joomla_3.6.4-Stable-Full_Package.tar.gz

      $ tar -zxvf Joomla_3.6.4-Stable-Full_Package.tar.gz

      wget 명령은 GitHub에서 Joomla 파일을 다운로드했습니다. 코드의 두 번째 줄

      그런 다음 추출합니다.

      $ diff -r joomla-3.6.4 ./public_html

      마지막으로 차이 여기의 명령은 내용을 비교하고 있습니다. 이번에는 우리가 찾고 있습니다

      public_html에서 파일. 마찬가지로 여러 파일을 확인할 수 있습니다. 또한 파일

      수동으로 확인할 수 있습니다. FTP 클라이언트를 사용하여 로그인하고 파일을 확인하기만 하면 됩니다. SSH

      파일 수정 사항을 나열할 수 있습니다.

      $ find ./ -type f -mtime -15
      여기에서 이 SSH 명령어는 지난 15일 동안 수정된 파일을 표시합니다. 마찬가지로, 당신은

      타임스탬프를 변경할 수 있습니다. 최근에 수정된 파일을 찾아보세요!

      5. 사용자 로그 확인

      시스템 로그는 Joomla 해킹의 원인을 식별하는 가장 좋은 도구입니다. 시스템 로그 기록

      이전에 있었던 모든 활동. 따라서 XSS 또는 SQL 주입이 발생할 때마다

      항상 요청에 대한 기록이 있습니다. 또한 해커는 새 관리자 계정을 만드는 경향이 있습니다. 의심스러운 사용자가 있는지 확인하려면 다음을 수행하십시오.

    1. 먼저 Joomla 대시보드에 로그인합니다. .
    2. 이제 사용자를 클릭합니다. 관리를 선택합니다. .
    3. 여기에서 의심스러운 사용자를 확인하십시오. 특히 최근에 등록한 사람들이 그렇습니다.
    4. 이제 제거로 이동합니다. 알 수 없는 사용자.
    5. 또한 마지막 방문 날짜도 확인하세요. .
    6. 서버 로그가 저장되는 위치를 찾습니다. Joomla SQL 주입 등을 식별하는 데 사용합니다.
    7. 알 수 없는 IP에서 로그인하는 사용자가 보이면 제거하십시오.

      또한 원인을 찾기 위해 Google 진단 보고서를 사용합니다. 포괄적인 보기를 제공합니다.

      당신의 사이트의. 사이트가 블랙리스트에 있는 경우 Google과 긴밀히 협력하세요. 진단 보고서는

      당신이 블랙리스트의 원인입니다. 감염을 찾아 제거하는 데 사용하십시오!

Joomla 해킹 제거 후 무엇을 해야 하나요?

업데이트

대부분의 경우 Joomla 해킹은 패치되지 않은 파일로 인해 발생합니다. 따라서 해킹 후 정리를 수행하는 첫 번째 단계는 Joomla 업데이트입니다. 업데이트는 기본적으로 취약한 확장을 제거하고 보안 허점을 채워 안전한 환경을 제공합니다.

현재 Joomla 버전 3.x 가장 안정적인 메이저 버전입니다. 1.x 및 2.x 분기를 사용하는 사용자는 즉시 3.x로 전환해야 합니다.

주요 버전 업데이트 외에 모든 Joomla 핵심 파일, 구성 요소, 템플릿, 모듈 및 플러그인도 업데이트합니다.

재설치

해킹 후 모든 확장 프로그램이 제대로 작동하고 맬웨어가 남아 있지 않은지 확인하기 위해 모든 확장 프로그램을 다시 설치하는 것이 좋습니다. 또한 웹 서버에서 사용되지 않는/비활성화된 테마, 구성 요소, 모듈 또는 플러그인을 제거합니다. 때때로 우리는 이러한 버려진 모듈 및 플러그인과 관련된 파일을 삭제하는 것을 잊습니다. 이것은 여전히 ​​허점을 남길 수 있습니다. 따라서 심각한 취약점이 포함되어 있을 수 있으므로 파일도 제거해야 합니다.

해킹된 Joomla 사이트를 정리한 후 백업하십시오. 우수한 백업 전략을 수립하는 것이 최상의 보안 사례의 핵심입니다. 백업을 서버에 저장하면 해킹으로 이어질 수 있으므로 오프사이트 위치에 백업을 저장합니다.

마지막으로 좋은 바이러스 백신으로 시스템을 검사하는 것이 좋습니다. 감염된 컴퓨터를 가진 사용자가 귀하의 웹사이트에 액세스할 경우 시스템이 손상될 가능성이 있습니다. 기본적으로 악의적인 사용자나 웹의 맬웨어 위협으로부터 사이트를 보호하는 웹사이트 방화벽을 사용하여 사이트를 보호합니다. Astra의 웹 애플리케이션 방화벽은 모든 온라인 위협을 완화하고 멀웨어를 차단합니다.

재설정

재감염을 방지하려면 모든 비밀번호를 재설정하십시오. 사용자 계정에 이중 인증을 설정했는지 확인하십시오. 또한 최소 권한을 실행하고 특정 작업을 수행해야 하는 사람들에게 제한된 액세스 권한을 부여하십시오.

Joomla Post 해킹 보안 팁

다음 보안 사례를 구현하면 대부분의 공격으로부터 Joomla 사이트를 보호할 수 있습니다.

  1. Joomla 버전, 확장 및 플러그인을 정기적으로 업데이트:

    보안 Joomla 사이트는 정기적으로 업데이트되는 사이트입니다. 모든 버전 업데이트는 보안 강화 및 버그 수정과 함께 릴리스됩니다. Joomla의 오래된 버전이나 다른 오래된 확장/플러그인은 해커에게 몰래 들어갈 수 있습니다.

  2. 강력한 비밀번호 사용 :

    약한 자격 증명은 궁극적으로 무차별 대입 을 통해 유출될 수 있습니다. 일반적인 보안 허점으로 작용하여 보안이 손상됩니다. 쉽게 추측할 수 있는 비밀번호와 기본 관리자 계정을 통해 가해자는 Joomla 웹사이트에 대한 불법적인 액세스를 쉽게 얻을 수 있으며, 따라서 많은 악의적인 활동에 노출될 수 있습니다. 여러 문자가 포함된 긴 길이의 암호를 사용하면 짧은 암호보다 안전한 암호를 만들 수 있습니다.

  3. 정기 백업:

    파일과 데이터베이스의 아카이브를 정기적으로 백업하면 문제가 발생할 경우에 대비할 수 있습니다. Easy Joomla Backup과 같은 일부 확장 프로그램은 해킹으로 인한 데이터 손실의 경우 나중에 복원할 수 있는 자동 예약 백업을 제공합니다.

  4. 관리자 페이지에 대한 액세스 제한:

    가해자는 쉽게 추측할 수 있는 관리자 로그인 페이지에 대해 무차별 대입 공격에 의존하는 경우가 많습니다. 따라서 관리자 영역에 대한 액세스를 제한하는 것이 필수적입니다. 기본 관리자 로그인 페이지 URL을 사용하지 말고 특정 이름으로 바꾸는 것이 좋습니다. 또한 관리자 패널은 비밀번호로 보호되어야 합니다. 관리 도구, RSFirewall 등과 같은 확장을 통해 Joomla 사이트 소유자는 로그인 페이지 URL을 변경할 수 있습니다.

  5. 보안 확장:

    보안 확장을 사용하면 Joomla 사이트를 안전하게 보호할 수 있습니다. 이러한 확장을 사이트와 함께 적절하게 구성하면 모든 종류의 악의적인 활동을 차단하고 보안 허점을 은폐할 수 있습니다. 확장 프로그램을 사용하면 해커 공격을 차단하고 Joomla 사이트의 보안 허점을 닫을 수 있습니다.

  6. 2단계 인증 사용:

    이중 인증 코드(일반적으로 일회용 비밀번호:OPT로 알려짐)는 Joomla 사이트를 더욱 안전하게 만듭니다. 비밀번호가 유추되거나 유출된 경우에도 계정에 불법적으로 액세스하려면 인증 코드를 통과해야 합니다.

  7. 손상된 다운로드에 주의:

    인증되지 않았거나 비공식 소스에서 프리미엄 확장, 플러그인 또는 항목을 무료로 다운로드하지 마십시오. 출처를 알 수 없는 플러그인이 손상되었거나 사이트에 피해를 줄 수 있는 맬웨어가 포함되어 있을 수 있습니다. 여기에 돈을 저축하는 것을 고려하지 말고 진정한 출처에 지출하십시오.

  8. SSL 인증:

    사용자가 사이트에 로그인할 때마다 사용자의 자격 증명이 암호화되지 않은 서버로 전송됩니다. SSL 인증서를 사용하여 이러한 자격 증명은 서버로 보내기 전에 암호화됩니다. 이러한 방식으로 SSL 인증은 Joomla 웹사이트에 대한 추가 보호 계층을 제공합니다.

  9. FTP 계층 비활성화:

    FTP 계층은 일반적으로 Joomla에서 필요하지 않으며 기본적으로 비활성화되어 있습니다. 활성화된 FTP 레이어는 Joomla 사이트의 주요 보안 허점이므로 그대로 유지해야 합니다.

  10. 적절한 파일 및 디렉토리 권한:

    항상 파일 및 디렉토리에 대한 권한을 관리하고 권한 777에 대한 전체 액세스 권한을 부여하지 마십시오. 전체 액세스 또는 권한 777을 부여하지 말고 폴더에 755, 파일에 644, configuration.php 파일에 444를 사용하십시오.