Joomla는 PHP와 MySQL을 기반으로 하는 두 번째로 널리 사용되는 오픈 소스 콘텐츠 관리 시스템입니다. 더 나은 사용자 관리, 비표준 콘텐츠 표시의 유연성 및 내장된 다국어 지원과 같은 유리한 기능을 제공합니다. 그러나 이 웹에서 인기 있는 모든 것은 보안 위험을 수반합니다. 그리고 Joomla도 예외는 아닙니다. 따라서 이 기사에서는 Joomla 웹사이트와 관련된 보안 문제 중 하나인 Joomla pharma hack에 대해 자세히 설명합니다.
웹에서 이 해킹에 대한 방법을 거의 알려주지 않는 기사가 많이 있습니다. 그러나 이 기사를 읽은 후에는 Joomla pharma hack에 대한 포괄적인 개요를 얻을 수 있으므로 도움이 될 것입니다.
관련 문서 – Joomla 해킹:증상, 취약점 및 수정 사항
Joomla Pharma Hack이란 무엇입니까?
Pharma hack은 기본적으로 합법적인 웹사이트에서 의약품, 특히 발기 부전 관련 치료를 홍보하기 위해 수행되는 검은 모자 SEO입니다. 해킹은 웹사이트의 합법적인 소유자의 주의를 건너뛰는 방식으로 웹사이트에서 이러한 것들을 조장합니다. 최근에는 수십 개의 Joomla 웹사이트도 이 공격에 감염된 것으로 밝혀졌습니다. 해킹은 웹사이트 방문자에게 은폐된 것처럼 보이지만 검색 엔진 결과 페이지(SERP)의 캐시 결과를 중독시킵니다. 따라서 웹사이트 소유자에게 신고하는 것이 조금 문제가 되어 웹사이트를 더욱 공격적으로 악용하게 됩니다.
'기생충 호스팅'과 마찬가지로 블랙햇 SEO의 능력을 넘어서는 것으로, 간단히 '불법 해킹'이라고 부르기도 합니다.
Joomla Pharma Hack은 어떻게 작동하나요?
- Joomla Pharma Hack은 오래된 추가 기능이나 플러그인을 사용하는 CMS 웹사이트만을 대상으로 합니다.
- 해커는 웹 셸 업로드를 통해 Joomla 웹사이트에 액세스하거나 원격 파일 포함 취약점을 통해 강제로 로드합니다.
- Joomla 웹사이트에 들어가면 검은 모자 SEO 기술을 수행하고 Joomla 제약 해킹과 관련된 키워드를 삽입합니다.
- 브라우저가 이전과 같이 제목을 표시하므로 웹사이트 방문자가 몇 주 동안 변경 사항을 알아차리지 못합니다. 또는 새 폴더가 생성되어 파일 시스템 내에 채워집니다.
- Google 크롤러가 영향을 받는 웹사이트를 다시 크롤링하면 웹사이트는 새 키워드에 대한 검색 엔진 순위를 얻습니다.
- 하이퍼링크가 웹사이트에 삽입되고 해킹된 웹사이트에 대한 악성 링크도 추가됩니다. 이는 Joomla 제약 해킹을 심화시킵니다.
이제 사용자는 새로운 변경 사항을 인식할 수 없으므로 웹 사이트가 정상 상태를 유지하는 것을 계속 보게 됩니다. 새로운 키워드를 사용하여 해킹된 웹사이트의 상호 연결 및 상호 홍보는 전체 네트워크를 홍보합니다. 해커는 모든 악성 웹사이트에 대한 잠재적인 미래 트래픽을 구축합니다. 그러나 이 새로운 상호 연결로부터 직접적인 이익을 얻으려면 많은 시간이 걸립니다.
해킹된 웹사이트 중 하나의 코드 스니펫은 다음과 같습니다.
<script>
// <![CDATA[
function bl(){x = document.referrer;if ( (x.indexOf('viagra')!=-1)||(x.indexOf('VIAGRA')!=-1)||(x.indexOf('buy')!=-1)||(x.indexOf('Viagra')!=-1)||(x.indexOf('Buy')!=-1)||(x.indexOf('viagra')!=-1)) {location.replace("https://www.megarxpills.com/viagra.php?affid=34582011");}}bl();
// ]]>
</script>
코드는 웹 브라우저가 참조 웹사이트에 대해 가져오는 모든 세부 정보를 찾습니다. 'Viagra' 또는 'Buy'와 같은 단어가 웹사이트 방문자를 여기로 보낸 웹페이지의 URL에서 발견되면 트래픽이 megarxpills.com의 Viagra 페이지로 전송되고 크레딧은 id가 34582011인 제휴사로 이동합니다.
Joomla Pharma Hack의 의도
이러한 종류의 해킹에 대한 동기는 주로 해커에게 증가된 트래픽, 가시성 및 금전적 이득입니다. 범죄자들은 콘텐츠를 업그레이드하는 과정에서 Joomla 웹사이트의 보안 허점을 공개하는 무지한 웹 개발자를 찾습니다. 결과적으로 손상된 합법적인 웹 사이트는 해당 분야에서 명성을 잃게 되고 웹 사이트에서 해킹을 제거하는 것과 관련된 상당한 비용이 발생할 수 있습니다. 그러나 이제 Joomla 웹사이트에 보안 솔루션을 제공하는 Astra와 같은 회사가 있으므로 웹사이트 보안에 대해 확신을 가질 수 있습니다. 그렇다면 Joomla pharma hack의 증상을 찾는 방법은 무엇입니까?
Joomla Pharma 해킹 감지
Joomla pharma 해킹은 검색 엔진 결과를 독살시키므로 간단한 Google 검색은 Joomla 웹사이트가 손상되었는지 여부에 관계없이 잠재적인 정보를 드러낼 수 있습니다. 검색 결과 콘텐츠의 텍스트에 나타나는 발기 부전 치료제 또는 치료법에 대한 언급이 있을 수 있습니다.
검색 엔진 봇 사칭
검색 엔진이 Joomla 약품 해킹의 결과를 예측하는 결과를 제공하므로 Google 봇으로 가장하고 그들이 귀하의 Joomla 웹사이트를 어떻게 보는지 그들의 눈에서 살펴보도록 할 수 있습니다. 사용자 에이전트 문자열(브라우저가 방문하는 웹사이트에 자신을 식별하기 위해 보내는 텍스트)을 수정할 수 있습니다. Firefox 브라우저를 통해 설명하겠습니다. Firefox 브라우저에서 사용자 에이전트 문자열은 다음과 같이 나타납니다.
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1
이 부가 기능을 사용해야 합니다. Firefox의 이 사용자 에이전트 문자열을 변경한 다음 검색 엔진 봇으로 결과를 탐색합니다. 이것이 번거로운 옵션인 경우 Google 웹마스터 도구 내에서 'Fetch as Googlebot' 옵션을 사용하고 Joomla Pharma Hack과 연결된 키워드를 확인할 수 있습니다. .
소스 페이지 보기
모든 웹 브라우저에서 Joomla 웹사이트를 검색하고 검색 엔진 결과 페이지의 소스를 마우스 오른쪽 버튼으로 클릭하고 확인하여 Joomla Pharma 해킹을 감지할 수 있습니다.
전체 소스 페이지가 이와 같은 스팸 콘텐츠로 채워지고 있는 경우 소스 코드에 허점이 있어 스팸 파일이 Joomla 웹사이트의 어느 곳에나 주입될 수 있습니다. Joomla Pharma Hack을 찾을 수 있습니다. 페이지의 소스 코드에 존재하는 Viagra, Cialis 또는 Regalis와 같은 키워드.
명령을 사용하여 웹사이트 서버 디렉토리에서 파일 검색
다음 명령을 실행하여 웹사이트 디렉토리에서 Joomla Pharma 해킹을 확인할 수 있습니다.
- zip, gzip, rar 및 부자연스러워 보이는 기타 파일을 식별합니다. 다음 명령을 사용하여 동일한 항목을 검색할 수 있습니다.
find /home/user_account/public_html/ ( -iname "*.zip" -o -iname "*.gz" -o -iname "*.tar" -o -iname "*.jpa" -o -iname "*.rar" ) -exec ls -hog {} ;
- .htaccess 파일의 위치와 내용에 이상이 있는지 확인합니다. Joomla 웹사이트에서 .htaccess 파일을 찾는 명령은 다음과 같습니다.
find /home/user_account/public_html/ ( -name ".htaccess" ) -type f -print
- 다음 명령을 사용하여 모든 .cgi, .pl, .sh 파일을 찾습니다.
find /home/user_account/public_html/ ( -iname "*.cgi" -o -iname "*.pl" -o -iname "*.sh" ) -exec ls -hog {} ;
- 일반적으로 있어야 하는 위치에 있지 않을 수 있는 PHP 파일을 확인합니다.
- Joomla Pharma Hack을 검색하는 데 사용할 수 있는 특정 명령 파일:
find /home/user_account/public_html/ ( -name "*xmloem*.*" -o -name "*pharma*.*" -o -name "mod_joomla" -o -name "com_article" -o -name "LICESNE.php" ) -print
- grep 명령을 사용하여 base64_decode, eval, preg_replace, a/e modifier, gunzip, rot13 등 해커 파일과 관련된 파일 패턴을 검색합니다. 'base64_decode'가 포함된 줄을 검색하는 샘플 명령은 다음과 같습니다.
find /home/user_account/public_html/ ( -name "*.php" ) -type f -print0 | xargs -0 grep --binary-files=without-match -ir "base64_decodes*("
- 네트워크 로그에서 이러한 악성 파일에 액세스한 파일의 IP 주소 찾기
.php에 대한 모든 연결의 IP 주소 검색index.php이외의 파일 사이트 루트에서- 지난 2~3개월 동안의 네트워크 로그를 스캔하여 알 수 없는 IP에서 웹 서버로의 연결을 확인합니다.
- 200 'OK' 메시지에서 POST 요청을 검색합니다. 알려진 해커 파일과의 첫 번째 접촉으로 식별할 수 있습니다. POST는 기본적으로 업로드입니다. POST 요청을 하는 IP 주소는 새로 업로드된 해커 스크립트에 단일 요청을 합니다. 결과적으로 다른 웹 사이트도 동일한 파일과 접촉하기 시작합니다. 결과적으로 이제 손상된 파일의 위치를 감지하고 웹사이트를 다시 웹에 업로드하기 전에 제거할 수 있습니다.
Joomla 웹사이트가 해킹당했습니까? 여기에 메시지를 남기거나 지금 Astra 에이전트와 채팅하면 기꺼이 도와드리겠습니다.
Joomla Pharma 해킹 제거
해킹 파일을 제거하기 위해 Joomla 웹사이트의 서버를 수정하기 시작하기 전에 정보 손실이 발생하지 않도록 웹사이트를 적절하게 백업하는 것이 좋습니다 . 그런 다음 웹 사이트를 호스팅하는 컴퓨터 시스템이 바이러스, 스파이웨어 또는 기타 맬웨어와 같은 잠재적으로 원치 않는 소프트웨어에 감염되지 않았는지 확인해야 합니다. 관리 권한이 부여된 PC를 스캔합니다.
모든 스캔을 수행한 후에는 FTP 계정, 이메일 계정 및 데이터베이스에 대한 자격 증명의 보안을 확인해야 합니다. FTP 사용자에 대한 SSH 액세스를 끄고 특정 화이트리스트 IP 주소에 대한 SSH 액세스를 잠그는 것이 좋습니다.
이것을 게시하면 웹에서 Joomla 웹사이트를 삭제하고 웹사이트 디렉토리에 있는 Joomla pharma 핵 제거 파일에 대해 다음 작업을 수행하는 것이 좋습니다.
데이터베이스 테이블 정리
스캔에서 찾은 스팸성 키워드, 콘텐츠, 페이로드를 데이터베이스 테이블에서 제거합니다. .
핵심 파일 정리
코어 파일에서 플래그가 지정된 모든 수정 사항을 검토합니다. 스캔 결과에서. 좋은 사본과 파일을 비교하고 필요한 변경을 하십시오.
사용자 로그 감사
알 수 없는 사용자/관리자 삭제 , 만약에 어떠한. 공격자가 사용자로 여러 프로필을 만들거나 자신을 관리자로 추가했을 수 있습니다. 사용자 및 관리자 로그를 주의 깊게 감사하고 모든 액세스를 차단하려면 삭제하세요.
백도어 제거
가능한 백도어를 제거합니다. 해커는 웹사이트에 반복적으로 액세스하기 위해 백도어를 남겨두는 경향이 있습니다. 백도어를 찾을 수 있는 일반적인 장소는 base64, str_rot13, gzuncompress, gzinflate, eval, exec, create_function, location.href, curl_exec, stream 등입니다.
항목 차단
또한 일반적으로 다음과 같은 스크립트를 배치합니다.
- 의심스러운 사용자 에이전트의 연결 차단
- 해커가 파일에 액세스하려는 시도를 감지하고 해당 방문자를 영구적으로 차단
- 악성 IP 주소 블랙리스트
Joomla Pharma 해킹 방지:요약
World Wide Web에서 사용할 수 있는 어떤 것도 안전하지 않습니다. 해킹을 당했거나 해킹을 기다리고 있습니다. 웹사이트 관리자는 Joomla Pharma 해킹을 방지하기 위해 몇 가지 합리적인 조치를 취할 수 있습니다. 그들은:
- 성공적인 해킹(저희의 경우 Joomla Pharma 해킹)의 가능성을 최소화합니다.
- 어느 시점에서 쓰러지면 복구 프로세스를 서두르십시오.
CMS 업데이트
Joomla 웹 관리자가 할 수 있는 가장 중요한 일은 콘텐츠 관리 사이트를 최신 상태로 유지하는 것입니다. 그들은 기사나 이미지가 Joomla 웹사이트 구축에 도움이 되는 것이 아니라 콘텐츠 관리 웹사이트가 Joomla 웹사이트가 해킹당하는 것을 방지할 수 있는 방법임을 기억해야 합니다.
추가 기능에 주목
이 외에도 추가 기능의 작동을 확인하는 것이 중요합니다. 모든 추가 기능, 테마 및 템플릿을 가장 안전한 최신 버전으로 업데이트하세요.
허점 제거
Joomla 웹사이트에 이상이나 버그가 있으면 해커가 파일을 심고 Joomla Pharma 해킹을 실행할 수 있는 창을 제공할 수 있습니다. 방문자가 파일을 업로드할 수 있도록 하는 추가 기능을 모니터링합니다. 올바른 유형의 파일이 업로드되고 있는지 감지할 수 있을 만큼 지능적인지 확인하십시오.
Astra와 같은 웹 애플리케이션 방화벽 유틸리티 사용
결국 Astra와 같은 웹 애플리케이션 방화벽 유틸리티에 의존하고 Joomla 웹사이트의 보안에 대해 긴장을 풀 수 있습니다. 이 유틸리티는 실시간으로 검사하고 제거하여 여러 유형의 맬웨어로부터 웹사이트를 보호합니다. 웹사이트 디렉토리에서 생성되는 스팸 파일을 정기적으로 검사하고 Joomla 웹사이트에 피해를 주지 않으면서 스팸 파일을 제거하려고 시도합니다.
Joomla Security에 대한 더 많은 기사를 보려면 Astra Security 블로그의 이 섹션을 방문하세요. . Joomla 웹사이트에서 발생할 수 있는 다른 취약점이나 보안 문제를 찾을 수 있습니다.