Napadnutie Joomla! cez komponentu JCE

V poslednom čase sa na serveroch EXO Hostingu hromadia “hacknuté” Joomla! stránky, na ktoré bol nahratý škodlivý obsah. Vo väčšine prípadov sa jedná o napadnutie cez „deravú“ komponentu JCE pre wysiwyg editor, ktorý s obľubou používa veľké množstvo užívateľov CMS Joomla!.

Problémová je verzia JCE 1.5.x a staršia

Problém spočíva v tom, že niektorí webmasteri pravidelne (alebo vôbec) neaktualizujú komponentu JCE editor a ak používajú verziu 1.5x a staršiu, tak ich web nie je chránený pred hackerským útokom. V starších verziách tejto komponenty nebol ošetrený upload obrázkov pre určité typy súborov a tým pádom je možné na web nahrať okrem obrázkov, napr. *jpg alebo *png aj napr. súbory typu *php. A práve preto sú škodlivé súbory nahrávané do adresára “images” a jeho pod-adresárov, kde cez wysiwyg editor JCE bežne nahrávate obrázky.

Napadli Vám Joomla! cez komponentu JCE?

Aby ste zistili, či bola  Vaša Joomla! hacknutá cez komponentu JCE, je potrebné, aby ste sa prihlásili do Vášho priestoru pre web cez FTP a pozreli sa, či v priečinku “images” a jeho podadresároch máte súbory ako napr.:

.htaccess
nv_2.php
0day.php
x.txt
..a ďalšie súbory, ktoré Vám tam boli nahraté bez Vášho vedomia.

Čo môže napadnutie spôsobovať?

O tejto chybe v bezpečnosti dnes vie veľa ľudí, a preto ak máte verziu komponenty JCE, cez ktorú je možné napadnúť Váš web, je to pre hackerov hotová “okružná jazda” po Vašom priestore pre web a môžu to zneužiť rôznymi spôsobmi. Najčastejším spôsobom ako toho zneužívajú je, že zmenia index.php a na úvodnej stránke Vášho webu zobrazia obrázok, aký môžete vidieť nižšie. Alebo po určitom čase (napr. 20 sekúnd) návštevníka Vášho webu presmerujú na inú stránku. Alebo na vybranú URL adresu vášho webu nahrajú stránku, ktorú používajú na tzv. phishing (podvodné stránky) a toto už sranda nie je.

Napadnuté stránky
Napadnuté stránky

 

Riešenie

1. Zmena hesiel k FTP

Zmeňte si heslá k FTP účtom na silné ako napríklad toto: „SIWEjj2JHSkpoS“. Silné heslá nie sú jadrom súčasného problému, no vždy je potrebné mať bezpečné heslá.

2. Aktualizácia komponenty JCE editor

Aktualizujte komponentu JCE editor na najnovšiu verziu. Urobíte to tak, že si stiahne aktuálnu verziu JCE editora na stránke http://www.joomlacontenteditor.net/downloads/editor a rovnako, ako inštalujete nové rozšírenia vo Vašej Joomla!, aktualizujete túto komponentu. Zaberie to len niekoľko minút.

3. Nájdenie a zmazanie škodlivých súborov

Vyhľadajte a vymažte škodlivé súbory z priečinka „images“ a jeho pod-adresárov. Ak si napadnutie stránok všimnete do 14 dní, ideálne bude, ak nahráte obsah webu zo zálohy, ktoré nájdete vo Vašom Control paneli v časti „Zálohy“.

4. Aktualizácia Joomla! a jej rožírení

Aktualizujte Joomla! a jej rozšírenia (komponenty, moduly, pluginy) pre vyššiu bezpečnosť. Toto taktisto nie je jadro problému, ktorý riešime, no je potrebné používať stále aktualizovaný software, pretože práve kvôli tomu čítate tieto riadky 🙂