CMS Joomla to drugi co do popularności system zarządzania treścią w Polsce. Od wersji 3.0, kiedy to wprowadzono wiele ulepszeń, między innymi responsywną budowę i możliwość aktualizacji z poziomu panelu administracyjnego całego CMS’a, a także dodatków Joomla zyskała jeszcze większą grupę fanów. Niestety chwała Joomli nie trwałą długo ponieważ jeszcze przed premierą finalnej wersji trzeciej odsłony tego systemu okazało się że CMS ten już od wersji 1.5 posiadał krytyczną lukę, która umożliwiała dodawanie kodu do plików systemowych strony.
Tak duża luka bezpieczeństwa została od razu wykorzystana przez spamerów oraz twórców rozmaitych złośliwych kodów, którzy strony oparte na Joomli zmieniali w systemy do rozsyłki SPAM-u lub zaplecza widma. Na szczęście wszystkie wprowadzone przez nich zmiany w kodzie strony www opartej na Joomli są odwracalne.
Jak usunąć złośliwy kod ze strony www opartej na Joomli?
Objawy włamania do CMS Joomla
W momencie kiedy zauważymy że nasza strona przestała działać lub nasze maile nie dochodzą do adresatów ze względu na blokadę antyspamową, możemy być pewni że nasza strona padła ofiarą ataku.
Pierwszym krokiem jaki powinniśmy podjąć to sprawdzenie czy nasza strona lub serwer znajduje się na czarnych listach. Możemy to uczynić przez jedną z wielu stron www, które umożliwiają bieżące sprawdzanie SPAM list. Przykładem tego typu stron jest: http://mxtoolbox.com/blacklists.aspx
Jeśli powyższe narzędzie nie wskazuje na obecność na czarnej liście, wówczas możemy przejść do kolejnego kroku, którym jest podłączenie pod stronę Narzędzia dla Webmasterów od Google. Narzędzie to jest dostępne pod adresem: https://www.google.com/webmasters/ . Po założeniu konta weryfikujemy własność witryny poprzez dodanie piku html pobranego z Google Webmaster do folderu głównego strony lub dodanie tagu w pliku index.php szablonu strony. Jeśli udało nam się pozytywnie zweryfikować podłączenie narzędzia Google, możemy przejść do zakładki Ruch związany z wyszukiwanie / Działania ręczne. W tym miejscu Google zazwyczaj informuje o fakcie znalezienia wirusa na naszej stronie lub też różnego typu blokadach jakie zostały na nie nałożone.
Jeśli widnieje tam komunikat wskazujący na fakt zainfekowania wirusem, wówczas identyczną wiadomość powinniśmy obejrzeć po wyszukaniu naszej strony bezpośrednio w wyszukiwarce Google.
Usuwanie złośliwego kodu
Po stwierdzeniu włamania musimy przejść do usunięcia złośliwego kodu. Najprostszym sposobem jest skasowanie wszystkich plików z serwera i przywrócenie pierwotnej wersji strony z kopii zapasowej, co możemy uczynić choćby poprzez program Akeeba Backup. Jeśli jednak nie posiadamy kopii strony lub strona od momentu wykonania kopii była znacząco modyfikowana, wówczas pozostaje nam ręczne usunięcie złośliwego kodu.
Zazwyczaj pierwsze kroki powinniśmy skierować do pliku index.php z głównego folderu, w którym często w pierwszych linijkach dodawanych jest kody, który umożliwia rozsyłkę spamu lub uniemożliwia prawidłowe działanie strony. Jeśli nie wiemy jak prawidłowo powinna wyglądać zawartość tego pliku możemy go porównać z plikiem znajdującym się w pakiecie instalacyjnym Joomla lub po prostu nadpisać.
Kolejnym krokiem powinno być sprawdzenie daty modyfikacji poszczególnych folderów. Jeśli któreś z folderów wskazują datę inną niż data instalacji strony lub dodatku, wówczas warto przejrzeć zawartość tego folderu. Jeśli któryś z plików posiada kod, który według nas jest nieprawidłowy, warto go zweryfikować porównując z oryginalnym z paczki instalacyjnej dodatku lub samego CMS’a. Warto także sprawdzić, czy w folderze nie pojawiły się dodatkowe pliki php, które często mają niepozorną nazwę user.php, db.php, footer.php itp. Takie pliki zgrywamy w celach bezpieczeństwa z serwera na komputer, po czym usuwamy ze CMS’a.
W analogiczny sposób postępujemy w przypadku wszystkich folderów, których data modyfikacji wydaje się nam podejrzana. Działania te są bardzo czasochłonne, jednak są o wiele skuteczniejsze niż nadpisanie samej Joomli i dodatków, co nie zagwarantuje nam usunięcia dodatkowych plików ze złośliwym kodem. W momencie kiedy nasza strona wróci do życia lub dokonamy sprawdzenia wszystkich podejrzanych folderów, warto dla pewn ości przeskanować serwer programem antywirusowym. Jeśli nie mamy takiej możliwości w panelu serwera zawsze możemy zwrócić się z prośbą do administracji serwera, która w większości przypadku bezpłatnie wykona skanowanie. Kiedy uzyskamy 100% pewność że nasza strona www jest już bezpieczna, wówczas możemy przejść do etapu zabezpieczania jej przed ponownymi atakami.
Zabezpieczenie oczyszczonej z wirusów strony www
Pierwszym krokiem do bezpiecznej strony www jest zaktualizowanie CMS’a do najnowszej wersji. Podobnie postępujemy w przypadku wszystkich zainstalowanych dodatków. W Joomli 3 nie ma z tym najmniejszych problemów, ponieważ wszystkie te czynności możemy wykonać z poziomu panelu administracyjnego. W starszych wersjach CMS Joomla musimy ręcznie nadpisywać poszczególne dodatki instalując je wszystkie ponownie.
W momencie kiedy nasz CMS jest już wolny od luk w zabezpieczeniach, warto sprawdzić, czy nie pojawili się w nim dodatkowi administratorzy z maksymalnymi uprawnieniami. Jeśli w zakładce użytkownicy widnieją nowi, nieautoryzowani przez nas administratorzy, wówczas należy ich czym prędzej usunąć, blokując jednocześnie możliwość rejestrowania nowych użytkowników i ich automatyczną aktywację. Jeśli prowadzi sklep lub nasza strona www ma charakter bardziej społecznościowy i wymaga rejestracji użytkowników, wówczas zostawiamy powyższe opcje bez zmian.
Po aktualizacji systemu oraz usunięciu nieproszonych gości, pozostaje kwestia dodatkowego zabezpieczenia systemu. Możemy to uczynić obniżając uprawnienia plików zgromadzonych na serwerze do 755 oraz dodając do CMS’a dodatek AdminExile, który umożliwia zmianę standardowego adresu panelu administracyjnego na własny unikalny adres. Dodatek AdminExile uniemożliwi także ataki metodą brute force na CMS Joomla. Jeśli chcemy dodatkowo wzmocnić poziom bezpieczeństwa naszej strony www możemy dodać do Joomli jeden z wielu dodatków, które dostępne są pod adresem: https://extensions.joomla.org/category/access-a-security/site-security
Usunięcie komunikatu o złośliwym oprogramowaniu z wyszukiwarki Google
W momencie kiedy nasza strona www jest już wola od złośliwego oprogramowania czas zadbać o jej wizerunek w Google, gdzie prawdopodobnie wyświetla się wciąż komunikat o zagrożeniu jaki może spowodować wizyta na niej. Usunięcie tego komunikatu wykonujemy logując się ponownie do narzędzia Google Webmaster, gdzie w zakładce Ruch związany z wyszukiwanie / Działania ręczne wysyłamy prośbę o ponowną weryfikację strony. Zgłoszenia są rozpatrywane zazwyczaj w ciągu 1-2 dni, więc po tym czasie wszystko powinno wrócić do normy.
Usuwanie strony www z czarnej listy
Jeśli nasza strona www znalazła się na SPAM liście, wówczas przy użyciu narzędzia: http://mxtoolbox.com/blacklists.aspx sprawdzamy na których listach się znajduje. Wchodząc w szczegóły listy znajdziemy zazwyczaj link, przy użyciu którego możemy wysłać prośbę o jej usunięcie. Weryfikacja takiego zgłoszenia w niektórych przypadkach następuje automatycznie, jednak czasami musimy poczekać nawet 14 dni. Jeśli po kolejnym teście nie znajdziemy strony www na żadnej z list, wówczas możemy być pewni że sytuacja została opanowana.
