Την Τετάρτη 26 Οκτωβρίου 2016 ανακοινώθηκε από το community του Joomla ένα μεγάλης έκτασης exploit, βάσει του οποίου κακόβουλοι μηχανισμοί έχουν τη δυνατότητα να αποκτήσουν πρόσβαση στο administrator περιβάλλον των Joomla sites. Το θέμα του exploit απασχόλησε και το developer network της Joomla, όπου και εκδόθηκε σχετική ανακοίνωση χαρακτηρίζοντας το ζήτημα υψηλής σοβαρότητας.
Τι συμβαίνει με το συγκεκριμένο exploit;
Τα hack bots “χτυπούν” τις εκδόσεις 3.4.4 έως 3.6.3 των Joomla sites με σκοπό την δημιουργία admin χρηστών ή την τροποποίηση των ήδη υπαρχόντων λογαριασμών (reset των usernames, των passwords κ.λπ.) ώστε να αποκτήσουν πλήρη πρόσβαση στο site και να το εκμεταλλευτούν προς όφελός τους.
Τι πρέπει να κάνουν οι πελάτες μας από την πλευρά τους;
Σε περίπτωση που διαθέτετε μια έκδοση του Joomla μεταξύ της 3.4.4 και της 3.6.3, θα χρειαστεί να γίνουν και κάποιες επιπλέον ενέργειες και από εσάς, αφού η αντιμετώπιση του ζητήματος από την δική μας πλευρά (όπως περιγράφεται στην επόμενη παράγραφο) είναι το πρώτο μέρος για την αποκατάσταση των sites.
Η ομάδα του Support της Top.Host κατάφερε να σταματήσει άμεσα τις επιθέσεις, πράγμα που σημαίνει ότι δεν επηρεάστηκαν όλα τα Joomla sites των παραπάνω εκδόσεων που φιλοξενούνται στην Top.Host. Παρόλα αυτά, είναι απαραίτητο να πραγματοποιήσετε τις παρακάτω ενέργειες για την προστασία σας:
- Θα χρειαστεί να αναβαθμίσετε άμεσα το Joomla στην έκδοση 3.6.4.
- Αφού αναβαθμίσετε το Joomla, σας προτείνουμε να ελέγξετε τους χρήστες που υπάρχουν σε αυτό και να διαγράψετε άμεσα όσους δεν αναγνωρίζετε και πιστεύετε ότι δεν έχουν δημιουργηθεί από εσάς, ιδιαίτερα αν έχουν δικαιώματα administrator.
- Έπειτα, είναι απαραίτητο να αλλάξετε όλους τους κωδικούς των πραγματικών χρηστών που υπάρχουν στο site σας. Βεβαιωθείτε ότι έχετε δημιουργήσει ισχυρούς κωδικούς με αλφαριθμητικούς χαρακτήρες.
- Φροντίστε να δημιουργήσετε ένα password protected directory ώστε να προστατέψετε το /administrator αρχείο.
- Τέλος, αναβαθμίστε όλα τα extensions του Joomla στη νεότερη έκδοσή τους για να παρακάμψετε τυχόν κενά ασφαλείας μέσω αυτών.
Τις επόμενες ημέρες θα σταλεί ένα επιπλέον email σε όλους τους πελάτες μας που διαθέτουν μια από τις παραπάνω εκδόσεις του Joomla με περαιτέρω οδηγίες για τις διαδικασίες που θα χρειαστεί να πραγματοποιήσουν. Αν δεν λάβετε αυτό το email σημαίνει ότι το site σας δεν επηρεάζεται από το exploit.
Πώς κινηθήκαμε για την αντιμετώπιση των επιθέσεων;
Σε όλους τους servers μας εγκαταστάθηκαν ήδη από τη στιγμή που εκδόθηκαν, όλα τα patches που αναβαθμίζουν τα security tools μας και προστέθηκαν οι αντίστοιχοι mod_security rules ώστε να προστατέψουμε τους πελάτες μας από μελλοντικές επιθέσεις.
Παράλληλα, μόλις εντοπίστηκαν οι πρώτες επιθέσεις αποκλείστηκε άμεσα η πρόσβαση στο administrator των sites μέσω http:// και πλέον είναι ενεργή μόνο η πρόσβαση μέσω https:// ακόμα και για τους πελάτες μας που δεν διαθέτουν κάποιο ενεργό SSL στο Joomla site τους. Η συγκεκριμένη ενέργεια έγινε με σκοπό να σταματήσουν οι brute force επιθέσεις, πράγμα που επιτεύχθηκε στο 100%, αφού οι επιθέσεις μηδενίστηκαν.
Αν χρησιμοποιούσατε μέχρι τώρα το http://mydomain/administrator για να συνδεθείτε στο administrator panel, πρέπει πλέον να πληκτρολογείτε https://mydomain/administrator, ακόμα και εάν δεν έχετε εγκατεστημένο SSL πιστοποιητικό. Το μόνο που θα χρειαστεί να κάνετε είναι να πατήσετε accept στο security warning που θα εμφανιστεί και θα καλέσει το SSL του server.
Δείτε αναλυτικά στη knowledge base μας πώς θα παρακάμψετε το security warning από διαφορετικούς browsers.
*Ακόμα και αν δεν φιλοξενείτε το site σας στην Top.Host, αλλά χρησιμοποιείτε μια από τις προαναφερθείσες εκδόσεις του Joomla, είναι απαραίτητο να πραγματοποιήσετε τις παραπάνω ενέργειες για την ασφάλειά σας.
Ευχαριστούμε για την ενημέρωση, και προσπαθούσα να καταλάβω γιατί δεν μπορώ να μπώ στην σελίδα μου.
Καλημέρα Νίκο.
Για οποιαδήποτε απορία έχεις ή αν αντιμετωπίσεις κάποια δυσκολία, μη διστάσεις να επικοινωνήσεις με το support μας 🙂
Καλημέρα και ευχαριστώ για την ενημέρωση, ανησυχούσα ότι από δικό μου λάθος δεν μπορούσα να μπω στο backend της σελίδας μου… Και μία ερώτηση: συνίσταται η αναβάθμιση στο 3.6.4 (έχω 3.3.6 με Mijo shop 2.5.3). Αν κάνω αναβάθμιση από τον Πίνακα ελέγχου θα διατηρηθεί όλο το περιεχόμενο και οι ρυθμίσεις της σελίδας και του Mijo Shop ή θα πρέπει να τα ξαναστήσω; Χρειάζεται/συνίσταται να κάνω backup; Ευχαριστώ και πάλι.
Καλησπέρα Παναγιώτη.
Θεωρητικά η έκδοση που διαθέτεις δεν επηρεάζεται από το συγκεκριμένο issue. Παρόλα αυτά, είναι πολύ σημαντικό να διαθέτεις την τελευταία έκδοση τόσο του Joomla, όσο και του MijoShop, για να αποφύγεις ενδεχόμενα κενά ασφαλείας. Σχετικά με την αναβάθμιση και τις ρυθμίσεις του eshop, καλύτερα να συμβουλευτείς κάποιον προγραμματιστή, που θα είναι πιο αρμόδιος να σε κατατοπίσει. Ωστόσο, από μια γρήγορη έρευνα που έκανα, βλέπω ότι η 2.5.3 έκδοση του MijoShop δεν υποστηρίζεται πια (http://miwisoft.com/blog/mijoshop-3-new-design-fully-responsive) οπότε καλό θα ήταν να το αναβαθμίσεις άμεσα. Και βέβαια, οπωσδήποτε θα χρειαστεί να κάνεις backup πριν από την όποια ενέργεια!
Ευχαριστώ πολύ!
Καλησπέρα σας.
Το /administrator αρχείο που γράφετε παραπάνω είναι το httpdocs στο joomla?
Αφού το κάνω password protected, πως μπορώ να εξακριβώσω ότι έγινε? Το έχω κάνει και δε φαίνεται να άλλαξε κάτι.
Ευχαριστώ!
Καλησπέρα Βαγγέλη.
Το /administrator βρίσκεται μέσα στο httpdocs.
Αν το έκανες protected, ανοίγοντας το διαχειριστικό περιβάλλον (https://yoursite.gr/administrator) θα πρέπει να σου ζητάει username και password.
Ευχαριστώ πολύ!
This advice is ridiculous and you clearly don not understand the problem. HTTPS won’t fix a thing; your only recourse is to patch to 3.6.4.
Alan Langford
Co-Founder, Joomla Security Team
Hello Mr. Langford.
We couldn’t agree more with you about the update to 3.6.4 – that is why we suggest on step 1 that our customers and readers update immediately.
Blocking the HTTP access and allowing only HTTPS connections was our initial reaction in order to stop instantly the brute force attacks. The result was very satisfying, since the attacks were narrowed down to zero.
Immediately after that we added a mod_security rule on our servers to protect our customers from further attacks until they update.
Thank you.
Καλημέρα σας, πότε θα αρθεί ο περιορισμός του “https…” αν υπάρχει τέτοιος σχεδιασμός. Σε ένα site έχω ένα πρόσθετο για αυτόματη ανάρτηση στο facebook και πλέον δεν μου εμφανίζει τις εικόνες (νομίζω πως είναι από αυτο). Ευχαριστώ.
Καλημέρα Χρήστο.
Ο περιορισμός θα αρθεί μέχρι το τέλος της εβδομάδας. Παρόλα αυτά, αν θέλεις δώσε μου το domain σου ώστε να το προωθήσω στο support μας και να το δουν πιο διεξοδικά.
volvinews.gr Ευχαριστώ.
Καλημέρα Χρήστο.
Μπορείς να τσεκάρεις τώρα αν έχει λυθεί το πρόβλημα;
ναι όντως αυτό ήταν το “πρόβλημα” και πάλι ευχαριστώ.