Kuinka estää hakkerointiyritykset komponentteihin ja tiedostoihin?

Sivusto hakkeroitiin kaksi kertaa, ensimmäisen kerran 1.5.26-versio ja sen jälkeen myös migroitu 2.5.8. Kun panin administrator-kansioon salasanan, brute force-hyökkäykset lakkasivat (tuli kerran sekunnissa vuorokauden ympäri), mutta nyt ne ovat alkaneet pommittaa sisältöä. Suurin osa hyökkäyksistä kohdistuu jevents komponenttiin, jota minulla ei siellä edes ole! koko komponentti jäi vanhaan 1.5 versioon ja migraation jälkeen 2.5.8:aan en ole asentanut sitä uudellen. Redirect Manager näyttää 417 uudellenohjausta pelkästää tänään ja klo on vasta kahdeksan aamulla! Kaiken kaikkiaan uudellenohjauksia on 30. joulukuuta jälkeen 1602 - ja siinä ei ole brute force-hyökkäysiä, joita varmasti on tuhansia.

Uudellenohjaukset saattavat näyttää tältä:

index.php?option=com_jevents&task=search.form&year=2011&month=01&day=14&Itemid=1

Toinen suosittu kohde on tietyt pdf-tiedostot, joita ei siellä ole ollut vuosikausiin - ne tietävät kuitenkin tiedostojen nimet - mistä?

Voisiko joku selittää, miksi ne pommittavat jeventsiä ja/tai muita tiedstoja? Ja mitä voin tehdä hyökkäyksien estämiseksi?

Keinoja on varmasti useampiakin, mitä voit kokeilla. IP-estot, Geopoliittinen esto, .htaccess jne.

Yksi hyvä ohjelma, jota voin suositella on Akeeba Admin Tools. Sillä saa jo paljon aikaiseksi.

www.akeebabackup.com/products/admin-tools.html

Tuo JEvents on mielenkiintoinen havainto koska en muista sen koskaan olleen haavoittuvien lisäosien listalla.

Joomla-sivustoja vastaan on viimeisen kolmen kuukauden aikana ollut menossa melkoinen hyökkäysten aalto. Ainakin kolme merkittävää haavoittuvuutta (joista yksi cPanelissa eikä Joomlassa) on saanut aikaan kiinnostusta töhrijöissä. Omille sivuilleni on viime päivien aikana yritetty kovasti RFI-hyökkäyksin mutta ovat tyssänneet tuohon mirkoen mainitsemaan Admin Tools Pro:n.

Vähän huolestuttaa, että ovatkohan ne päässeet murtautumaan sisälle taas. Asensin nimittäin tänään SaxumIPlogger komponenti, joka seuraa kaikkia rekisteröityjä käyttäjiä, niiden tuloja ja menoja, IP-numeroita yms, kerää niistä satistiikka. Siellä näin ihmeekseni käyttäjän, jota ei ole User Managerissa eikä tietokannan taulussa user, nimittän "Guest". Olisikohan niin, että ovat onnistuneet asentamaan käyttäjän, jota ei näy Joomlan User Managerissa eikä tietokannassa mutta paljastuu SaxumIPloggerissa?

Sitä paitsi hakkeroinnit lakkasivat yhtäkkiä eilen. Ja joka kerta kun ne ovat onnistuneet hakkeroimaan sisään alkaa siihen sähköpostiosoitteeseen, jonka annoin kun rekisteröidyin käyttäjäksi (Super User,) tulla valtavat määrät spämmiä, niin on taas.

Vaikuttaa vähän huolestuttavalta. Olen ottanut yhteyttä palveluun. Saa nähdä, mitä ne sanovat.

"Guest" tarkoittaa vain, että käyttäjä ei ole rekisteröitynyt. Ja rekisteröimätön käyttäjä ei tietenkään näy paikoissa jonne käyttäjät rekisteröidään. "Vieraiden" lukumäärä kyllä näkyy ylläpidossa.

Eli "Guest" saattaa olla vain loggerin vakio nimi tunnistamattomalle käyttäjälle.