เนื่องด้วยบทความนี้จำเป็นต้องพัฒนาเรื่อยๆ ตามความซับซ้อนของการเจาะระบบ ทำให้การแก้ไขตามเนื้อหาในบทความนี้อาจไม่ครอบคุลมกับอาการที่เกิดขึ้นได้สำหรับทุกเว็บไซต์
เนื้อหานี้ถูกแก้ไขครั้งล่าสุดเมื่อ 2/12/2014
Joomla เป็น CMS (Content Management System) ตัวนึงที่ได้รับความนิยมมากเป็นอันดับต้นๆ เนื่องด้วยความสามารถที่หลากหลาย และจำนวนผู้ใช้งานจำนวนมากทำให้
Jooma ตกเป็นเป้าหมายของเหล่าผู้ไม่ประสงค์ดีที่จะคอยหาช่องโหว่ของระบบเพื่อทำการ hack บกความนี้จะกล่าวถึงขั้นตอนการแก้ไขเมื่อ Joomla ของคุณถูก Hack ครับ
กรุณาทำตามทีละขั้นตอน ทุกขั้นตอนสำคัญทั้งหมดไม่สามารถข้ามได้นะครับ
1. ทำ Backup และดาวน์โหลดไฟล์ Backup เก็บไว้ที่เครื่องที่ท่านใช้งาน เพื่อให้มั่นใจว่าหากแก้ไขผิดพลาดในจุดไหนก็ยังสามารถย้อนกลับกระบวนการมายัง ณ เวลานี้ได้
อ้างอิงขั้นตอนการทำ Backup
2. Download ไฟล์ของเว็บไซต์มั้งหมดผ่าน FTP เก็บไว้ที่เครื่องท่านอีกชุด เราจะใช้ไฟล์นี้เพื่ออ้างอิงไฟล์ที่ถูกเจาะ หรือวาง Backdoor ไว้ข้างใน พร้อมทั้งใช้เพื่อการ Restore ข้อมูลบางส่วน
3. ทำการ Disable Module, Extension และส่วนเสริมทั้งหมดที่ใช้งาน
4. ทำการ Upgrade Joomla version ให้เป็น Version ล่าสุด
อ้างอิงขั้นตอนการ Upgrade version
http://docs.joomla.org/Upgrading_from_an_existing_version
5. เปลี่ยน Template ที่ใช้งานเป็น Template มาตรฐานของแต่ละ Version นั้นๆ
6. ลบข้อมูลทั้งหมดออกจากระบบ ยกตัวอย่างถ้าท่านติดตั้ง Joomla ไว้ที่โดเมนหลักให้ลบไฟล์ทั้งหมดใน public_html, www หรือ httdocs (ก่อนลบกรุณาตรวจสอบให้แน่ใจว่าทำการดาวน์โหลดข้อมูลในข้อ 2 เรียบร้อยแล้ว)
7. ดาวน์โหลดไฟล์ติดคั้ง Joomla ใหม่จากเว็บไซต์หลักของ Joomla โดยตรงที่ http://www.joomla.org/download.html
8. ทำการ Extract ไฟล์แล้ว Upload ไฟล์ของ Joomla ในข้อ 7 กลับขึ้นยัง Server
9. เปลี่ยนรหัสผ่านฐานข้อมูลที่ใช้งานสำหรับเว็บไซต์นี้
10. Upload ไฟล์ configuration.php ที่ Download ไว้ในข้อ 2 กลับขึ้นไปยัง Server (ก่อน Upload กรุณาตรวจสอบก่อนครับว่าไม่มี Code แปลกปลอมแฝงอยู่ในไฟล์)
11. ลบ Directory ชื่อ installation เพื่อความปลอดภัย
12. ตรวจสอบไฟล์ทั้งหมดใน Directory ชื่อ images ที่ Download เก็บไว้ในข้อ 2 ดูว่ามีไฟล์แปลกปลอม หรือไฟล์ที่เป็น script หรือไม่ ขั้นตอนนี้เป็นขั้นตอนที่สำคัญมาก ผมอยากให้ค่อยๆ ไล่ดูทีละแฟ้ม เลยครับดูว่าไฟล์ไหนชื่อไม่คุ้น นามสกุลแปลกๆ ให้ลบออกให้หมด เมื่อแน่ใจแล้วว่าไม่มี script หรือไฟล์แปลกปลอมแน่นอนแล้วให้ Upload กลับขึ้นมายัง Server
13. ถึงขั้นตอนนี้เว็บไซต์จะเปิดใช้งานได้และสามารถเรียกชมได้ปกติแล้ว แต่หน้าตาเว็บไซต์จะยังไม่เหมือนเดิม
14. เปลี่ยนรหัสผ่านทั้งหมดในเว็บไต์นี้ และรหัสผ่านทั้งหมดที่เกี่ยวข้องกับ Website นี้ยกตัวอย่างรหัสผ่าน admin email ถ้าเป็นหรัสผ่านเดียวกันให้เปลี่ยนด้วยครับ
15. Download ไฟล์ Template, Module, Extension, plugin และส่วนเสริมมาติดตั้งใหม่ ห้ามใช้ไฟล์ที่เก็บไว้ในข้อ 2 เด็ดขาดเนื่องจากอาจมี backdoor แฝงใน script ได้ (กรุณาดาวน์โหลด theme, plugin และส่วนเสริมจากแหล่งที่น่าเชื่อที่เท่านั้น พวก nulled และ crack ล้วนแต่มี backdoor ครับ)
16. ติดตั้ง plugin ด้านความปลอดภัย เพื่อตรวจสอบ code แปลกปลอมใน database และปิดช่องโหว่ในระบบที่มีอยู่ หรืออาจถูกค้นพบในอนาคต
เลือกใช้งานได้จาก
http://extensions.joomla.org/extensions/access-a-security/
เราแนะนำ 2 ตัวนี้ครับ
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/14087
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/19451