توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : توجه : امنیت سایت های جوملا
روش کار به این صورته که به exploit هایی که موجود هست به ادمین جوملا دسترسی پیدا می کنن و از قسمت مدیریت قالب با توجه به دسترسی ویرایش فایل index.php می تونن خیلی ساده قالب را با شل جایگزین کنن و یا همونجا دفیس کنن.
به موارد بالا دقت داشته باشيد.
با تشكر.
shivahost
October 17th, 2012, 16:29
خیلی راحت روی پوشه مدیریت پسورد بگذارید دیگه دیفیس نمی شوید. البته این ها پسورد مدیر را تغییر می دهند ولی دیگر دیفیس نمی کنند چون پسورد پوشه مدیر را که ندارند!
نکته دیگه اینکه حتما هنگام نصب جوملا پیشوند دیتابیس را تغییر دهید. در مراحل نصب این را سوال می کند و یک عبارت دیگر بگذارید. دیفالت معمولا jos_ هست که می توانید مثلا به kjghg_ تغییر دهید.
یک کار دیگر اینکه در جوملا چند کاربر بسازید و یکی دیگر از آنها را مدیر کل کنید و کاربری که در نصب مدیر شده به عضو ساده تغییر دهید.
روش کار به این صورته که به exploit هایی که موجود هست به ادمین جوملا دسترسی پیدا می کنن و از قسمت مدیریت قالب با توجه به دسترسی ویرایش فایل index.php می تونن خیلی ساده قالب را با شل جایگزین کنن و یا همونجا دفیس کنن.
.
با توجه به stable بودن جوملا بعید می دونم مشکل امنیتی از core جوملا باشد. و ممکن است که component ها یا تم ها و پلاگین های استفاده شده آسیب پذیر باشد. که exploit های موجود برای core حوملا باسنایوری شما وجود ندارد.(حداقل من ندیدم.)
اگر شما اطلاعی در مورد exploit دارید ممنون میشم به ما هم اطلاع رسانی نمایید.
با تشکر
آگونیس
October 17th, 2012, 18:59
با نصب ماژول های امنیتی می تونید از این گونه نفوذ ها جلوگیری کنید