Hacked by AntonKill – Hacked by trenggalek6etar ، این پیامها از اوایل ژوئیه ۲۰۲۶ (تقریبا از اوایل تابستان 1405) روی تعداد زیادی از وبسایتهای هکشدهی جوملا ظاهر شده است.
این یک حمله هدفمند نیست، بلکه نتیجه فعالیت یک باتنت خودکار است که از یک آسیبپذیری تازه کشفشده در فریمورک Helix3 شرکت JoomShaper سوءاستفاده میکند. در اغلب موارد، محتوای اصلی وبسایت آسیبی نمیبیند اما مهاجم کنترل صفحات وبسایت را در دسترس می گیرد و اصطلاحا یک صفحه کامل، روی صفحات وبسایت قرار می دهد. (Defacement) .در این مقاله خواهید آموخت چگونه این حمله را تشخیص دهید و آن را بهطور کامل برطرف کنید.
Hacked by AntonKill: علت چیست؟
عامل اصلی این مشکل، فریمورک Helix3 شرکت JoomShaper و بهطور مشخص افزونه plg_ajax_helix3 است. چندین عملیات این افزونه از طریق رابط استاندارد com_ajax جوملا بدون نیاز به ورود قابل فراخوانی هستند.
این آسیبپذیریها امکان انجام موارد زیر را فراهم میکنند:
- نوشتن فایل در قالب بدون نیاز به احراز هویت (از طریق عملیات save) و حتی با استفاده از Path Traversal خارج از پوشه قالب.
- حذف هر فایل دلخواه (از طریق remove و remove_image)؛ از جمله فایل امنیتی .htaccess
- بازنویسی تنظیمات قالب از طریق عملیات import؛ دقیقاً همان روشی که در موج فعلی حملات برای Defacement استفاده شده است.
- پس از ورود به سیستم، امکان ارتقای سطح دسترسی تا اجرای کد، زیرا بخش بارگذاری تصاویر، فایلهای PHP را نیز میپذیرفت.
این هک، ارتباطی با نسخه جوملا ندارد و تمام نسخه های جوملا 3، 4، 5 و 6 که از Helix3 استفاده می کنند را هدف قرار میدهد.
اگر هنوز هک نشده اید:
- Helix3 را به آخرین نسخه آن بروز رسانی کنید.
- Joomla را به آخرین نسخه در نسلی که هستید بروز رسانی کنید؛ مثلا اگر وبسایت شما بر اساس جوملا 5 است، به آخرین نسخه جوملا 5 بروز رسانی کنید.
- افزونه ادیتور JCE را حتما بروز رسانی کنید.
- و در نهایت سایر افزونه های وبسایت را بروز رسانی کنید.
اگر هک شده اید:
کل سایت را بررسی کنید؛ از آنجا که این آسیبپذیری امکان نوشتن و حذف فایل را نیز فراهم میکرد، فقط جاوااسکریپت ممکن است تغییر نکرده باشد.
موارد زیر را بررسی کنید:
- فایلهای غیرعادی در پوشه قالب
- حذف شدن فایل .htaccess
- تغییرات مشکوک در Template Styleها
- اسکن کامل فایلها و پایگاه داده با یک ابزار Malware Scanner بهترین روش برای اطمینان است.
- حتی ممکن است روی تمامی پوشه های وبسایت شما فایل htaccess مخرب ایجاد شده باشد و لازم است که همه انها را حذف کنید. (تا جایی که من دیده ام معمولا در فایل htaccess مخرب، امکان اجرای تمامی نسخه ها php روی آن پوشه محدود می شود)
اگر نتوانستید مشکل را رفع کنید می توانید از خدمات ما در گروه کوشان استفاده نمایید: با ما تماس بگیرید.
برای تماس سریعتر می توانید از تماس سریع تلگرام یا واتس آپ استفاده نمایید و یا مستقیما با ما صحبت کنید.



