Pek çok yerde göreceğiniz üzere Joomla'nın sürekli hacklendiği söylenir. Hiç alakası olmayan söylemin elbette doğru olduğu noktalarda yok değil. Genellikle orjinal tema ve bileşenler yerine warez kullanımı olunca kaçınılmaz olarak site saldırıya açık hale gelmektedir. Şimdi Joomla'ya potansiyel saldırıların neler olduğunu öğrenelim.
Bu iş için en temel özellik aslında Joomla ile birlikte geliyor. Menüde Bileşenler->Yönlendirme'yi tıklayınız. Bu sayfada sitemizdeki kırık linklere ziyaretçi geldiği zaman hangi sayfaya gitmesini istiyorsak o adrese yönlendirme yapabiliyoruz. İşte tüm mesele burada başlıyor. Bir saldırgan sitemize hangi adresleri deneyerek girmeye çalışıyorsa bu sayfada görebilirsiniz. Resimde benim siteme yapılan saldırıları görebilirsiniz.
Çok sayıda saldırı denemesi yapılmış ancak sadece ilk 10 satırı görüntüledim. Yöntemler şunlar:
- Resimdeki yöntem tema dosyasının olduğu klasörlerin içinde index.php dosyasını arıyor. Muhtemelen korsan bir temanın içine saldırgan kendi oluşturduğu index.php dosyasını yerleştiriyor. Daha sonra adres satırından tam linki yazınca zararlı dosya çalışıyor. Neler yaptığını bilmek mümkün değil tabi.
- Resimdeki yöntem jdownload bileşenini kullanarak siteye dosya yüklemeye çalışıyor. Burada aslında bileşenden kaynaklanan bir açık yok. Genelde bileşen ayarlarında siteye dosya yükleme ile ilgili ayarların hatalı yapılandırmasından kaynaklana bir hata meydana gelebiliyor.
- Resimde ise yine jdownload bileşenine ait klasörleriçin içinde bir dosya çalıştırılmaya çalışılmış.
- Resimde ise cache klasörünün içindeki 304.php isimli dosyanın adresi yazılmış. Eğer böyle bir dosya o klasörün içinde olsa 304.php dosyası direkt olarak çalıştırılabilecekti.
- Resim ise çok rastlanan saldırı tekniklerinden birisi. Sitenin kök klasöründe nyet.gif isimli dosyayı adres olarak vermiş. Bildiğiniz gibi GIF normalde bir resim dosyası ancak buradaki bir resim değil PHP dosyası. Sadece uzantısının PHP yerine GIF yapmış. Bu tip resim dosyaları genelde temalar ile sisteme yüklenir. Tema içindeki Include işlemi ile resim dosyası çalıştırılabilir ve sisteme en basitinden reklam gösterimi eklenebilir.
Bu adresleri gördükten sonra FTP programınızı açarak o adreslerde belirttiği dosya varmı yokmu kontrol edebilirsiniz. Tüm bunlar ile uğraşmak yerine orjinal tema ve bileşenler kullanacak olursanız bu tip saldırıları en aza indirgemiş olacaksınız.