هک وبسایتهای جوملایی - Hacked by AntonKill - چگونه با آن مقابله کنیم؟

    هک وبسایتهای جوملایی - Hacked by AntonKill - چگونه با آن مقابله کنیم؟

    Hacked by AntonKill – Hacked by trenggalek6etar ، این پیامها از اوایل ژوئیه ۲۰۲۶  (تقریبا از اوایل تابستان 1405) روی تعداد زیادی از وب‌سایت‌های هک‌شده‌ی جوملا ظاهر شده است.

    این یک حمله هدفمند نیست، بلکه نتیجه فعالیت یک بات‌نت خودکار است که از یک آسیب‌پذیری تازه کشف‌شده در فریم‌ورک Helix3 شرکت JoomShaper سوءاستفاده می‌کند. در اغلب موارد، محتوای اصلی وب‌سایت آسیبی نمی‌بیند اما مهاجم کنترل صفحات وبسایت را در دسترس می گیرد و اصطلاحا یک صفحه کامل، روی صفحات وبسایت قرار می دهد. (Defacement) .در این مقاله خواهید آموخت چگونه این حمله را تشخیص دهید و آن را به‌طور کامل برطرف کنید.

    Hacked by AntonKill: علت چیست؟

     

    عامل اصلی این مشکل، فریم‌ورک Helix3 شرکت JoomShaper و به‌طور مشخص افزونه plg_ajax_helix3 است. چندین عملیات این افزونه از طریق رابط استاندارد com_ajax جوملا بدون نیاز به ورود قابل فراخوانی هستند.

    این آسیب‌پذیری‌ها امکان انجام موارد زیر را فراهم می‌کنند:

    • نوشتن فایل در قالب بدون نیاز به احراز هویت (از طریق عملیات save) و حتی با استفاده از Path Traversal خارج از پوشه قالب.
    • حذف هر فایل دلخواه (از طریق remove و remove_image)؛ از جمله فایل امنیتی .htaccess
    • بازنویسی تنظیمات قالب از طریق عملیات import؛ دقیقاً همان روشی که در موج فعلی حملات برای Defacement استفاده شده است.
    • پس از ورود به سیستم، امکان ارتقای سطح دسترسی تا اجرای کد، زیرا بخش بارگذاری تصاویر، فایل‌های PHP را نیز می‌پذیرفت.

    این هک، ارتباطی با نسخه جوملا ندارد و تمام نسخه های جوملا 3، 4، 5 و 6 که از Helix3 استفاده می کنند را هدف قرار میدهد.

    هک شدن وبسایتهای جوملایی در سال 1405 

     

    اگر هنوز هک نشده اید:

     

    1. Helix3 را به آخرین نسخه آن بروز رسانی کنید.
    2. Joomla را به آخرین نسخه در نسلی که هستید بروز رسانی کنید؛ مثلا اگر وبسایت شما بر اساس جوملا 5 است، به آخرین نسخه جوملا 5 بروز رسانی کنید.
    3. افزونه ادیتور JCE را حتما بروز رسانی کنید.
    4. و در نهایت سایر افزونه های وبسایت را بروز رسانی کنید.

     

    اگر هک شده اید:

    کل سایت را بررسی کنید؛ از آنجا که این آسیب‌پذیری امکان نوشتن و حذف فایل را نیز فراهم می‌کرد، فقط جاوااسکریپت ممکن است تغییر نکرده باشد.

    موارد زیر را بررسی کنید:

    • فایل‌های غیرعادی در پوشه قالب
    • حذف شدن فایل .htaccess
    • تغییرات مشکوک در Template Styleها
    • اسکن کامل فایل‌ها و پایگاه داده با یک ابزار Malware Scanner بهترین روش برای اطمینان است.
    • حتی ممکن است روی تمامی پوشه های وبسایت شما فایل htaccess مخرب ایجاد شده باشد و لازم است که همه انها را حذف کنید. (تا جایی که من دیده ام معمولا در فایل htaccess مخرب، امکان اجرای تمامی نسخه ها php روی آن پوشه محدود می شود)

    اگر نتوانستید مشکل را رفع کنید می توانید از خدمات ما در گروه کوشان استفاده نمایید: با ما تماس بگیرید.

    برای تماس سریعتر می توانید از تماس سریع تلگرام یا واتس آپ استفاده نمایید و یا مستقیما با ما صحبت کنید.

    جستجو در وبسایت

    گروه کوشان، ارائه دهنده خدمات پشتیبانی جوملا

    آدرس: تهران، شهرک اکباتان، خیابان نفیسی، مرکز نوآوری اکباتان

    تلفن:  ۴۴۴۶۶۸۵۶ (۰۲۱)

    ایمیل: info@kooshan.net

    ارسال سریع پیام

    پاسخگویی به سوالات جوملا در واتساپ
    پاسخگویی به سوالات جوملا در تلگرام

    شبکه های اجتماعی

    © 2026 تمامی حقوق این وبسایت برای گروه کوشان محفوظ است