Регистрация злоумышленников с правами "Администратор" - Joomla 3.4.4 - 3.6.3 - Безопасность сайтов на Joomla

Вы еще не обновились?) Тогда мы идем к вам!)))

Вы еще не обновились?) Тогда мы идем к вам!)))

круто а с активацией что? угадал все буквы, но не смог прочесть слова целиком?

круто а с активацией что? угадал все буквы, но не смог прочесть слова целиком?

не смог/не успел/оставил на потом - кто его знает, записки не оставил
здесь у меня в настройках стоит самостоятельная активация по почте, попытки войти после реги не было

не смог/не успел/оставил на потом - кто его знает, записки не оставил
здесь у меня в настройках стоит самостоятельная активация по почте, попытки войти после реги не было

А id группы какое?

А id группы какое?

7

7

Странно а на кой ему 7 если у дефолтной 8 прав то побольше

Странно а на кой ему 7 если у дефолтной 8 прав то побольше

это правильно)) суперадмина может будут проверять)) а администратора не факт))

это правильно)) суперадмина может будут проверять)) а администратора не факт))

Не согласен. Ибо супер админа редко трогают, а вот переименовать\переделать\удалить админа это запросто, да я бы даже сказал вполне распатронено. А если и проверяют то всех.

Возможно причина в том, что с фронта не зарегистрироваться как суперюзер, а вот с привилегиями чуть ниже без проблем. Да и бот может ещё не заточен до конца. Понятно только, что бьют именно по последней уязвимости с регой и повышенными привилегиями, потому что в логах всего один пост запрос на регистрацию, но дальше никаких действий.

Возможно причина в том, что с фронта не зарегистрироваться как суперюзер, а вот с привилегиями чуть ниже без проблем. Да и бот может ещё не заточен до конца. Понятно только, что бьют именно по последней уязвимости с регой и повышенными привилегиями, потому что в логах всего один пост запрос на регистрацию, но дальше никаких действий.

Возможно это как бот-сеть, сначала всех заразить (получить доступ), а потом в определенный момент можно всех активизировать.

Вчера обновил Joomla до последней версии, а буквально до этого обнаружил, что вот-вот часов 5 до обновления зарегистрировался кто-то под двумя никами и получил права "Администратор" (в пользователях обнаружил).
Из того на что могу думать, это или не успевший обновится движок, или как вариант JCE редактор, но он обновлен до последней версии, да и через него в основном загружают всякие файлы, шелы и прочее. А вот получить права админа, это что-то новенькое.
Конечно навредить он вроде бы не успел, во всяком случае заметно навредить. Но вдруг кто сталкивался и это стандартная "болячка".

болячка, которую решало последнее обновление. которое вышло во вторник. так что не тяните с обновлениями. в следующий раз. а в этот - уже теперь надо убеждаться, что он только зарегистрировался, и больше ничего.

Да, вчера вечером обновился. Спасибо за ответ.

Да, вчера вечером обновился. Спасибо за ответ.

Если юзер был активирован, проверяйте весь сайт. файтически с доступом в админ часть можно сделать все что угодно

Посмотрите Менеджер пользователей/Настройки (кнопка справо вверху).
У вас активизация самостоятельно? если да, то возможна лазейка.

Советую установить с проверкой через ссылку по имейлу.
И не отсылать пароль!

На скрине поменяйте под себя.

Не не, он не успел активировать свои данные и в двух столбиках стояли крестики.

Да и в настройках убрал всевозможные манипуляции в группе "админ".

Посмотрите Менеджер пользователей/Настройки (кнопка справо вверху).
У вас активизация самостоятельно? если да, то возможна лазейка.

Советую установить с проверкой через ссылку по имейлу.
И не отсылать пароль!

На скрине поменяйте под себя.

Да, активация самостоятельная, но вроде бы если закрыли в последнем обновлении, то по идее боятся нечего? Можно оставить самостоятельную активацию?

можно оставить

Я не подскажу, какие щас боты и как они реагируют на "самостоятельность".
Сайты, что я делал и там самостоятельно стоит-вроде не ломают.
Даже 2.5 есть притендент, живой!

Личные-только через Админа+секьюрити, как минимум плагин для админки.
Хотя бы лайт https://extensions.joomla.org/extensions/extension/access-a-security/site-security/jsecure-lite

Если подробнее-плагинов и компонентов много по защите, не говоря уже про хтасес и иные запреты.
Т.к. может через админку лезут, а не с фронта.

Т.к. может через админку лезут, а не с фронта.

Мой со скрина в первом посте зарегался через фронт

Мой со скрина в первом посте зарегался через фронт

Значит обнова была устаревшая, т.е. поздняя.
Но мне кажется не вовремя и уже лазейка ранее была.

Можно рискнуть: сделать полный бекап и физически накатить обновление заменой папок/файлов.

Так о том и речь что стоило опоздать чуть чуть. Кстати там еще топик про это был может склеить коль уже выделили отдельно.
P.S кастати может кусок лога до кучи

Лазейка с версии 3.4.4 как вещает нам официальная новость. Это не sql инъекция, не залитые ранее шеллы и т.п. - это именно недостаточная фильтрация данных при регистрации. Возможно, у кого активация совсем отключена (зарегался и сразу активен) - там какие-то будут последствия сразу. В будущем, я думаю, бота модифицируют)

Из лога:

Вы еще не обновились?) Тогда мы идем к вам!)))

Спойлер

[свернуть]

Если не секрет, можно хешь пасс увидеть зарегеного юзера?)

Заметил, что почти все квики на 3.4.х старые, а новички их ставят.
А клуб.разработчики думаю врятли их перепишут.
Вот работы прибавиться 

Если не секрет, можно хешь пасс увидеть зарегеного юзера?)

Не, уже не можно)

Кстати. совсем забыла)) Именно на этом сайте у меня выпилены формы регистрации)) Регистрация юзеров проходит через другой компонент.
Вот сегодня смотрю уже поляки долбились пол дня)) Раз 10 заходили по URL, где родная форма регистрации должна быть, а ее там нету)) Ну они расстроились и ушли)))

  ну зачем вы так? Сделайте для поляков переадресацию на "что-то ужасное" по их набора айпи, пусть радуются  

На форуме тут смотрю тоже лезут, видел пару тем, пока не удалили.

Кстати поляки закалупали, регистрируются и не активируются, смысл сего действа не понятен.

Не много отойдя от темы. Вопрос философского характера а на кой вообще все эти недо взломы. Ну ботов я имею ввиду. Ок допустим хакнул оставил каку. А смысл бот пробьется только в захудалый сайт. Линк оставить себе дороже. Вредоносный скрипт вшить любой захудалый антивирь юзера его заблокирует. Так что хоть убейте знаю как это сделать даже могу сделать,  но не понимаю зачем это нужно.

Весело.
Наткнулся на тему, зашел в админку и обомлел... и это с защитой страницы входа в админку от ревизиум. Обновился 26.10.16 примерно в 1.00.