Форум русской поддержки Joomla!® CMS
09.12.2016, 11:50:32 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2 3 4   Вниз
  Добавить закладку  |  Печать  
Автор

Регистрация злоумышленников с правами "Администратор" - Joomla 3.4.4 - 3.6.3

 (Прочитано 1786 раз)
0 Пользователей и 1 Гость смотрят эту тему.
ELLE
Support Team
*****

Репутация: +862/-0
Online Online

Пол: Женский
Сообщений: 4723



« : 27.10.2016, 20:21:43 »

Вы еще не обновились?) Тогда мы идем к вам!)))
Показать текстовый блок
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #1 : 27.10.2016, 20:30:32 »

Вы еще не обновились?) Тогда мы идем к вам!)))
круто Azn а с активацией что? угадал все буквы, но не смог прочесть слова целиком? Azn
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Online Online

Пол: Женский
Сообщений: 4723



« Ответ #2 : 27.10.2016, 20:51:59 »

круто Azn а с активацией что? угадал все буквы, но не смог прочесть слова целиком? Azn
не смог/не успел/оставил на потом - кто его знает, записки не оставил Azn
здесь у меня в настройках стоит самостоятельная активация по почте, попытки войти после реги не было
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #3 : 27.10.2016, 21:14:22 »

не смог/не успел/оставил на потом - кто его знает, записки не оставил Azn
здесь у меня в настройках стоит самостоятельная активация по почте, попытки войти после реги не было
А id группы какое?
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Online Online

Пол: Женский
Сообщений: 4723



« Ответ #4 : 27.10.2016, 21:15:53 »

А id группы какое?
7
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #5 : 27.10.2016, 21:17:36 »

7
Странно а на кой ему 7 если у дефолтной 8 прав то побольше
Записан
zikkuratvk
Профи
********

Репутация: +258/-2
Offline Offline

Пол: Мужской
Сообщений: 3938


Разрабатываем для Joomla


« Ответ #6 : 27.10.2016, 22:46:30 »

Странно а на кой ему 7 если у дефолтной 8 прав то побольше
это правильно)) суперадмина может будут проверять)) а администратора не факт))
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #7 : 27.10.2016, 23:30:42 »

это правильно)) суперадмина может будут проверять)) а администратора не факт))
Не согласен. Ибо супер админа редко трогают, а вот переименовать\переделать\удалить админа это запросто, да я бы даже сказал вполне распатронено. А если и проверяют то всех.
« Последнее редактирование: 27.10.2016, 23:36:56 от Septdir » Записан
ELLE
Support Team
*****

Репутация: +862/-0
Online Online

Пол: Женский
Сообщений: 4723



« Ответ #8 : 27.10.2016, 23:41:16 »

Возможно причина в том, что с фронта не зарегистрироваться как суперюзер, а вот с привилегиями чуть ниже без проблем. Да и бот может ещё не заточен до конца. Понятно только, что бьют именно по последней уязвимости с регой и повышенными привилегиями, потому что в логах всего один пост запрос на регистрацию, но дальше никаких действий.
« Последнее редактирование: 28.10.2016, 00:11:06 от ELLE » Записан
Apoca1ypto
Завсегдатай
*****

Репутация: +63/-0
Offline Offline

Пол: Мужской
Сообщений: 617



« Ответ #9 : 28.10.2016, 11:54:08 »

Возможно причина в том, что с фронта не зарегистрироваться как суперюзер, а вот с привилегиями чуть ниже без проблем. Да и бот может ещё не заточен до конца. Понятно только, что бьют именно по последней уязвимости с регой и повышенными привилегиями, потому что в логах всего один пост запрос на регистрацию, но дальше никаких действий.
Возможно это как бот-сеть, сначала всех заразить (получить доступ), а потом в определенный момент можно всех активизировать.
Записан
peoplee
Давно я тут
****

Репутация: +5/-7
Offline Offline

Пол: Мужской
Сообщений: 244


www.feldgrau.info


« Ответ #10 : 28.10.2016, 22:45:34 »

Вчера обновил Joomla до последней версии, а буквально до этого обнаружил, что вот-вот часов 5 до обновления зарегистрировался кто-то под двумя никами и получил права "Администратор" (в пользователях обнаружил).
Из того на что могу думать, это или не успевший обновится движок, или как вариант JCE редактор, но он обновлен до последней версии, да и через него в основном загружают всякие файлы, шелы и прочее. А вот получить права админа, это что-то новенькое.
Конечно навредить он вроде бы не успел, во всяком случае заметно навредить. Но вдруг кто сталкивался и это стандартная "болячка".
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #11 : 28.10.2016, 22:47:43 »

болячка, которую решало последнее обновление. которое вышло во вторник. так что не тяните с обновлениями. в следующий раз. а в этот - уже теперь надо убеждаться, что он только зарегистрировался, и больше ничего.
Записан
peoplee
Давно я тут
****

Репутация: +5/-7
Offline Offline

Пол: Мужской
Сообщений: 244


www.feldgrau.info


« Ответ #12 : 28.10.2016, 22:51:56 »

Да, вчера вечером обновился. Спасибо за ответ.
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #13 : 28.10.2016, 22:58:23 »

Да, вчера вечером обновился. Спасибо за ответ.
Если юзер был активирован, проверяйте весь сайт. файтически с доступом в админ часть можно сделать все что угодно
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #14 : 28.10.2016, 23:07:07 »

Посмотрите Менеджер пользователей/Настройки (кнопка справо вверху).
У вас активизация самостоятельно? если да, то возможна лазейка.

Советую установить с проверкой через ссылку по имейлу.
И не отсылать пароль!

На скрине поменяйте под себя.


* 2016-10-28_220847.jpg (12.89 Кб, 467x143 - просмотрено 41 раз.)
Записан
peoplee
Давно я тут
****

Репутация: +5/-7
Offline Offline

Пол: Мужской
Сообщений: 244


www.feldgrau.info


« Ответ #15 : 28.10.2016, 23:13:14 »

Не не, он не успел активировать свои данные и в двух столбиках стояли крестики.

Да и в настройках убрал всевозможные манипуляции в группе "админ".
Записан
peoplee
Давно я тут
****

Репутация: +5/-7
Offline Offline

Пол: Мужской
Сообщений: 244


www.feldgrau.info


« Ответ #16 : 28.10.2016, 23:19:28 »

Посмотрите Менеджер пользователей/Настройки (кнопка справо вверху).
У вас активизация самостоятельно? если да, то возможна лазейка.

Советую установить с проверкой через ссылку по имейлу.
И не отсылать пароль!

На скрине поменяйте под себя.

Да, активация самостоятельная, но вроде бы если закрыли в последнем обновлении, то по идее боятся нечего? Можно оставить самостоятельную активацию?
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7776



« Ответ #17 : 28.10.2016, 23:21:56 »

можно оставить
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #18 : 28.10.2016, 23:25:23 »

Я не подскажу, какие щас боты и как они реагируют на "самостоятельность".
Сайты, что я делал и там самостоятельно стоит-вроде не ломают.
Даже 2.5 есть притендент, живой! Smiley

Личные-только через Админа+секьюрити, как минимум плагин для админки.
Хотя бы лайт https://extensions.joomla.org/extensions/extension/access-a-security/site-security/jsecure-lite

Если подробнее-плагинов и компонентов много по защите, не говоря уже про хтасес и иные запреты.
Т.к. может через админку лезут, а не с фронта.
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Online Online

Пол: Женский
Сообщений: 4723



« Ответ #19 : 28.10.2016, 23:26:52 »


Т.к. может через админку лезут, а не с фронта.
Мой со скрина в первом посте зарегался через фронт
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #20 : 28.10.2016, 23:33:48 »

Мой со скрина в первом посте зарегался через фронт

Значит обнова была устаревшая, т.е. поздняя.
Но мне кажется не вовремя и уже лазейка ранее была.

Можно рискнуть: сделать полный бекап и физически накатить обновление заменой папок/файлов.
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #21 : 28.10.2016, 23:41:35 »

Так о том и речь что стоило опоздать чуть чуть. Кстати там еще топик про это был может склеить коль уже выделили отдельно.
P.S кастати может кусок лога до кучи
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Online Online

Пол: Женский
Сообщений: 4723



« Ответ #22 : 28.10.2016, 23:49:17 »

Лазейка с версии 3.4.4 как вещает нам официальная новость. Это не sql инъекция, не залитые ранее шеллы и т.п. - это именно недостаточная фильтрация данных при регистрации. Возможно, у кого активация совсем отключена (зарегался и сразу активен) - там какие-то будут последствия сразу. В будущем, я думаю, бота модифицируют)

Из лога:
Показать текстовый блок
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #23 : 29.10.2016, 00:00:23 »

Вы еще не обновились?) Тогда мы идем к вам!)))
Показать текстовый блок
Если не секрет, можно хешь пасс увидеть зарегеного юзера?)
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #24 : 29.10.2016, 00:03:06 »

Заметил, что почти все квики на 3.4.х старые, а новички их ставят.
А клуб.разработчики думаю врятли их перепишут.
Вот работы прибавиться  Wink
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Online Online

Пол: Женский
Сообщений: 4723



« Ответ #25 : 29.10.2016, 00:09:25 »

Если не секрет, можно хешь пасс увидеть зарегеного юзера?)
Не, уже не можно)

Кстати. совсем забыла)) Именно на этом сайте у меня выпилены формы регистрации)) Регистрация юзеров проходит через другой компонент.
Вот сегодня смотрю уже поляки долбились пол дня)) Раз 10 заходили по URL, где родная форма регистрации должна быть, а ее там нету)) Ну они расстроились и ушли)))
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #26 : 29.10.2016, 00:20:07 »

 Grin ну зачем вы так? Сделайте для поляков переадресацию на "что-то ужасное" по их набора айпи, пусть радуются  Wink

На форуме тут смотрю тоже лезут, видел пару тем, пока не удалили.
Записан
peoplee
Давно я тут
****

Репутация: +5/-7
Offline Offline

Пол: Мужской
Сообщений: 244


www.feldgrau.info


« Ответ #27 : 29.10.2016, 00:26:23 »

Кстати поляки закалупали, регистрируются и не активируются, смысл сего действа не понятен.
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #28 : 29.10.2016, 00:38:30 »

Не много отойдя от темы. Вопрос философского характера а на кой вообще все эти недо взломы. Ну ботов я имею ввиду. Ок допустим хакнул оставил каку. А смысл бот пробьется только в захудалый сайт. Линк оставить себе дороже. Вредоносный скрипт вшить любой захудалый антивирь юзера его заблокирует. Так что хоть убейте знаю как это сделать даже могу сделать,  но не понимаю зачем это нужно.
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #29 : 29.10.2016, 00:56:47 »

Весело.
Наткнулся на тему, зашел в админку и обомлел... и это с защитой страницы входа в админку от ревизиум. Обновился 26.10.16 примерно в 1.00.


* Без-имени-1.jpg (57.83 Кб, 1024x533 - просмотрено 84 раз.)
« Последнее редактирование: 29.10.2016, 01:01:02 от vitzer » Записан
Страниц: [1] 2 3 4   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet