Регистрация злоумышленников с правами "Администратор" - Joomla 3.4.4 - 3.6.3 - страница 3 - Безопасность сайтов на Joomla

Обновить через менеджер обновлений.

У меня ошибки обновления на хостинге IHC, а на таймвэбе и рег.ру все нормально обновилось.

Версия Joomla 3.5.1, хостинг IHC, обновиться не получается ни через Live, ни через Upload.
Прямо на глазах только что на моём сайте злодеи повторили всё вышеописанное.
Логи прилагаю. Кто-нибудь может подсказать, что это было?

Версия Joomla 3.5.1, хостинг IHC, обновиться не получается ни через Live, ни через Upload.
Прямо на глазах только что на моём сайте злодеи повторили всё вышеописанное.
Логи прилагаю. Кто-нибудь может подсказать, что это было?

Спойлер

[свернуть]

Спойлер

[свернуть]

Тут взломщик берет секретный токен для реализации эксплоита:

181.30.2.202 - - [01/Nov/2016:01:06:10 +0300] "GET /index.php/component/users/?view=login HTTP/1.1" 200 8413 "http://mysite.ru/index.php/component/users/?view=login" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"

тут взломщик реализует саму уязвимость:

178.124.167.236 - - [01/Nov/2016:01:08:23 +0300] "POST /index.php/component/users/?task=user.register HTTP/1.1" 200 6251 "http://mysite.ru/index.php/component/users/?task=user.register" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"

тут взломщик, с помощью добавления нового админа, через уязвимость, идет довольный в админку:

178.124.167.236 - - [01/Nov/2016:01:08:24 +0300] "GET /administrator/index.php HTTP/1.1" 401 1154 "http://mysite.ru/administrator/index.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"

Админка "Фиг вам" показывает, из-за бейсик авторизации....

ну а далие взломщик пытается убедиться, ничего ли он, не напутал, может что нить да залилось...

Сайты на хостинге IHC удалось обновить только сегодня после 10 часов по Мск.

Тоже появился админ:
Положил в папку administrator .htaccess
Зарегистрируются, но хоть в админку не зайдут, но.. Сама Joomla никак эту папку не использует? Не сломается ли чего на сайте если скрипты сайта тоже не смогут до этой папки добраться?

Кстати проверял логи нескольких сайтов бьют по дыре раз в день стабильно

Что если группу Administrator вообще удалить? Если у сайта всего 1 администратор, то она и не нужна?

Что если группу Administrator вообще удалить? Если у сайта всего 1 администратор, то она и не нужна?

Да по сути если на сайте только юзеры и один супер админ то можно оставить
Public
–  Guest
–  Super Users

Просто удалять лень, да и мало ли понадобиться (хотя восстановить или создать заново не проблема). Но я после обновы новый админов на сайтах не замечал.

Я её в группу Registered перенёс, добавил 1 свой акк в группу Administrator, попробовал им, в админку зайти не может и материалы редактировать с фронта тоже.

Я её в группу Registered перенёс, добавил 1 свой акк в группу Administrator, попробовал им, в админку зайти не может и материалы редактировать с фронта тоже.

Не волнуйтесь там и права потом подправили бы. и все что нужно бы сделали. Это только первая волна. Задача простая создаться, а остальное потом, а самое занятное что многие и не заметят. Ведь если на сайте только юезр и это супер админ, то в менеджер пользователей он редко заглядываем

а зачем такой геморой, когда достаточно обновиться?

вот одно из оригинальных решений!

Положил в папку administrator .htaccess

Код

Order Deny,Allow
Deny from all
Allow from мой_пул_IP

Зарегистрируются, но хоть в админку не зайдут

Во первых не факт что завтра не найдут другую дыру, а во вторых после этих обновлений постоянно какой ни будь компонент начинает глючить.

Во первых не факт что завтра не найдут другую дыру, а во вторых после этих обновлений постоянно какой ни будь компонент начинает глючить.

Во первых факт что дыры есть и еще будут. Во вторых факт если не будете обновлять, то сайт вообще превратиться в решето. В третьих, пользуйтесь нормальными компонентами, которые обновляются и будет вам счастье

Я на 3 с 1 перевёл сайт только в этом году, до этого несколько лет никто там ничего не ломал, походу просто все забыли что есть такая версия Joomla. Но после переноса и первого обновления пришлось менять компонент, импортировать данные в новый, опять его править под себя, прописывать редиректы со старых ссылок. Регулярно я проводить эту процедуру не готов, и ждать переиндексации тоже. Прописать  3 строки в  .htaccess всё-же проще.

Я на 3 с 1 перевёл сайт только в этом году, до этого несколько лет никто там ничего не ломал, походу просто все забыли что есть такая версия Joomla. Но после переноса и первого обновления пришлось менять компонент, импортировать данные в новый, опять его править под себя, прописывать редиректы со старых ссылок. Регулярно я проводить эту процедуру не готов, и ждать переиндексации тоже. Прописать  3 строки в  .htaccess всё-же проще.

Вы же понимаете что эти 3 строки ничего не дают, да и кому нужен доступ в админку если просто нужны права админа? вы переносили сайт с 1.x на 3.x разумеется у вас половина не работает. Это не то что сл поколение cms это аж через одно. Пере индексация, вы о чем можно было спокойно сохранить линки если обратились к специалисту ну или редирект сдлать если уж на то пошло. И если бы регулярно обновлясь то таких проблем бы не было.
Хотя дело сугубо ваше. Тут горький опыт сайта решето учит лучше всяких слов.

вы переносили сайт с 1.x на 3.x разумеется у вас половина не работает.

Всё у меня работает. Я просто сделан новый сайт на 3 Joomla и импортировал туда данные со старого. Работать компонент перестал после обновления уже третьей на другую третью. Обновиться оказалось сложнее чем просто ткнуть на кнопку и гуглом нашлись ещё люди у которых то-же самое работать после того обновления перестало.

Всё у меня работает. Я просто сделан новый сайт на 3 Joomla и импортировал туда данные со старого. Работать компонент перестал после обновления уже третьей на другую третью. Обновиться оказалось сложнее чем просто ткнуть на кнопку и гуглом нашлись ещё люди у которых то-же самое работать после того обновления перестало.

Смотря какого компонента.

Странно а на кой ему 7 если у дефолтной 8 прав то побольше

Создать суперадминистратора только можно с соответствующими правами (суперадмин.). Хоть это корректно фильтровалось, поэтому и создаются только простые админы.
Но при этом уязвимость позволяет менять логин пароль и т.д. при известном ид (вычислил ид суперадминистратора и меняешь пароль).

Тоже столкнулся.
На части сайтов Админы активированы. Сегодня пришло письмо счастья от IHC
Услуга сайт «site.ru» в вашем заказе p20XXXX заблокирована по причине: На вашем заказе производился запуск вредоносного/резидентного ПО, что запрещено условиями оферты http://www.ihc.ru/oferta.html.


Коснулось только Joomla версии  3+  (есть пара динозавров на 2 версии)
Проверка антивирусом:
Здравствуйте.
Ваш хостинг p20XXXX был проверен антивирусом.

Найдены вирусы!
Список инфицированных файлов:

.../site/media/zoo/applications/jbuniversal/framework/views/jbinfo/systemreport_result.php - Doubt.PHPInfo

.../site/site/templates/atomic/error.php - Eval.request
.../site/site/templates/atomic/ini.php - Trojan.Inject.5


Проверил все сайты. Подверглись заражению в том числе те, у которых директория administrator была с дополнительным паролем.

уже говорили, дополнительный пароль на админку никак не влияет на эту уязвимость. собственно, такие регистрации - это уже просто констатация очевидного. кто не успел (обновиться), тот опоздал. тема и была создана, в дополнение ко всем аналогичным, чтобы люди читали и обновлялись. поэтому следите за новостями, и обновляйтесь вовремя. это первое в безопасности сайта.

А  теперь как действовать? могу откатится на пару недель, обновится.
Но что еще порекомендуете?

могу откатится на пару недель, обновится.

ну если есть заведомо чистый бекап с актуальными данными, то можно и откатиться и обновиться

У меня вчера на форуме зарегистрировались два пользователя с именами: joomcontrol и mkzss
И смогли стать администраторами форума (Kunena). Пользователь mkzss был заблокирован системой.
Который joomcontrol успел после регистрации зайти на сайт утром. Что делал не понятно...
Сканирую сайт на вирусы - ничего не находит.

Погляди в логах, что делал пользователь с этим IP

У меня вчера на форуме зарегистрировались два пользователя с именами: joomcontrol и mkzss
И смогли стать администраторами форума (Kunena)

версия Joomla какая?

версия Joomla какая?

после обновления сегодня - 3.6.4, а до этого была 3.6.2

Погляди в логах, что делал пользователь с этим IP

А как узнать IP этих пользователей? Они удалены уже.

Может время регистрации сохранилось? Можно поглядеть кто регистрировался в это время.

А как узнать IP этих пользователей? Они удалены уже.

Посмотрите в access_log на момент регистрации.

Время регистрации есть, но в аксеслог не сохранилось эта запись (сохраняет только последние 5000 строчек)
Так как со вчерашнего вечера слишком много ботов было на сайте, они всё заспамили