Админка каждое утро слетает! Все Юзвери становятся SuperAdmin. Кто сталкивался! - Безопасность сайтов на Joomla

Админка каждое утро слетает! Все Юзвери становятся SuperAdmin. Кто сталкивался!? Началось все с недельным перерывом. А теперь каждый день. Установил плагин защиты админки. Удалил лишние строки из окна регистрации. Удалил лишние компоненты, включая JCE. В общем, если честно глубоко я еще не копал. Пока времени нет. Да и раньше проблем не знал, началось внезапно поэтому вот набираюсь опыту. И что интересно, мои коллеги, кто на том же хосте паркуется в том же говне оказались. 5 человек с абсолютно одними симптомами.  Joomla 2.5.11 обновлённая. Может, кто знает. Хотелось бы сузить круг поиска проблемы.

Ставили ли сами или Ваши коллеги какие-либо скачанные с вареза расширения? Можете вспомнить, какую именно версию редактора JCE Вы удалили у себя?

Меняйте хостера.

@draff,

Пока мы не узнаем, что представляет собой веб сайт топикстартера в отношении присутствия на нем вареза (в прошлом или настоящем), мне Ваш совет кажется слегка преждевременным.

Уходить на новый хостинг/сервер со старым сайтом (в случае, если на нем стоят варезные расширения)? Чтобы затем наступить на те же грабли?

AlexSmirnov, никакой варез не может привести к таким последствиям. Не нужно вводить ТС в заблуждение.

а все просто сейчас после уже удачных массовых взломов начинают скрипты раскладывать, разного назначения со сменой либо прав либо пасов или самое интересное заведение своих пользователей, не переживайте сильно, просто тех кто не дочистив сайт до конца ожидают интересные события в будущем:
1 изучать движок глубже
2 чистить все тщательно
иначе все будет просто по кругу, вы якобы почистили а через неделю о пачки, и снова и опять
думаю уязвимостей становится меньше искать их трудо и время затратно, а раскидать свои скрипты которые будут работать с базой пользователей намного проще, это же бот делает
ищите у себя такой скрипт он может быть вшит в файлы движка

@draff,

Пока мы не узнаем, что представляет собой веб сайт топикстартера в отношении присутствия на нем вареза (в прошлом или настоящем), мне Ваш совет кажется слегка преждевременным.?

Ну можно написать письмо хостеру о наличии уязвимости в ПО хостинга.Но по ситуации ТС, такая проблема это не уязвимость скриптов сайта.

@draff,

Я полностью согласен с рекомендацией связаться с хостером. У него имеется много ниточек, потянув которые можно найти откуда ветер дует. Я также придерживаюсь мнения, что ответственность за веб сайт и его безопасность несет прежде всего сам его владелец. Ребенку ясно, что если владелец сайта ставит на свою Joomla варезные расширения со вшитыми подарками, то ни о какой безопасности говорить не приходится.

Ух ты! Я очень рад что топик не остался без внимания. И так по порядку.
1. Систему скачал отсюда http://joomdom.com/687-rt-leviathan.html за счет того что можно качать на прямую
2. Поставил RT Chapelco_2.5 от ракетчиков прямо demo вместе с CMS 2.5.9 по-моему и обновился до 2,5,11
4. Хостинг firsthost.lv очень дешевый и на мой взгляд очень говняный. начал мониторить последнюю неделю 4 часа в полном ауте с 23:00 до 3:00 воскресенье с 9:00 до 11:00 и с 17:00 до 18:00 всегда работает с перебоями. Хостера меняю. Как раз сейчас в процессе. Перехожу на CloudHost/
3. Использовал скрипты

• Akeeba Backup Core 3.4.3 (2012-03-21) оф.сайт
• Incapsula / не помню
• com_jce_223_new / оф.сайт / снес
• com_j4age_4.0.2.6_Beta / не помню
• sh404SEF v3.4.5.1255 / варез
• WidgetKIT by YooTheme for 2.5 v.1.3 / варез
• X_mab / варез
• конструктор форм отечественного производства с редиректом САМОДЕЛКИ / http://delajoom.ru/
• KSecure / варез
• plg_jw_allvideos-v4.4 / варез
• mod_nurte_fb_likebox_j16_j17_1.2. / варез
• AddThisPlugin-1.1.7 / оф.сайт

Постепенно развивается паранойя на почве установки нужных расширений.

Признаюсь, JCE не трогал до вчерашнего дня. Снес. Утром админка открылась. Посмотрим, что будет дальше. На счет хостинга. Сейчас нашел вменяемого человека способного реагировать адекватно на вопросы. Переезжаю к ним и буду уже разбираться поэтапно вместе с ним. О результатах отпишусь. Если будут еще, какие соображения на мой счет, пожалуйста, пишите.

Удачи на новом хостинге, но перед новым началом, настоятельно рекомендую взглянуть на ответ нр 12 в теме по ссылке Не используйте варез!. Вы не первый сталкиваетесь со взломанным Joomla сайтом. Причин взлома и захвата сайта - множество, как на уровне Вашего собственного компьютера, так и на сервере. Замена Ваших варезных расширений на их платные или бесплатные аналоги будет хорошим шагом в нужном направлении. Удачи.

Спасибо. Я об этом сейчас серьезно думаю. Но вот например JCE к каторому я привык и альтернатив нет, как с этим быть? Тут даже оф.версия имеет щели.

danavir, последняя официальная версия JCE дыр не имеет. Можете смело качать с оффсайта и ставить.

Отлично. Спасибо. А вот на счет платных шаблонов... тот что я уже начал использовать и мне подходит по тематике и всему остальному относится к клубу. Клубиться я как то желания не имею, возможно ли получить чистый шаб просто за деньги, без жертвопринашений?

Правильно ли я понял рокетчиков? Они предлагают за 50$ - 60 дней 1 сайт 75$ - 180 дней 2 сайта при этом я могу скачать такое количество шаблонов которое мне нужно, но публиковать могу только 1 ли 2 в зависимости  от пакета услуг. Правильно? А что с ними будет после окончания подписки? Ими можно будет пользоваться?

Вы правильно понимаете. Entitlement действительно означает право на установку (с поддержкой) на сайте. Количество шаблонов к скачиванию во время срока подписки не ограничено.

По окончании скрока действия подписки закрывается Ваш доступ к форуму поддержки и к скачиванию шаблонов, но шаблон(ы) можно использовать пожизненно.

У нашего отечественного пытливого ума сразу вопрос возникает - Entitlement как регулируется провидцами? Могу ли я пользоваться более указанных в Entitlement на субдаменах? Огромное спасибо за помощь.

Если на субдомене - один шаблон и на главном сайте - еще один, то это означает два Entitlemens.

Арифметика мне теперь понятна. Но после выхода из клуба как я могу распоряжаться сем богатством, которое накачал? Неужели ракетчики будут продолжать видеть какое количества их продукции публикуется на моих субдолменах? Тем более для закрытого пользования с блоком на robots.txt

При всем уважении, мне не нравится ход Ваших мыслей.
 

Арифметика мне теперь понятна. Но после выхода из клуба как я могу распоряжаться сем богатством, которое накачал? Неужели ракетчики будут продолжать видеть какое количества их продукции публикуется на моих субдолменах? Тем более для закрытого пользования с блоком на robots.txt

У Rockettheme скачанные шаблоны никак не привязываются к Вашей учетной записи на их сайте, у них просто надпись что Вы можете использовать на стольки то доменах (в отличие от того же Yootheme, Gavick, где есть опция ввода имени домена). Все зависит на Вашей честности =))))

Я думаю, что здесь дело не только в совести, а в простой инжинерной простоте и житейском смысле.

 Можно действительно насоздавать себе веб сайтов на тех самых шаблонах, на которых у Вас нет прав, по самые помидоры. Нет проблем. Радуемся.

Затем, когда его разработчики внесут в него важное обновление, особенно критически важное обновление, по безопасности или еще какому-либо важному параметру, что Вы будете делать? Работать на старой системе и молча наблюдать как она рассыпается?

Я предвижу визит сюда в эту тему экспертов в области упомянутой Вами схемы нелицензионного использования шаблонов, и их щикотание Ваших ушек. Но помните, что Ваш веб сайт - эта Ваша личная репутация и Ваш личный мир в душе, больше ничей, особенно, если на шаблоне создается бизнес сайт.

Кроме того, по личному опыту в том же клубе: при каждом продлении своей шести-месячной лицензии Вы получаете в добавок, если не ошибаюсь,  две (!) новых. Кто мешает договориться с кем-либо здесь или на сайтах фрилансеров, продать их установку и вернуть себе деньги как минимум заплаченные за лицензию?

Я думаю, что здесь дело не только в совести, а в простой инжинерной простоте и житейском смысле.

 Можно действительно насоздавать себе веб сайтов на тех самых шаблонах, на которых у Вас нет прав, по самые помидоры. Нет проблем. Радуемся.

Затем, когда его разработчики внесут в него важное обновление, особенно критически важное обновление, по безопасности или еще какому-либо важному параметру, что Вы будете делать? Работать на старой системе и молча наблюдать как она рассыпается?

Я предвижу визит сюда в эту тему экспертов в области упомянутой Вами схемы нелицензионного использования шаблонов, и их щикотание Ваших ушек. Но помните, что Ваш веб сайт - эта Ваша личная репутация и Ваш личный мир в душе, больше ничей, особенно, если на шаблоне создается бизнес сайт.

Кроме того, по личному опыту в том же клубе: при каждом продлении своей шести-месячной лицензии Вы получаете в добавок, если не ошибаюсь,  две (!) новых. Кто мешает договориться с кем-либо здесь или на сайтах фрилансеров, продать их установку и вернуть себе деньги как минимум заплаченные за лицензию?

Не нужно путать кислое и темное. Продление подписки и получение обновлений это одно, а использование шаблонов на большем количестве сайтов это другое. Никто не мешает продлить лицензию и обновить свои сайты. Да и исходя из Вашей "логики" можно купить одну лицензию и установить на одном домене и так же, не обновлять его потом как и множество сайтов.

И кто сказал что у нас как у подписчиков нет прав. Вы купили подписку, получили шаблоны, поддержку и дальнейшие обновления. Лимитирование количеством доменов это перегиб разработчиков.

Дело в том что субдамены мне нужны для студентов на одну две недели, потом я их стираю. Adobe например дает месяц на демо версию и ни кто ему уши не щекочет. Тут я думаю просто от политики партии зависит. А разобраться нормально взвесив все за и против, это я считаю просто здравый смысл. Остальное дело честности и маркетинга. И за разъяснения спасибо и за предупреждение тоже. Этот вопрос предпочетаю закрыть и вернуться к изночальному.

Нет проблем. Успехов в проекте в любом случае.

О! Кстати о студентах. Я время от времени встречаю на веб сайтах различных коммерческих расширений под Joomla среди различных опций по оплате скидки или полную отмену оплаты для некоммерческих, благотворительных организаций и церквей.

Кроме того, топ догс, типа Микрософт, Адобе и другие, всегда имеют специальные лицензии для образовательных учреждений, колледжей и т.д..

В целом, если у Вас есть возможность официально подтвердить принадлежность проекта образовательному учреждению, я думаю всегда стоит проявить настойчивость и связаться с разработчиками шаблонов. Те, кто работают сами на себя или с небольшим штатом девов, всегда готовы проявить гибкость. Имейте в виду.

Да, спасибо. Это действительно следует проверить и проявить настойчивость. Отпишусь о результатах. Мне тоже интересно проверить их гибкость.

И так, на счет хостинга. Переехал на minunet.eu с новым доменом, поскольку от старого хостера firsthost.lv даже на получилось оперативно получить EPP. Целый день обещаний кончился примитивным игнором. Цена на новый хостинг в двое дороже, но зато: облачный, парковка количества доменов без ограничений с возможностью каждого на выделенном месте без связи друг с другом, 200Gb памяти, 2Tb трафика. Монеторю скорость второй день - без зависаний очень быстро. И что самое главное - админка второй день не слетает. Но это конечно еще не о чем не говорит. Посмотрим, что будет дальше.

Ну если шелл не потянули с файлами сайта, то будет нормально.

Вот, вот. Сейчас это и хочу проверить. Возможно shell в общей папки на старом хосте. Там все сайты в одной директории. Ни кому не советую использовать такой коммунальный сервис. чревато...