В админке еще один администратор - Безопасность сайтов на Joomla

Здравствуйте!
Такая ситуация: зашла в админку и увидела...еще одного супер-администратора. Я его удалила. Подскажите, что это было? Сайт что, взломали?
Проверила AI-Bolit'ом - написано - Вирусы и вредоносные скрипты не обнаружены. Подозрение на мобильный редирект, подмену расширений или автовнедрение кода (1)

Скажите, что нужно делать? Как узнать, что это был за super user, откуда он?
Кстати, сайт работает, все вроде внешне нормально.

Взломан. Обновите Джумла до актуальной версии.

Была такая дыра в Joomla, что можно было создать суперадмина.

Была такая дыра в Joomla, что можно было создать суперадмина.

Подскажите, а как подробнее узнать, где эта дыра (куда смотреть, где искать?) и как ее залатать?

Взломан. Обновите Джумла до актуальной версии.

Так, обновляю регулярно Джумлу и компоненты/модули и пр.

Подскажите, а как подробнее узнать, где эта дыра (куда смотреть, где искать?)

Вроде в 3.5 была, я уже и не поню Так или иначе надо все почистить и обновить движок

Вроде в 3.5 была, я уже и не поню Так или иначе надо все почистить и обновить движок

1. Проверила AI-Bolit'ом. Выше написала, что он обнаружил.
2. Как еще чистить?
3. Обновить движок? так он обновлен до самой последней версии.

3. Обновить движок? так он обновлен до самой последней версии.

То бишь админ появился в j3.8.1?
Так или иначе. В подобной ситуации стоит обратиться к специалистам в этой области. Они прострят расширения может там где дыра, залатают и почитят. Спецов тут хватает.
Пишите в коммерческий раздел если не хотите конечно сыграть в русскую рулетку.

То бишь админ появился в j3.8.1?

Тоже интересно узнать версию. Уязвимость в Джумла была начиная с 1.6 до 3.7.5 .
Смотрите запросы к компоненту com_users в логах хостинга .

То бишь админ появился в j3.8.1?
Так или иначе. В подобной ситуации стоит обратиться к специалистам в этой области. Они прострят расширения может там где дыра, залатают и почитят. Спецов тут хватает.
Пишите в коммерческий раздел если не хотите конечно сыграть в русскую рулетку.

Я хочу САМА научиться это все делать. Да, админ появился именно в обновленной версии. Просто прошу меня направить в нужное русло (ни в коем случае, не нужно делать за меня). Значит, нужно еще раз просканировать сайт на вирусы? Чем именно вы выявляете эту самую дыру?

Известно, когда именно появился суперадмин?
Сайт обновлялся - с какой версии он живет? Как быстро обновлялся?
Варез может?
Соседние сайты на аккаунте?

Смотрите запросы к компоненту com_users в логах хостинга .

Да этих запросов до сих пор хватает, боты все еще долбят по этой дыре.

Я хочу САМА научиться это все делать.

Ну желания похвально, но чтобы этому научиться, не обходим ни один год.
Направить, ну начать стоит с того чтобы научиться ломать сайты.
Ну и как верно сказано начните с просмотра логов.

Чем именно вы выявляете эту самую дыру?

Опытом и гуглом ))

Известно, когда именно появился суперадмин?
Сайт обновлялся - с какой версии он живет? Как быстро обновлялся?
Варез может?
Соседние сайты на аккаунте?

1. Супер-админ появился 19 числа.
2. Сайт обновляется. В последний раз обновлялся спустя неделю после выхода обновления.
3. Варез? Не знаю. Вроде все модули и компоненты загружаются с оф.сайтов
4. Соседних сайтов на аккаунте нет.

Да этих запросов до сих пор хватает, боты все еще долбят по этой дыре.Ну желания похвально, но чтобы этому научиться, не обходим ни один год.

Занимаюсь Jooml'ой лет 5. Но такое впервые.

1. Супер-админ появился 19 числа.
2. Сайт обновляется. В последний раз обновлялся спустя неделю после выхода обновления.
3. Варез? Не знаю. Вроде все модули и компоненты загружаются с оф.сайтов
4. Соседних сайтов на аккаунте нет.

Интересно. Нетипичная ситуация. Сложно что-то предположить в таком случае, надо детально смотреть сайт.
ЗЫ. А тупо ваша учетка могла быть скомпрометирована?

Сверьте свой список расширений с https://vel.joomla.org/live-vel https://www.cvedetails.com/vulnerability-list/vendor_id-3496/product_id-16499/Joomla-Joomla-.html . А вообще если он был неактивированный, то достаточно обновится. Возможно вас не заразили.

То есть сайт у вас обновлен до 3.8.1? Может вы кому то пароли давали раньше?

Пароли сложные на фтп админку и другое? Доступы посторонним давали?

Пароли сложные на фтп админку и другое? Доступы посторонним давали?

Нет, пароли не давали.
В общем, сайт школьный. Есть подозрение, что взломал старшеклассник через авторизацию.
В логах есть IP адрес. Кстати, а как узнать IP адреса зарегистрированных пользователей?
В логах много обращение такого типа:
/administrator/index.php?option=com_installer
/administrator/index.php?option=com_config
/administrator/index.php?option=com_installer&view=manage

и так далее, больше 50-ти запросов такого формата.

Если 200 ответ этих запросов и смотрите айпи. Это производились определённые действия в админке ( то бишь уже залогиненного пользователя).

Поменяйте все пароли. Закройте админ часть сайта средствами сервера. Если постоянный IP заблокируйте вход файлом htaccess. И посмотрите откуда ломятся. Если не поможет сделайте откат на стабильную версию и повторите все процедуры.

Поменяйте все пароли. Закройте админ часть сайта средствами сервера. Если постоянный IP заблокируйте вход файлом htaccess. И посмотрите откуда ломятся. Если не поможет сделайте откат на стабильную версию и повторите все процедуры.

Да, все это было сделано сразу же, сейчас просто разбираемся, как такое могло произойти.

Вопрос: как узнать IP зарегистрированных пользователей?

Да, все это было сделано сразу же, сейчас просто разбираемся, как такое могло произойти.

Вопрос: как узнать IP зарегистрированных пользователей?

Смотрите в логах. Но если плавающий IP это ничего не даст. Как могло произойти? Дыра в расширениях, взлом сайта, взлом компа, взлом соседних сайтов, взлом сервера (но редко), тот кто делал отставил шел. Смотрите в логах за несколько дней до появления проблем. Если есть перебор, особенно регистрации смотрите все с этим адресом.   

Школьный сайт, может просто пароль узнал, вошел и создал еще одну учетку с правами? Мало ли где пароль записан...

Да, все это было сделано сразу же, сейчас просто разбираемся, как такое могло произойти.

Вопрос: как узнать IP зарегистрированных пользователей?

А вы случаем там где нить в школе из общей сети wi-fi не сидите? может выходили в админку из общей сети и там вас через wireshark к примеру перехватили...

может выходили в админку из общей сети и там вас через wireshark к примеру перехватили...

Не думаю, что школьники будут баловаться с такими анализаторами, здесь нужны знания сетей и протоколов. Хотя кто их знает... Лично я более склонен к тому, что либо скомпрометировали пароль, либо через расширение какое-нибудь. У бюджетников денег обычно никогда нет, все держится на энтузиазме и честном слове. Возможно и сайт создавался таким же "профи" в кавычках.

@Lidia, у нас в отделе есть женщина, занимается проектно-сметной документацией. У нее очень много вопросов по использованию компьютера, в том числе по использованию браузера и поисковиков. Я очень приветствовал поначалу ее желание всему научиться самостоятельно, помогал, подсказывал. Но потом осознал, что это бесполезно, т.к. для нее интернет - это Яндекс. Нет Яндекса - нет интернета. Яндекс запускается по нажатии на значек E в трее. И, если там сменить домашнюю страницу на другую, человек впадает в ступор и не понимает, что делать дальше, ведь должен быть Яндекс, а если его нет - значит надо бежать к айтишникам и жаловаться на отсутствие интернета.

Я ни в коем случае не хочу этим примером приуменьшить ваши знания в этой области, но ответившие вам правы - для того, что бы уметь проанализировать логи и понять, каким образом у вас появился суперюзер, нужно много знать. В том числе и понимать работу сервера. Этому за короткий срок не научиться. Волнует безопасность? Проще нанять специалиста, вам все сделают и расскажут. Например, тот же @winstrool.

P.S. И Айболит не панацея. Кстати, его лучше в параноидальном режиме запускать и самостоятельно анализировать все его сообщения.

Не стоит школьников недооценивать - в плане того чтобы что-нибудь взломать некоторые из них очень даже подкованные могут быть)