Joomla 1.5 Сброс паролей админов

Discussion in 'Вопросы безопасности' started by SindBAD, Apr 4, 2011.

  1. Offline

    SindBAD Недавно здесь

    Joined:
    Jun 9, 2009
    Messages:
    100
    Likes Received:
    6
    Gender:
    Male
    Всем привет!
    J! 1.5.22, VM 1.1.4. Потсоянно кто-то меняет пароли админов. Причем мой пароль (первичный аккаунт) никто не трогает, видимо, не знают логина.
    Хотелось бы как-то отследить, каким запросом это делают. Вопрос: реально ли поставить какой-то триггер, который будет реагировать на изменение поля `password` в таблице `jos_users` и куда-нибудь дампить всю доступную информацию? Или как-то сделать так, чтобы все запросы к jos_users логгировались, допустим, в другую таблицу?

    P.S.: знаю, что есть в MySQL триггеры, но никогда не пользовался - не нужны были. Сейчас просто нет времени вникать и разбираться, и не факт что они помогут в данном случае. Администрация нервничает, у людей бизнес буксует... Поэтому подойдёт любой метод, работоспособный на стандартном хостинге.
     
    SindBAD, Apr 4, 2011
    #1

  2. Ads Master

     
  3. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Joined:
    Feb 9, 2007
    Messages:
    2,744
    Likes Received:
    160
    Gender:
    Male
    Если изменений на сайте не было, то вернее всего это простое хулиганство. Конкуренты например шуткуют. Вернее всего просто кто-то делает запрос на смену пароля. Зная почту это запросто, сам как то шутил. Попробуйте поменять мылы, никому не сообщать новые и посмотреть
     
    Asylum, Apr 4, 2011
    #2
  4. Offline

    SindBAD Недавно здесь

    Joined:
    Jun 9, 2009
    Messages:
    100
    Likes Received:
    6
    Gender:
    Male
    Asylum, как раз на мыло ничего не приходит, а пароли меняются. Причем меняют их без помощи интерфейса com_user-reset (это теперь известно наверняка). А вот где и как - не известно.
     
    SindBAD, Apr 4, 2011
    #3
  5. DKraev
    Offline

    DKraev <i>(aka gft)</i> => Cпециалист <=

    Joined:
    Aug 16, 2008
    Messages:
    1,627
    Likes Received:
    219
    Gender:
    Male
    В корне левых файлов нет? Буквально сегодня у клиента в корне нашёл shell, дающий полный доступ ко всему сайту. Он об этом ничего не знал, хотя шелл, по всей видимости, лежит давно.

    Конкретно по теме подсказать не могу, но посоветовал бы поменять пароли к ФТП и к БД и понаблюдать за ситуацией.
     
    DKraev, Apr 4, 2011
    #4
  6. Offline

    SindBAD Недавно здесь

    Joined:
    Jun 9, 2009
    Messages:
    100
    Likes Received:
    6
    Gender:
    Male
    Вроде нет ничего лишнего. Думаю, через шелл давно бы раскрошили весь сайт.
     
    SindBAD, Apr 4, 2011
    #5
  7. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Joined:
    Feb 9, 2007
    Messages:
    2,744
    Likes Received:
    160
    Gender:
    Male
    Текст шелла можно скопировать в файл с вполне безобидным названием, например в лицензию и прочее
     
    Asylum, Apr 5, 2011
    #6
  8. shahin
    Offline

    shahin р-т => Cпециалист <=

    Joined:
    Apr 22, 2010
    Messages:
    438
    Likes Received:
    38
    Gender:
    Male
    можно и по другому, после того как зашли на сайт адресной строке вашсайт.ру/index.php?option=com_user&task=edit и можно поменять пароль и ник и т.д и на мыло ниче не придет
     
    shahin, Apr 5, 2011
    #7
  9. OlegK
    Offline

    OlegK Russian Joomla! Team Staff Member ⇒ Профи ⇐

    Joined:
    Jan 17, 2011
    Messages:
    7,812
    Likes Received:
    771
    Gender:
    Male
    ну это если админка не закрыта.
     
    OlegK, Apr 6, 2011
    #8
  10. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Joined:
    Feb 9, 2007
    Messages:
    2,744
    Likes Received:
    160
    Gender:
    Male
    Можно попробовать поставить плагин защиты админки
     
    Asylum, Apr 6, 2011
    #9
  11. OlegK
    Offline

    OlegK Russian Joomla! Team Staff Member ⇒ Профи ⇐

    Joined:
    Jan 17, 2011
    Messages:
    7,812
    Likes Received:
    771
    Gender:
    Male
    Это не защита админки,а защита от доступа к странице авторизации админа.
     
    OlegK, Apr 6, 2011
    #10
  12. Offline

    SindBAD Недавно здесь

    Joined:
    Jun 9, 2009
    Messages:
    100
    Likes Received:
    6
    Gender:
    Male
    Не. Я знаю все файлы, которые добавлял в корень и знаю, что в них содержится. А кредитсы и проч. мы давно поудаляли.
    Asylum, плагин стоит, иначе бы давно в админку прорвались. Похоже чел меняет пароль и топчется по фронтенду в поисках админки)))

    Для этого сначала надо авторизоваться.

    Я тут отыскал инфу, что последние бесплатные версии sh404sef сильно дырявые. Это так? У кого-нибудь были с этим проблемы?
     
    SindBAD, Apr 6, 2011
    #11
  13. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Joined:
    Feb 9, 2007
    Messages:
    2,744
    Likes Received:
    160
    Gender:
    Male
    Вы давно проверяли их содержимое? Посмотрите по фтп дату изменения файлов в корне и в папках открытых для чтения
     
    Asylum, Apr 7, 2011
    #12
  14. Offline

    SindBAD Недавно здесь

    Joined:
    Jun 9, 2009
    Messages:
    100
    Likes Received:
    6
    Gender:
    Male
    Я это и сделал в первую очередь :)
     
    SindBAD, Apr 7, 2011
    #13
< Боты не обращают внимания на re-capcha и активацию по e-mail (спам регистрации) | Нужно далить вредоносный JavaScript >

Share This Page

Loading...