Bezpečnost Joomli 3.4.1

Lukáš Čermák
30. dub 2015 07:37 #121684
Dobrý den,

můžete mi prosím někdo říct, jak je na tom joomla z hlediska bezpečnosti?
Včera se nám stalo na jednom eshopu, že v adminu přibyl další uživatel a měl nastavena všechna práva. Následně s tím také 2 ze superuserů měli místo super práv přiřazena registred.

Máme poslední verzi joomli 3.4.1 a VM 3.0.6.2.

Je nějaká komponenta, o které by se vědělo, že obsahuje chyby? Nebo je možné bezpečnost nějakým způsobem zlepšit?

Díky moc Čermy.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
30. dub 2015 12:22 #121687
V Joomle jako takové se bezpečnostní chyby, pokud se nějaké objeví, opravují poměrně rychle. Otázkou tedy je, jak se Vám na web útočník dostal. Mohl prostě uhodnout administrátorský login (nebo se probourat hrubou silou - takové útoky jsou velmi časté), mohl jste mít na stránkách nějaký "bordel" z dřívějších útoků (např. poslední větší vlna těchto útoků na Joomlu byla neaktualizovaným editorem JCE), mohl se Vám na web dostat i jinak (FTP, přímo MySQL, útok na jiný účet na serveru, pokud není server dostatečně zabezpečený apod.)

Bezpečnost Joomly jako takové lze zlepšit nějakým "FireWallem", např. komponenta AdminTools umožňuje definovat pokročilé filtry pro odmítnutí přístupu na stránky, popř. blokovat opakující se útočníky apod. Dokáže i blokova přístupy na základě geografické lokace IP adresy útočníka, zakážete-li přístupy z Afriky, Asie a jižní Ameriky zbavíte se i velkého počtu útoků. Další podobná komponenta je např. RS Firewall.

Prvně ale zjistěte, jak se Vám útočník do administrace dostal, díru zaslepte, změňte všechna podstatná hesla a pak až řešte dál.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od radek
30. dub 2015 17:46 #121689
No ja poradne programovani apod. nerozumim, ale pres Admin Tools Pro se mne normalne nejakej smejd zaregistroval na web a to jsem mel dokonce registraci zakazanou jak v Joomle, tak v Admin Tools. Psal jsem to na podporu AT, ale pry i tak se da zaregistrovat, ale skody nenapachal, protoze byl tusim jen registrovany, vys ho to asi nepustilo. Kazdopadne jsem byl prekvapenej, ze i pres dve vypnuty registrace se zaregistroval.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Petr Janda
01. kvě 2015 12:30 #121693
Dostal na Váš web nějaký script a provedl přímo zápis do databáze, např. Máte nastavené základní věci. Např. Config soubor a temp složku mimo web apod.?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od radek
01. kvě 2015 19:23 #121695
To netusim. Zadnou skodu neudelal. Joomla ma standardni instalaci. Temp mimo web a ani conf. soubor nemam nijak zvlast nastavene. Na conf. je ouze chmod 444.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
03. kvě 2015 03:31 #121699

radek178 napsal: a to jsem mel dokonce registraci zakazanou jak v Joomle, tak v Admin Tools

To je zajímavý, s tím jsem se ještě nesetkal. Kudy se ten útočník zaregistroval, skrz klasickou Joomlu, nebo skrz nějakou další komponentu?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od radek
03. kvě 2015 17:34 - 03. kvě 2015 17:36 #121702
To uz si nepamatuju. Zkusim dohledat, co jsem psal Nicholasovi. Oni tvrdili, ze to je tak ok.

Radek,

That Admin Tools feature would prevent the Registered user from being edited in the back end and becoming a Super Administrator. The user you showed does not have privileges to log into the back end, so they can not have changed anything.

There are privilege escalation tricks in very old (1.5.x) versions of Joomla! where the user can make himself a Super Administrator. That is why we don't use Joomla! 1.x any more. These script kiddies add the user, try the old trick to see if you are on a vulnerable version, you are not, so they move on.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
03. kvě 2015 21:15 #121711
Aha, tak pokud jsem to pochopil, to se týká starších verzí. Admin Tools pokud vím, mají jen přepínač na zakázání editace uživatele v administraci.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od radek
04. kvě 2015 09:54 - 04. kvě 2015 09:57 #121721
Ne, tykalo se to verze 3.x. Nevim uz presne ktere. Joomlu mam pokazde aktualni.
Ne, admin tools ma 2 funkce.
1. Zakazani editace uzivatele
2. Zakazani loginu z frontendu

a pak mas zakaz registrace uzivatelu v Joomle. Vsechny 3 volby byly nastaveny na ZAKAZ. Ja pouzivam Admin Tools Pro. Tak nevim, jestli to je ve free jinak.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
04. kvě 2015 15:36 #121724
Free verze nemá tuším vůbec nic :-)

Ale pokud jsem pochopil odpověď Nicholase

There are privilege escalation tricks in very old (1.5.x) versions of Joomla! where the user can make himself a Super Administrator. That is why we don't use Joomla! 1.x any more. These script kiddies add the user, try the old trick to see if you are on a vulnerable version, you are not, so they move on.


tak opravdu mluví o starých Joomlách...

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od radek
04. kvě 2015 17:51 #121726
Ale jo, ja vim, ze mluvi o starych Joomlach, ale ja ne. Mne se to stalo na verzi 3.x. O tom zase mluvim ja.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.