Bezpečnost Joomli 3.4.1

30. dub 2015 07:37 #121684

Bezpečnost Joomli 3.4.1 od Lukáš Čermák

Začátečník

Dobrý den,

můžete mi prosím někdo říct, jak je na tom joomla z hlediska bezpečnosti?
Včera se nám stalo na jednom eshopu, že v adminu přibyl další uživatel a měl nastavena všechna práva. Následně s tím také 2 ze superuserů měli místo super práv přiřazena registred.

Máme poslední verzi joomli 3.4.1 a VM 3.0.6.2.

Je nějaká komponenta, o které by se vědělo, že obsahuje chyby? Nebo je možné bezpečnost nějakým způsobem zlepšit?

Díky moc Čermy.

30. dub 2015 12:22 #121687

Odpověď od Cony

Moderátor

V Joomle jako takové se bezpečnostní chyby, pokud se nějaké objeví, opravují poměrně rychle. Otázkou tedy je, jak se Vám na web útočník dostal. Mohl prostě uhodnout administrátorský login (nebo se probourat hrubou silou - takové útoky jsou velmi časté), mohl jste mít na stránkách nějaký "bordel" z dřívějších útoků (např. poslední větší vlna těchto útoků na Joomlu byla neaktualizovaným editorem JCE), mohl se Vám na web dostat i jinak (FTP, přímo MySQL, útok na jiný účet na serveru, pokud není server dostatečně zabezpečený apod.)

Bezpečnost Joomly jako takové lze zlepšit nějakým "FireWallem", např. komponenta AdminTools umožňuje definovat pokročilé filtry pro odmítnutí přístupu na stránky, popř. blokovat opakující se útočníky apod. Dokáže i blokova přístupy na základě geografické lokace IP adresy útočníka, zakážete-li přístupy z Afriky, Asie a jižní Ameriky zbavíte se i velkého počtu útoků. Další podobná komponenta je např. RS Firewall.

Prvně ale zjistěte, jak se Vám útočník do administrace dostal, díru zaslepte, změňte všechna podstatná hesla a pak až řešte dál.

30. dub 2015 17:46 #121689

Odpověď od radek

Zkušený uživatel

No ja poradne programovani apod. nerozumim, ale pres Admin Tools Pro se mne normalne nejakej smejd zaregistroval na web a to jsem mel dokonce registraci zakazanou jak v Joomle, tak v Admin Tools. Psal jsem to na podporu AT, ale pry i tak se da zaregistrovat, ale skody nenapachal, protoze byl tusim jen registrovany, vys ho to asi nepustilo. Kazdopadne jsem byl prekvapenej, ze i pres dve vypnuty registrace se zaregistroval.

01. kvě 2015 12:30 #121693

Odpověď od Petr Janda

Pokročilý uživatel

Dostal na Váš web nějaký script a provedl přímo zápis do databáze, např. Máte nastavené základní věci. Např. Config soubor a temp složku mimo web apod.?

01. kvě 2015 19:23 #121695

Odpověď od radek

Zkušený uživatel

To netusim. Zadnou skodu neudelal. Joomla ma standardni instalaci. Temp mimo web a ani conf. soubor nemam nijak zvlast nastavene. Na conf. je ouze chmod 444.

03. kvě 2015 03:31 #121699

Odpověď od Cony

Moderátor

radek178 napsal: a to jsem mel dokonce registraci zakazanou jak v Joomle, tak v Admin Tools

To je zajímavý, s tím jsem se ještě nesetkal. Kudy se ten útočník zaregistroval, skrz klasickou Joomlu, nebo skrz nějakou další komponentu?

03. kvě 2015 17:34 - 03. kvě 2015 17:36 #121702

Odpověď od radek

Zkušený uživatel

To uz si nepamatuju. Zkusim dohledat, co jsem psal Nicholasovi. Oni tvrdili, ze to je tak ok.

Radek,

That Admin Tools feature would prevent the Registered user from being edited in the back end and becoming a Super Administrator. The user you showed does not have privileges to log into the back end, so they can not have changed anything.

There are privilege escalation tricks in very old (1.5.x) versions of Joomla! where the user can make himself a Super Administrator. That is why we don't use Joomla! 1.x any more. These script kiddies add the user, try the old trick to see if you are on a vulnerable version, you are not, so they move on.

03. kvě 2015 21:15 #121711

Odpověď od Cony

Moderátor

Aha, tak pokud jsem to pochopil, to se týká starších verzí. Admin Tools pokud vím, mají jen přepínač na zakázání editace uživatele v administraci.

04. kvě 2015 09:54 - 04. kvě 2015 09:57 #121721

Odpověď od radek

Zkušený uživatel

Ne, tykalo se to verze 3.x. Nevim uz presne ktere. Joomlu mam pokazde aktualni.
Ne, admin tools ma 2 funkce.
1. Zakazani editace uzivatele
2. Zakazani loginu z frontendu

a pak mas zakaz registrace uzivatelu v Joomle. Vsechny 3 volby byly nastaveny na ZAKAZ. Ja pouzivam Admin Tools Pro. Tak nevim, jestli to je ve free jinak.

04. kvě 2015 15:36 #121724

Odpověď od Cony

Moderátor

Free verze nemá tuším vůbec nic :-)

Ale pokud jsem pochopil odpověď Nicholase

There are privilege escalation tricks in very old (1.5.x) versions of Joomla! where the user can make himself a Super Administrator. That is why we don't use Joomla! 1.x any more. These script kiddies add the user, try the old trick to see if you are on a vulnerable version, you are not, so they move on.

tak opravdu mluví o starých Joomlách...

04. kvě 2015 17:51 #121726

Odpověď od radek

Zkušený uživatel

Ale jo, ja vim, ze mluvi o starych Joomlach, ale ja ne. Mne se to stalo na verzi 3.x. O tom zase mluvim ja.