Куда идем?

В Joomla, начиная с версии 3.4.4 и заканчивая версией 3.6.3, обнаружена критическая уязвимость, позволяющая обходить запрет на регистрацию пользователей на сайте и повышать группу доступа зарегистрированных пользователей. Если у вас на сайте установлена Joomla, попадающая в эти версии, вам необходимо срочно обновить ваш сайт до последней версии Joomla 3.6.4. В противном случае ваш сайт будет взломан с очень высокой вероятностью. Подробности далее.

Серьезные уязвимости в Joomla находят крайне редко. За все годы, что я работаю с этой CMS, такие случаи можно сосчитать по пальцам одной руки (ну или, в крайнем случае, двух). Сейчас можно смело загнуть еще один палец.

Информация об уязвимости появилась на официальном сайте вместе с патчем 25 октября 2016 г. Сейчас, спустя всего 6 дней, я обнаружил ее использование на 2 необновленных сайтах из 3, которые просматривал в последние дни.

Не нужно думать, что ваш сайт никого не интересует, и его не взломают. В данном случае уже написаны роботы, которые сканируют интернет в поисках уязвимых сайтов. Был взломан даже один из наших тестовых сайтов, который использовался только для отладки и не был обновлен.

Обновиться до Joomla 3.6.4. можно из панели администратора Joomla в один клик. Если ваша версия Joomla попадает в список уязвимых (увидеть ее можно в правом нижнем углу админки), сделайте обновление СЕЙЧАС (не забыв создать предварительно резервную копию).

На самом деле, даже СЕЙЧАС может быть уже поздно. После обновления проверьте в менеджере пользователей Joomla всех пользователей, которые зарегистрировались после 25 октября 2016 г. Если их группа доступа выше, чем Registered, то, скорее всего, сайт уже подвергся взлому. В этом случае, самым правильным решением будет откат сайта к резервной копии, созданной не позднее 25 октября и последующее срочное его обновление до версии 3.6.4.

В заключении хочу сказать, что не стоит ругать Joomla. Подобные уязвимости находят во многих крупных программных продуктах, даже коммерческих. Важно следить за выходом обновлений (хотя бы в админке сайта) и оперативно их устанавливать. В этом случае риск взлома вашего сайта будет минимален.

Об авторе
Wedal
(Виталий). Веб-разработчик полного цикла (Full Stack). Создатель и автор сайта Wedal.ru.
Основной профиль – создание сайтов и расширений на CMS Joomla.
Добавить комментарий

Комментарии  
0
А если на сайте не размещена форма авторизации, вре равно взломать могут? Если да то как?
0
Shell, могут. Есть прямая ссылка на форму авторизации в компоненте com_users. Она общеизвестна. Не обязательно публиковать модуль авторизации, чтобы авторизоваться на сайте.
Но в данном случае, как я понимаю, это не имеет значения, т.к., по крайней мере, я видел, что права повышают до Administrator, а это уже дает доступ к админке.
0
Спасибо за информацию. Тьфу-Тьфу, на сайте один пользователь, и это я))
0
Здравствуйте, Виталий!

Спасибо. Скажите, правильно понял, что с Joomla 3.4.x сразу нельзя обновиться до 3.6.4, а надо сначала до 3.5 и потом уже до последней версии?
0
Ну, хоть я и не Виталий, но да Вы правы, у мегя обновился сайт в 2 этапа.
0
Борис, можно, но только через компонент "обновление Joomla". Просто накатить патч через менеджер расширений нельзя.
0
Регистрация запрещена, группа для регистрирующихся - public, новый юзверь появился, но выключенный. Я его удалил и после этого обновил J! Проверил на вирусы - всё чисто. Мне начинать паниковать ?
0
Только что читал статью
http://wedal.ru/uroki-joomla/kak-vylechit-zarazhennyj-sajt-na-joomla-ot-virusov-10-shagov.html
Я бы на Вашем месте ей бы воспользовался. На всякий пожарный.
0
Magnum79, я бы откатился на бэкап, если это не слишком критично. Скорее всего, в вашем случае, это будет перестраховка, зато можно спать спокойно :-) .
0
Спасибо. К сожалению не посмотрел группу у нового пользователя....
0
Ув. Wedal, есть ли статистика по взломам этого эксплойта? Юзверь создался с группой Администратор. Это не самые большие привилегии и в админку с ним не войти. Что с этим пользователем можно потом делать на сайте и на серваке? Влияет ли то, что он будет выключен? Есть ли вообще что-то про взломы с этой дыркой безопасности?
Сайты я восстановил из бэкапов, но всё равно что-то очкую :)
0
Magnum79, могу вам сказать только свою личную статистику недавнего просмотра сайтов, которые не были обновлены. Это примерно 50%. Но выборка очень маленькая.
Привилегии Администратора большие. Больше только у Суперадминистратора. Администратор имеет доступ к админке, может изменять материалы и другие компоненты, если это не запрещено перенастройкой прав для данной группы.
Если вы восстановили сайт из бэкапа и сразу обновили его до последней версии, то все будет хорошо.
0
Здравствуйте.
Joomla! 3.6.2 обновление до версии Joomla! 3.6.4, но до обновления некто "spdul" зарегистрировался на сайте. Письмо "Спасибо за регистрацию ...Теперь вы можете войти используя логин и пароль, указанные при регистрации." пришло на почту сайта (мою). В менеджере пользователей нового пользователя нет или не видно, virtue mart 3.0.14, покупатель/продавец тоже только один.
В админке разрешение регистрации отключена с первого дня работы сайта.
Подскажите пожалуйста в чём может проявится эта регистрация.
Спасибо.
1
big, если пришло письмо, а пользователь не появился, значит:
1) Пользователь был создан
2) Кто-то зашел под ним в админку
3) Сделал свои грязные делишки
4) Замел следы, удалив пользователя.
По крайней мере, мне это видится именно так. Это мог сделать и бот без участия человека, но результат всё равно один и тот же. Вам нужно либо восстановить резервную копию из бэкапа и сразу обновить сайт, либо, если это невозможно, проверить сайт на вирусы(подробнее об этом здесь: http://wedal.ru/uroki-joomla/kak-vylechit-zarazhennyj-sajt-na-joomla-ot-virusov-10-shagov.html).
0
Спасибо за участие.
Делаю по инструкции из урока "Как вылечить заражённый сайт"
Сайт молодой, администратор неопытный - Подскажите пожалуйста.
Мне не нужно, что бы пользователи регистрировались. В настойках отключено разрешение. Формы регистрации и входа на сайте не отображаются. Модуль регистрации в корзине. Нужно удалить формы регистрации и входа. Подскажите где и какой код закомментировать или удалить.
Спасибо.
0
big, смотря о каком расширении идет речь.
0
Сайт будет с нуля, на Joomla! 3.6.4 с магазином VirtueMart 3.0.14.
Нужно минимизировать возможность зарегистрироваться на сайте, всем, кроме администратора.
Спасибо за участие.
0
big, снимите галочку "Регистрация во время оформления заказа" в настройках VM. Если не поможет, то форму авторизации можно удалить в макете корзины. А вообще, этот вопрос уже выходит за пределы данной статьи и должен обсуждаться в другом месте, например, на форуме, в соответствующем разделе.
0
Добрый день.
Вы совершенно правы.
Зашёл и оставил файл в папке CSS шаблона.
Спасибо за подсказку.
0
Всем привет. А я вот попался. Причем на мой взгляд, с новой уязвимостью, на старый лад. Недавно на одном из своих сайтов, я забил болт на проблему обновления Joomla. Ну то есть, через стандартные способы она не обновлялась (это не только, встроенный инструмент, но и попытка накатить патч, через менеджер загрузок, попытка установить по прямой ссылке и т.д.). Причем все сайты на хостинге обновляются как положено, а один нет. Ну нет и не надо, подумал я, появится время, более спокойное, поправлю. Все было хорошо, пока через месяц, мне сначала письма присылать стали, мол: переадресация какая-то прет, а потом и с других сайтов посыпались редиректы, у которых с обновлением было все в порядке. Зашел я на хостинг, а там полным цветом бурьян растет и множится. Дошло до того, что в файле includes/framework.php был щедро дополнен доброй сотней строк кода с упоминаниями thefuckingtittle и пр. на некоторых сайтах. А все началось с того, что один сайт на хостинге был отложен, до лучших времен. Так и сейчас получилось, пропустил один сайт, и благо я работал в этот момент. как стали появляться материалы с заголовком "fuckingtitile" в 4 часа ночи, автор которого неизвестен системе. Так что не брезгуйте обновлениями, и пусть бэкап вас спасет.
Кому интересно посмотреть, чем дополняют файлы, для само-размножения, могу скинуть, полюбоваться, я их сохранил, дабы самому посмотреть на конструкции и ход мыслей.