1. Приветствуем Вас на нашем закрытом форуме для складчиков сайта cmsheaven.org. Если Вы частный вебмастер, фрилансер, владелец малого или среднего бизнеса, представитель студии по разработке сайтов - будем рады видеть Вас в наших рядах экономных людей.
    Регистрация на форуме возможна только после вступления в складчину

Вредоносные регистрации пользователей на сайте Joomla 3

Тема в разделе "Обсуждаем Joomla, шаблоны и расширения к ней", создана пользователем sashKO, 1 ноя 2016.

  1. sashKO

    sashKO Свой человек

    Регистрация:
    26 янв 2016
    Сообщения:
    1.115
    Симпатии:
    123
    Коллеги, вопрос возник - последние 2-3 недели на мой сервер на обслуживаемые мною сайты какая-то атака идет, на сайты Joomla 3.5.1.-6.2 при выключенной регистрации пользователей, выключенном модуле входа на сайт, и вообще всё выключено что можно - каким то образом происходят регистрации пользователей со статусом Администратора еще. Ладно на один сайт, так на все так идет.

    "Здравствуйте, уважаемый администратор,
    Новый пользователь 'jsnmxw2532', логин 'jsnmxw2532', зарегистрировался на сайте"

    Кто сталкивался? что за хээ?


    Вот как он подключается в момент регистрации на сайте
    [​IMG]
    Последнее редактирование: 1 ноя 2016
    #1
  2. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Здравствуйте! Ничего себе. Неожиданно для меня. Попробуйте для начала обновить Joomla до версии 3.6.4 ибо там убрали что-то очень жесткое с регистрацией аккаунтов.
    #2
  3. sashKO

    sashKO Свой человек

    Регистрация:
    26 янв 2016
    Сообщения:
    1.115
    Симпатии:
    123
    Я пока их выявляю и баню по ip




    [​IMG]
    [​IMG]
    #3
  4. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Обновите до версии 3.6.4 и должно помочь!
    Вот в чем уязвимость:
    1) Недостаточные проверки позволяет пользователям регистрироваться на сайте при регистрации была отключена.
    2) Неправильное использование нефильтрованного данных позволяет пользователям регистрироваться на сайте с повышенными привилегиями.
    #4
  5. sashKO

    sashKO Свой человек

    Регистрация:
    26 янв 2016
    Сообщения:
    1.115
    Симпатии:
    123
    Проблема в том, что на одном ресурсе я попробовал перейти на 6.4. - у меня доп ПО на сайте отваливается .... поэтому пока повременил
    #5
  6. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Вообще не должно. А что именно? Типа модули не работают? Надо кеш почистить или с другого браузера зайти.
    #6
  7. sashKO

    sashKO Свой человек

    Регистрация:
    26 янв 2016
    Сообщения:
    1.115
    Симпатии:
    123
    Это я всё знаю, но вот пока такой опыт, сегодня вечером попробую, раньше просто не было таких регистраций, судя по логам - работает алгоритм-скрипт с линукс-машины.
    Возможно из-за того что по умолчанию у меня все пользователи деактивированы - он не может их запустить, зарегистрировался и всё
    #7
  8. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Да меня вообще это дебилье бесит. Дебилам скучно живется.
    #8
  9. sashKO

    sashKO Свой человек

    Регистрация:
    26 янв 2016
    Сообщения:
    1.115
    Симпатии:
    123
    Вообщем проблема только с сайтами 3.6.0-3.6.2,
    3.6.3 у меня нет, 3.6.4 тоже нет
    #9
  10. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    А 3.5.1?
    #10
  11. sashKO

    sashKO Свой человек

    Регистрация:
    26 янв 2016
    Сообщения:
    1.115
    Симпатии:
    123
    на этих не замечено проблем.
    На 3.6.2 тоже не все сайты, видимо только те которые нашел и выявил тот чел
    #11
  12. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Для меня самая нормальная версия Joomla это 3.5.1. На ней что на локалке, что на хостинге - все расширения идеально работаю. А вот с версий 3.6 косяки бывают с расширениями на локалке. Из-за чего не хочу переходить порою.
    #12
  13. Саня

    Саня Матерый складчик

    Регистрация:
    19 фев 2015
    Сообщения:
    227
    Симпатии:
    30
    на 3.5.1 тоже регистрируются. сегодня и у меня такое же. но активация пользователя только админом(CB стоит для юзеров), поэтому ничего кроме как зарегить два не активных акка с правами админа, у них не вышло.
    Кто страдает и не может обновиться(лично я и не собираюсь), пробуйте через .htaccess банить их по айпи, и добавить в черный список почту и логины с которых идет регистрация
    У меня:

    jsnmxw2532
    [email protected]

    za1uak2aay
    [email protected]

    Правда это не самое лучшее решение.
    #13
  14. Саня

    Саня Матерый складчик

    Регистрация:
    19 фев 2015
    Сообщения:
    227
    Симпатии:
    30
    в 3.6.х немного меняли API. пробовал обновлять не работающие компоненты ? и вроде как минимальную требуемую версию PHP подняли.
    #14
  15. sashKO

    sashKO Свой человек

    Регистрация:
    26 янв 2016
    Сообщения:
    1.115
    Симпатии:
    123
    Знаю что не самое лучшее решение - поэтому и сделал ветку, мало ли кто чего больше знает чем знаю я )
    #15
  16. sashKO

    sashKO Свой человек

    Регистрация:
    26 янв 2016
    Сообщения:
    1.115
    Симпатии:
    123
    149.154.70.47 с этого ip он долбит всех, ну по крайней мере меня ..... московский ip

    IP Location[​IMG] Russian Federation Moscow Jsc Ispsystem
    ASN[​IMG] AS29182 ISPSYSTEM-AS ISPsystem Autonomous System, LU (registered Jun 23, 2003)
    Resolve Hostfuns.mobi
    Whois Serverwhois.ripe.net
    IP Address149.154.70.47
    Reverse IP1 website uses this address.
    #16
  17. Саня

    Саня Матерый складчик

    Регистрация:
    19 фев 2015
    Сообщения:
    227
    Симпатии:
    30
    слушай, дай логи пожалуйста в текстовом формате(там где pyton-чето там еще), когда они регились, ты вроде на скрине их выкладывал. ща может функцию напишу, чтобы эти запросы редиректить.
    #17
  18. sashKO

    sashKO Свой человек

    Регистрация:
    26 янв 2016
    Сообщения:
    1.115
    Симпатии:
    123
    [​IMG]
    149.154.70.47 - - [02/Nov/2016:00:18:06 +0300] "GET /index.php/component/users/?view=login HTTP/1.1" 200 16857 "-" "python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-4-amd64"
    149.154.70.47 - - [02/Nov/2016:00:18:06 +0300] "POST /index.php/component/users/?task=user.register HTTP/1.1" 200 14523 "-" "python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-4-amd64"
    149.154.70.47 - - [02/Nov/2016:00:18:07 +0300] "GET /administrator/index.php HTTP/1.1" 302 263 "-" "python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-4-amd64"
    149.154.70.47 - - [02/Nov/2016:00:18:07 +0300] "GET / HTTP/1.1" 200 15624 "-" "python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-4-amd64"
    149.154.70.47 - - [02/Nov/2016:00:18:07 +0300] "GET /administrator/index.php HTTP/1.1" 302 263 "-" "python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-4-amd64"
    149.154.70.47 - - [02/Nov/2016:00:18:08 +0300] "GET / HTTP/1.1" 200 15624 "-" "python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-4-amd64"
    Последнее редактирование: 2 ноя 2016
    #18
  19. Саня

    Саня Матерый складчик

    Регистрация:
    19 фев 2015
    Сообщения:
    227
    Симпатии:
    30
    <?php
    /*боримся с вредителями:
    смотрим HTTP заголовки(User-Agent)*/
    $headers = getallheaders();
    /*если содержит слово"python(это язык скрипта, насколько я понимаю)" и путь запроса "/index.php/component/users/?task=user.register"
    то редиректим на http://google.ru */
    if ((strpos($headers['User-Agent'], 'python') !== FALSE) and (strpos($_SERVER['REQUEST_URI'], '/index.php/component/users/?task=user.register') !== FALSE))
    { header("Location:http://google.ru");};
    /*профит*/
    ?>

    вот что у меня вышло, если кто шарит в PHP, то поправьте меня.
    Сразу скажу, что не факт, что будет работать
    (но как бы проверял вот на этом,
    <?php if ((strpos($headers['User-Agent'], 'Mozilla') !== FALSE) and (strpos($_SERVER['REQUEST_URI'], '/poisk') !== FALSE))
    { header("Location:http://google.ru");}; ?>
    то редиректит)
    это нужно вставить в самое начало(в самое самое) индексного файла шаблона, т.е. в //ваш сайт/templates/шаблон/index.php
    как работает:
    смотрим заголовки юзер-агента клиента и страницу "ваш сайт/index.php/component/users/?task=user.register" ,если ее запрашивает юзер-агент содержащий в названии слово "python",
    редиректим его на гугл.ру
    Поставил на пару своих сайтов, посмотрю что будет.
    #19
    sashKO нравится это.
  20. sashKO

    sashKO Свой человек

    Регистрация:
    26 янв 2016
    Сообщения:
    1.115
    Симпатии:
    123
    сайту не навредит данный код? с точки зрения когда робот поисковика будет заходить, как он отнесется ...
    #20