[Risolto] Nuovi utenti registrati come amministratori

[Giuseppe72]

Salve.
Ho da poco messo in remoto il sito. questa mattina mi arrivavano varie email "Mailer-Daemon... Failure notice.
A questo punto capisco che è un errore di registrazione del login del sito.
Vado a controllare la gestione degli utenti e vedo qualcosa che non va.
Trovo 5 utenti registrati con nomi ed email buttati a casaccio non abilitati con assegnazione "Gruppi di utenti" su Amministratore.
Non dovrebbe essere così, perché dovrebbero tutti essere "Registered".
Ho appena fatto un test di registrazione, ed è andato a buon fine e nel gruppo utenti è segnato come "Registered" , quindi tutto ok.
Cos'è successo?
Grazie. 

[giusebos]

vediamo se indovino, che versione hai di joomla

[Giuseppe72]

Ciao Giusebos.
Versione 3.6.2.
Cmq continuano ad arrivare.



Questa e il response dell'email



Hi. This is the qmail-send program at webxc28s03.ad.aruba.it.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
 
<tsviklis_90@mail.ru>:
62.149.158.12 does not like recipient.
Remote host said: 550 5.1.1 <tsviklis_90@mail.ru> recipient rejected
Giving up on 62.149.158.12.
 
--- Below this line is a copy of the message.
 
Return-Path: <info@xxxxxxxx>
Received: (qmail 16493 invoked by uid 18983xxx); 29 Oct 2016 12:31:54 -0000
To: tsviklis_90@mail.ru
Subject: Dettagli account per kvpxe su xxxxxxxxt
X-PHP-Originating-Script: xxxxxxxx:class.phpmailer.php
Date: Sat, 29 Oct 2016 14:31:54 +0200
From: "xxxxxxxxx" <info@xxxxxxxt>
Message-ID: <15fc495df0bda9c441f7d730c38e5b76@www.xxxxxxxx>
X-Mailer: PHPMailer 5.2.14 (https://xxxx.com/PHPMailer/PHPMailer)
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit

[MariaElenaBoschi]

se usi versioni vulnerabili è il minimo che ti puoi aspettare
http://forum.joomla.it/index.php/topic,261494.0.html

[tomtomeight]

Aggiorna subito.

[Giuseppe72]

Avevo letto l'annuncio per la vulnerabilità, ma credevo che fosse indirizzato per la 3.6.3 e non alla 3.6.2.
Quindi aggiorno subito.


Appena verifico e tutto è andato a buon fine, metto [risolto]
Grazie.

[giusebos]

ci avrei scommesso, ora attendiamo i prossimi

[elli]

Era questa la vulnerabilità pericolosissima che era stata segnalata pochi giorni fa, prima del rilascio dell'ultima versione...
Ma già stanno sfruttando la falla?! Che noia

[giusebos]

Era questa la vulnerabilità pericolosissima che era stata segnalata pochi giorni fa, prima del rilascio dell'ultima versione...
Ma già stanno sfruttando la falla?! Che noia

non perdono tempo

[Giuseppe72]

Allora... Ho aggiornato alla 3.6.4, però ho dovuto farlo manualmente tramite ftp sovrascrivendo le cartelle e file. Il motivo è che anche se installavo il pacchetto tramite l'aggiornamento di joomla!, mi ha dato ancora quel fastidioso errore ajax durante l'installazione...ancora devo capire come risolvere.
Non so se questa procedura è corretta, visto che l'avviso dell'aggiornamento portava altro.


ATTENZIONE: per installare manualmente questo aggiornamento è necessario accedere al componente "Aggiornamento di Joomla" selezionare "Carica e Aggiorna" ed indicare il file dell'aggiornamento per procedere al caricamento ed installazione.
Queste procedure di aggiornamento si occuperanno di caricare i nuovi file ed apportare le necessarie modifiche al database.
Succede qualcosa?


Adesso ho riattivato il login...vediamo se arrivano ancora registrazioni obsoleti.

[giusebos]

ormai i buoi sono scappati, non pensare di aver risolto con un aggiornamento, sai quante backdor saranno state inserite.

[MariaElenaBoschi]

mi ha dato ancora quel fastidioso errore ajax durante l'installazione...ancora devo capire come risolvere.

il tuo sito sta su un server adatto a joomla? hai sentto il tuo provider?

[Giuseppe72]

@giusebos come faccio a capire se sono state inserite delle backdoor...c'è qualche componente che può aiutarmi?
Comunque nel gruppo utenti non erano abilitati...può servire?

@MariaElenaBoschi Si ho aperto un ticket, vediamo se mi aiutano.

[Giuseppe72]

Metto risolto perché fino ad ora non c'è stato nessun attacco...cmq resta sempre il pensiero delle blackdoor 

[giusebos]

Lo faranno più avanti stai tranquillo