Modificati i permessi di Super Amministratore [RISOLTO]

[MarkOne]

Ciao a tutti, soprattutto a coloro che possono suggerirmi una risposta ad un problema grosso assai....
Mi sono dovuto allontanare una paio di giorni dal sito che gestisco assieme ad un altro Super Admin e non abbiamo potuto lavorarci (eravamo entrambi ad un convegno).
Al mio ritorno sia il mio che l'altro user con prerogative di Superamministratore sono stati modificati e trasformati in semplici utenti registrati. Credi si sia trattato di un attacco
Mantengo naturalmente l'accesso al database MySQL ma non sono riuscito , pur seguendo il wiki http://wiki.joomla.it/index.php?title=Recupero_password_admin, a ripristinare i permessi. Non si crea il nuovo utente col seguente messaggio:
"#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' )' at line 5"
SQL non lo conosco  e ho seguito le istruzioni a pappagallo (sigh!)
Ho anche provato a modificare manualmente il mio account di admin ma il login continua a restare ostinatamente sordo alle mie disperate richieste.
Il sito è caricato su noto  host italiano, aggiornato alla versione 1.5.10 con template 68portal e recentemente non ho installato nulla.
Ho anche un recente salvataggio del sito fatto con joomlapack ma prima di caricarlo da phpmyadmin avrei bisogno di una parola di conforto visto che non ho mai fatto una operazione del genere.
Grazie per l'attenzione e l'aiuto che vorrete darmi

[RiccardoS]

la procedura che hai seguito serve per il recupero di una password persa!

prova a vedere di che tipo sono gli utenti che dovrebbero essere super admin (tabella jos_users, campo "usertype": i super amministratori dovrebbero essere di tipo "Super Administrator").

[MarkOne]

ooopsss,
Scusa RiccardoS ma se guardi l'ora, le 2,41, potrai certamente capirmi, ho sbagliato a linkare il wiki con questo: http://wiki.joomla.it/index.php?title=Recupero_utente_admin_cancellato, ho utilizzato la procedura per la cancellazione dell'admin non della password.

Poi ho tentato di modificare il file jos_user come mi suggerisci e ho inserito usertyper "Super Administator" al posto di "registrato" ma senza esito.
Potrei aver cambiato la password come suggerito nel wiki selezionando MD5 ed inserendola nuovamente: questo può costituire un problema?
Ho provato anche a ricaricare via FTP da una copia di backup effettuato prima della partenza, i file della root del sito (htaccess, configuration ecc.), la cartella amministratore e quella dei plugin. Nulla
Ti ringrazio se vorrai aiutarmi o darmi indicazioni

[Locu]

ciao controlla anche che i parametri "block" e "gid" nella tabella jos_user siano corretti. Per i sup admin il gid deve essere settato a 25 ovviamente block a 0. la modifica della password non comporta nessun problema, accertati solo di aver inserito corretamente l'hash MD5 della tua password. Bye

[MarkOne]

Grazie Locu,
ho controllato le impostazione che mi hai suggerito e a parte il gid che era settato su 18 e ho corretto a 25 tutti gli altri dati sono come da regola (ho confrontato il dato col set administrator su altri siti che gestisco).
Ora però, mentre prima ero nella lista utenti come "Registred" ora sono scomparso dall'elenco mentre il mio ID 62 appare correttamente al primo posto della tabella jos_users.
Continuo a non accedere dal pannello del log di amministrazione.
Il tentativo produce la risposta:
"Non hai accesso alla sezione amministrativa del sito." come a dire che user e password sono giuste ma non abilitate al lato amministrativo.
Avrebbe una qualche utilità caricare la tabella jos_users dal backup che ho salvato prima del misfatto (e come si fa?)?
Ha qualche valore o influenza il fatto che cliccando sulla struttura del DB nell'ultima voce della tabella (in eccesso) ci siano tabelle che riportano valori alterati?
es.:
jos_categories    3,5 KiB
jos_jp_packvars 620,9 KiB
jos_session     858,0 KiB

altri sono eccedenti di pochi bit

Il problema che il sito www.infermierionline.net è popolato da oltre mille articoli e frequentato da alcune centinaia di utenti registrati e migliaia di contatti al mese, rifarlo sarebbe una esperienza hard!

 

Marco

[Locu]

ciao, se hai un vecchio backup della tabella users puoi tranquillamente svuotare/eliminare (dipende da come è stato eseguito il backup) la tabella jos_users e poi ricaricarla, per fare ciò ti basterà entrare nel phpmyadmin e importare la tabella che ti interessa. se ti servono maggiori info sono qui.

[MarkOne]

Chi l'ha dura la vince!!!
In realtà non era un problema di perdita di dati o di tabelle corrotte ma di un vero e proprio attacco.
Ho trovato un utente .....@gmail.ko che aveva modificato i permessi del Super Amministratore scalandoli a Registred e sostituendosi a me.

Ho risolto in questo modo:
Ho cambiato i permessi di un altro utente Amministratore che funzionava bene, in  Superamministratore da jos_users in phpmyadmin. Mi solo loggato.
A quel punto, non potendo cancellare il parassita, ho riabilitato il mio account con permission S.A.; ripristinate quelle l'ho potuto finalmente cancellare.
Ma solo da phpmyadmin perchè sul backend non mi era permesso.
Mi sa che avere un account di riserva possa essere un salvagente in casi come questi.
Due giorni da PAVURA!!

Ora il problema è:

• come ha fatto ad entrare
• come evitare che torni.

Cambio di tutte le password di superamministrazione e di amministrazione, ma come faccio ad evitare che riprovi a mettere il naso da me?

Ho confrontato le due copie della tabella jos_users e ho notato che l'intruso ha sostituito un utente di prova che avevo creato per testare i diversi livelli di permission dei gruppi; però non aveva prerogative di superamministratore ma semplicemente di registred, questo non  mi rende tranquillo!

In ogni caso grazie a RiccardoS e a Locu perchè non mi sono sentito solo ad affrontare il mio primo assalto.

Marco

[RiccardoS]

avevi per caso lasciato il nome di default, cioè Admin, al Super Administrator standard?

è consigliabile cambiarlo con uno meno rintracciabile e, come hai detto, avere un account SA di riserva. 

[MarkOne]

No,
l'avevo cambiato diversi mesi fa proprio leggendone la necessità qui sul forum.
Avevo creato un utente con prerogative di autore per testare le permission su documenti e sezioni del sito e ogni tanto lo modificavo per testarne altre.
Non era un user difficile da immaginare ...
Ma però riflettendo, lo user è quasi "pubblico" mentre sono le password che dovrebbero essere protettive.
La mia PW viene ritenuta di sicurezza media, alterna numeri e cifre è di 8 caratteri, insomma forse non l'ho cambiata da diversi mesi ma ... Boh!
Mi piacerebbe sapere come è entrato, visto che uso  sia Badbehavior che JC43 captcha (ma già un'altra volta avevo trovato un utente registrato con prerogative di Superadmin -sempre con posta gmail- l'ho eliminato prima che facesse danno e ho pensato ad un errore del modulo di registrazione).
Dovevo tenere in maggior conto quella falla.
Ma ora starò più accorto, il fuoco brucia il doppio la prima volta!
ciao
Marco

[lucausa75]

...grazie al tuo consiglio ho risolto anche io.
Tramite phpmyadmin sono riuscito a risalre all'utente che ha modificato i miei permessi da Super administrator a Registred.
Io ho risolto così:

Tramite phpmyadmin ho modificato la password (mettendola uguale ad admin) dell'hacker (purtroppo nonavevo altri user con privilegi di S.A.) che si era inserito, per cui sono riuscito ad accedere tramite il suo account che ho modificato opportunamente a mio piacimento ripristinando il mio

 

[panibel]

Salve, purtroppo è accaduto anche a me. Ho seguito tutti i consigli che ho letto qui, tranne per il fatto che giorni fa, inorridito della presenza di un intruso, ho fisicamente cancellato la riga del suo account d mysql. Ora mi trovo nella situazione apparentemente identica a quella funzionamente che ho visto qui riprodotta, ma comunque il messaggio è sempre lo stesso: Non hai accesso alla sezione amministrativa del sito.

Spero vi venga in mente qualcosa.

Grazie

[56francesco]

inorridito della presenza di un intruso,

e chi era?
magari una bella ragazza che ti cercava oppure te stesso...