probabile tentativo riuscito di un hacker

[yourdream]

Mi ritrovo a controllare alcuni siti che avevo creato tempo fa, guardo sugli utenti registrati e mi imbatto in una sfilza di utenti con nome "User" nessuna password nessuna email con data inverosimile e la cosa eclatante il gruppo settato a "Super User".


I siti sembrano funzionare correttamente senza nessun problema, la cosa strana è che su 3 siti sotto questo provider tutti e tre presentano questi utenti strani.


Che dite tentativo riuscito? Cambio provider? o tentativo non riuscito, dal file error risulta tentato accesso ma password vuota.


Grazie dell'attenzione

[giovi]

joomla come misura di sicurezza dovrebbe negare l'accesso se la password immessa è vuota, quindi l'attacco è riuscito ma non è riuscito. Non è possibile stabilire a priori quale sia stato il punto d'accesso (ovvero se dipende o meno dal provider) ma potresti fare una lista delle possibiliti vulnerabilità del tuo sito come versione di joomla non aggiornata, estensioni installate, estensioni non aggiornate, permessi non corretti, presenza di file estranei sul server, ecc...

[giusebos]

vediamo, hai joomla 2.5.8 o 2.5.14

[yourdream]

A me sembra strano che 7 o 8 nuovi utenti con nome "User" senza password e senza email, siano creati e presenti nel backend negli utenti di due siti in Joomla 3.4.1 e in un sito in joomla 2.5.28.


Certo non ho ancora aggiornato a Joomla 3.4.3 perchè aggironando un altro sito ho avuto problemi con alcuyne estensioni e sto aspettando di controllare tutto di nuovo. Ma mi sembra strano che questi 3 siti opsitati nella stessa sotto cartella hanno questi utenti. Forse non è joomla il problema.

[giusebos]

Forse non è joomla il problema.

Io ne sono certo....
controllerei tutte le estensioni che hai, iniziando ad eliminare quelle che non usi (la regola che quello che non serve va eliminato vale sempre per la sicurezza), per quelle che usi controlla se hanno degli aggiornamenti.

il fatto che hai 2 siti di versioni diverse di joomla con lo stesso problema, indica che potresti avere la stessa estensione installata non aggiornata.

[yourdream]

Le estensioni sono tutte aggiornate all'ultima versione, manca solo joomla da 3.4.1 alla 3.4.3. Certo che devono avere trovato subito un problema se si passa dalla 3.4.2 alla 3.4.3 in poco tempo.
Non so se è il caso di aggiornare alla 3.4.3.


Il fatto è, Joomla permette di creare degli utenti senza email e password, come si fa a fare una cosa del genere, basterebbe capire questo per stare tranquilli in quanto innoqui, ma torno a ripetere gli stessi utenti in numero e in nome e in data su tutti e tre i siti.


Perplesso...

[giusebos]

....... manca solo joomla da 3.4.1 alla 3.4.3. Certo che devono avere trovato subito un problema se si passa dalla 3.4.2 alla 3.4.3 in poco tempo.
Non so se è il caso di aggiornare alla 3.4.3.

Forse non seguendo non conosci storie, problemi e retroscena, quindi non è come pensi: aggiornamento si ma per risolvere bughettini di secondaria importanza.

Il fatto è, Joomla permette di creare degli utenti senza email e password, come si fa a fare una cosa del genere, basterebbe capire questo per stare tranquilli che quegli utenti superuser sono innoqui

se joomla non centra
se le estensioni non centrano

rimane:
lo spazio web
qualche modifica da te effettuata che non consideri o che ti sei dimenticato
un template scaricato su siti warez
un template costruito con programmi scaricati da siti warez
estensioni, a pagamento e non, che non sono all'interno della JED

[yourdream]

Controllando estensioni e sito mi sembra di aver utilizzato poche estensione e della Jed sicuramente, utilizzo T3 framework come al solito e mi sono sempre trovato bene.


La domanda è esiste la possibilità che un hacker riesca a creare utenti superuser in un qualche modo?


Da back end non posso creare utenti senza mail, forse da mysql, potrebbe essere di facile riuscita una tale operazione e lasciando invariato il sito?


Ma sono quasi sicuro che è lo spazio web...


Comunque grazie dell'aiuto.

[giusebos]

ti poni troppe domande e realizzi poche verifiche....

[yourdream]

No dai non dirmi così, io che utilizzo icagenda e prima di chiedere cerco di trovare la soluzione da solo. Speravo che qualcuno avesse avuto lo stesso problema, evidentemente no.


Continuerò a fare verifiche magari cancello questi finti utenti e vediamo se tornano.