Nouveaux utilisateurs étranges dans le groupe d'utilisateurs Joomla "Administrateur"
J'ai remarqué aujourd'hui qu'une trentaine de personnes se sont inscrites sur mon site Joomla (je n'expose pas de formulaire d'inscription/de connexion). La plupart d'entre elles semblent être des spammers/bots. Elles ont dû trouver un moyen de s'enregistrer via des URL cachées. Tous ces utilisateurs sont désactivés (par défaut), mais ce qui me dérange, c’est que certains de ces utilisateurs font partie du groupe Administrator.
Il y a notamment les utilisateurs avec des emails [email protected], [email protected] ou [email protected]. Si vous recherchez ces adresses sur Google, vous pouvez trouver un groupe de sites - ils semblent être d’autres installations de Joomla qui ont été piratées. ou quelque chose comme ça?
Je ne sais vraiment pas quoi en tirer. Les cases à cocher Enabled et Activated du panneau d’administration de Joomla sont toutes deux désactivées, c’est-à-dire qu’elles indiquent des croix rouges. Ces utilisateurs peuvent-ils encore faire du mal de quelque manière que ce soit? Devrais-je m'inquiéter?
Je ne savais pas trop si je devais poster ça ici, dans Joomla SE ou dans la sécurité. J'espère que c'est ok ici.
Un pirate a accès à votre instance Joomla avec des droits d’administration, vous devriez vous inquiéter: Votre site est compromis .
Cela est probablement dû au fait que le site ne contient pas les dernières mises à jour, ce qui pose plusieurs problèmes de sécurité à Joomla.
De plus, un nouvel exploit dans PHPmailer (valeur par défaut de Joomla) a été découvert récemment, ce qui rend les versions non corrigées vulnérables.
Vous devez utiliser l'authentification à deux facteurs , Joomla la supporte déjà depuis J! 3.2, vérifiez tous vos fichiers pour y apporter des modifications et effectuez une mise à jour urgente à la dernière version.
Votre installation semble être piratée. Les utilisateurs peuvent appliquer par programmation de nouveaux utilisateurs aux sites piratés, même les sites sont désactivés.
- Sauvegardez votre base de données.
- Configurez un dossier de protection pour votre dossier d’installation Joomla avec htpassword, si vous souhaitez le nettoyer.
- Recherchez des fichiers compromis/modifiés à l'aide de la recherche Google ou d'instructions telles que this ou that .
- remplacez-les par des fichiers non compromis
- Ou supprimez le dossier d'installation.
Il est probable que Joomla n'a pas été corrigé à la dernière version.
Par exemple, vulnérabilité récente , corrigé dans la mise à jour Joomla 3.6.5, "permet de modifier les comptes d'utilisateurs existants; il faut notamment réinitialiser leurs attributions de nom d'utilisateur, mot de passe et groupe d'utilisateurs".
Je recommande de mettre à jour les extensions Joomla et tierces vers les dernières versions et de supprimer tous les comptes suspects.
Il peut également être prudent d’exécuter un service d’analyse commerciale sur le site Web tel que myjoomla.com ou sucuri.net pour rechercher les fichiers malveillants.