Пароль к админке Joomla

Добрый день!
Столкнулся с такой проблемой, мне сделали сайт на Joomla и забыли дать пароль и логин к админке, можно его каким нить образом увидеть на своем хостинге, где он лежит или может в базе Msql?

Заранее благодарен за варианты?

Если имеется доступ к базе данных, можно поменять пароль прямо там.
Табличка зовется, насколько я помню, _users, или что-то вроде этого, там логины хранятся незащищенные, пароли в виде md5.
Можете сменить на любой желаемый пароль в md5.
Например, если вы вставите c4ca4238a0b923820dcc509a6f75849b это будет пароль 1.
Ну думаю не надо напоминать, что сразу как залогинитесь - тут же поменяйте..)

Цитата ("dervinar"):

Если имеется доступ к базе данных, можно поменять пароль прямо там.
Табличка зовется, насколько я помню, _users, или что-то вроде этого, там логины хранятся незащищенные, пароли в виде md5.
Можете сменить на любой желаемый пароль в md5.
Например, если вы вставите c4ca4238a0b923820dcc509a6f75849b это будет пароль 1.
Ну думаю не надо напоминать, что сразу как залогинитесь - тут же поменяйте..)

Насколько я помню там по мимо md5 ещё используют salt! Тобеж нужно посмотреть какой там salt, прибавить к своему паролю, а потом вычислять md5! Эту строку и вставить в БД!

Клиенту всегда правлю пароли(часто забывает) через вывод echo md5(пароль).
Не знаю, о каком salt Вы говорите

Версия - 1.5.x

В таблице _users графа password состоит из двух 32значных хешей разделённых двоеточием! К примеру у меня:
0966aac3b9bd5305f8e9003581a83859:9KFjkQ9M4d9E6Btz0U8IDUdU0U1zbKT9
Один из них просто хеш рандомного числа (salt), а второе md5(salt+password)!
Если не лень, то заглянь в исходники там должен найти алгоритм шифровки паролей. Это сделано для улучшения безопасности на случай кражи базы!
Не спорю что если соли не будет, то md5(salt+password)=md5(password), но это удар по безопасности, о котором я уже вспоминал!

Для того чтобы войти salt не нужен.

Цитата ("werewolf"):

Для того чтобы войти salt не нужен.

Ты предпочитаеш делать лишь бы работало? Или же потратить несколько минут что бы разобратьс и сделать как следует?
Всётаки угроза безопасности! Лучше перебдеть, чем недобдеть!

Andreyka1984, посилання

Восстановление с помощью функции напоминания пароля

Если вы помните e-mail суперадминистратора, можно зайти на сайт и воспользоваться функцией напоминания забытого пароля. Для этого нужно набрать в адресной строке браузера (вместо site.ru укажите адрес вашего сайта):
посилання

После этого ввести логин и e-mail учетной записи суперадминистратора, и нажать кнопку «Отправить пароль». Новый пароль будет выслан на адрес учетной записи суперадминистратора.

Сброс пароля суперадминистратора с помощью SQL-запроса

Если же по некоторым причинам нет возможности восстановления пароля посредством функции напоминания забытого пароля, можно сбросить пароль администратора с помощью SQL-запроса.

Для этого необходимо подключиться к базе данных сайта и выполнить следующий SQL-запрос (например с помощью phpMyAdmin):

UPDATE `jos_users`
SET password='21232f297a57a5a743894a0e4a801fc3'
WHERE id = 62;

После выполнения данного SQL-запроса, пароль суперадминистратора будет admin. Не забудьте зайти в административную панель и изменить этот пароль в целях безопасности.

Либо можно сразу в запросе указать новый пароль, тогда запрос будет выглядеть так:

UPDATE `jos_users`
SET password= MD5( 'new_password' )
WHERE id = 62;

где вместо new_password вы можете указать свой новый пароль.

Скрипт Admin Restore for Mambo/Joomla

Для полного восстановления учетной записи суперадминистратора можно воспользоваться небольшим скриптом, разработанным студией Gorsk.net. Скрипт Admin Restore for Mambo/Joomla устанавливает учетной записи суперадминистратора пароль admin.

1. Загрузить скрипт Admin Restore for Mambo/Joomla
2. Извлечь из архива файл admrest.php
3. Скопировать admrest.php в корень сайта
4. Запустить скрипт из браузера (например, посилання)
5. Зайти в административную панель и изменить пароль по умолчанию

Примечание: если настройки сервера позволяют, файл попытается самоудалиться; если ему это не удастся — обязательно удалите его с сервера вручную!

Цитата ("VOPLI"):

Ты предпочитаеш делать лишь бы работало? Или же потратить несколько минут что бы разобратьс и сделать как следует?
Всётаки угроза безопасности! Лучше перебдеть, чем недобдеть!

В чем угроза? Пароль меняется через профиль и salt генерируется заново.

Цитата ("VOPLI"):

Это сделано для улучшения безопасности на случай кражи базы!
... но это удар по безопасности, о котором я уже вспоминал!

Даже смешно, упоминать слово безопасность в смысле "безопасность сайта на Joomla!"...
Угрозы нет никакой. Просто сайт станет ломаться на 15 минут быстрее.
Какую то степень безопасности против оффициально публикуемых уязвимостей можно получить, если 1-2 раза в неделю проводить обновление, ну либо настроить автообновлялку, что чревато еще большими последствиями. Против умельцев покопаться в коде и поискать новых уязвимостей, которых в Joomla! пруд пруди ничем и никак не защититься. Вариант только удалить Joomla! и сделать сайт по нормальному.

Цитата ("dervinar"):

сделать сайт по нормальному

И ты сделал? Найди движок получше!

Цитата ("dervinar"):

оффициально публикуемых уязвимостей

Всё правильно, им не стыдно за свои оплошности, они с ними борятся вместо того что бы скрывать их!

Цитата ("dervinar"):

Против умельцев покопаться в коде и поискать новых уязвимостей, которых в Joomla! пруд пруди ничем и никак не защититься

Таким образом стремятся к совершенству!

Цитата ("werewolf"):

Пароль меняется через профиль

Речь шла о замене в sql, через профиль нормально будет!

Цитата ("VOPLI"):

Всё правильно, им не стыдно за свои оплошности, они с ними борятся вместо того что бы скрывать их!

Ну во первых товарищ, это бред. Во вторых, публикуются на сайте Joomla! только уже исправленные уязвимости, а неисправленные - публикуются в других местах и другими людьми=)
В третих - если уж скрывать не получилось(секьюрилабу рот не заткнешь), то почему бы из этого не сделать маркетинговых ход и не позаставлять всех качать новые версии?

Цитата ("VOPLI"):

Таким образом стремятся к совершенству!

Ыыыыыть=) Тоесть если потенциальный взломщик решил, что выкладывать найденную им уязвимость в секьюрилабе он не хочет, а лучше вместо этого сайт чей-нибудь сломает, то Joomla! при этом стремится к совершенству?) А каким образом, Вы не в курсе случайно?=)

Друзья, ну не надо заблуждаться. Я не против подхода "с миру по нитке", и уж тем более не против программного обеспечения с открытым исходным кодом.
Есть действительно замечательные вещи, например тот же сервер Apache, сейчас ставший де факто стандартом веб сервера для линукса. Да, в нем тоже были какие то проблемы, да, он тоже в свое время проходил уйму тестирований, но после выпуска очередной стабильной версии в релиз - критических ошибок там находилось очень и очень мало, хотя потенциально веб - сервер намного более опасное приложение, чем скриптики сайта.

Но Joomla! это откровенный говнокод в бОльшей части своей. Отсюда и кучи опаснейших уязвимостей, обнаруживаемых не на стадии тестирования, а уже после выхода в релиз.
Joomla это отличное решение для дизайнеров, которое позволяет делать какие-то сайты, не привлекая программистов. Ну или, если пользоваться шаблонами - то и дизайнеры не нужны...
Но прошу, не надо даже пытаться сравнивать сайты на Joomla и нормальные сайты...

Цитата ("VOPLI"):

И ты сделал? Найди движок получше!

Да, сделал. В настоящий момент стадию тестирования проходит наш фреймворк для создания сайтов, на языке D. Разумеется, как только будет релиз - я опубликую его и на этом сайте тоже.
Если под "движком" подразумевается что-то, на чем можно будет делать сайты человеку, не знакомому с программированием - я даже и не планирую искать что-то подобное.
Это... ну я не знаю, примерно то же самое, что сделать конструктор типа "собери себе дизайн сам". Выбор из 10-ти вариантов кнопочек, 100 вариантов менюшек, логотипчиков, ставишь подвал, заливаешь фон и вуаля, дизайн готов.
Любые программы (в смысле как приложения, так и скрипты) должен писать программист. Точка.

dervinar, шопопало говоришь, чес слово!
Цитата ("dervinar"):

а неисправленные - публикуются в других местах и другими людьми

То что? Джумла их не исправляет если другие опубликовали?

Цитата ("dervinar"):

Joomla! при этом стремится к совершенству?) А каким образом, Вы не в курсе случайно?

Прикрывая уязвимости, фикся баги! В общем рабоют!
Цитата ("dervinar"):

Если под "движком" подразумевается что-то, на чем можно будет делать сайты человеку, не знакомому с программированием - я даже и не планирую искать что-то подобное.

Под движком подразумевается что-то, на чем человек не знаком с программированием сможет добавить статью на сайт, или другую информацию!

Цитата ("dervinar"):

Любые программы (в смысле как приложения, так и скрипты) должен писать программист. Точка.

Бугога! Нет блин! Сантехники этим должны заниматься

Цитата ("VOPLI"):

Под движком подразумевается что-то, на чем человек не знаком с программированием сможет добавить статью на сайт, или другую информацию!

В таком случае, под это определение попадает любой сделанный мной сайт.
Цитата ("VOPLI"):

То что? Джумла их не исправляет если другие опубликовали?

Исправляют=) В течении 1-2 недель.
Итого - любой сайт на Joomla! около 70-ти процентов времени уязвим, даже если каждое новое обновление применять.
Цитата ("VOPLI"):

Бугога! Нет блин! Сантехники этим должны заниматься

Ваша ирония вполне понятна и уместна. Значит внимание вопрос - почему не написать для каждого сайта именно то, что для этого сайта нужно, зачем нужны все эти CMS с инсталляторами?
Отвечу - исключительно для того, чтобы делать сайты могли НЕ программисты.
Цитата ("VOPLI"):

Joomla! при этом стремится к совершенству?) А каким образом, Вы не в курсе случайно?

Вы выдираете цитаты из контекста. Повторяю вопрос.
Каким образом, если я сломаю сайт на джумле и НЕ опубликую уязвимость нигде, джумла от этого посовершенствуется? Да никаким.

Не спорю, джумловод из меня хреновый. Делал на джумле всего один сайт и после этого заколебался его от взломщиков спасать. Постоянно каким-то образом ломали пароль в админку (не подбором, факт) и меняли главную. После этого зарёкся с джумлой работать.

Цитата ("VOPLI"):

Найди движок получше!

MODx - более десятка разработанных сайтов только мной. Ни одного взлома. Для безопасности делал только то, на что ругался сам модикс - 644 на конфиг и отключённые регистр_глобалс. Всё

Из-за неопытности работы с джумлой не буду ничего громко заявлять - но личная статистика говорит сама за себя.

alexander_vip, А я интереса ради пробовала взломать мои же проекты и ничего пока....

Цитата ("AlexsimA"):

alexander_vip, А я интереса ради пробовала взломать мои же проекты и ничего пока....

Если не секрет, о какой точно версии Joomla идет речь, и каким образом пробовали взломать?

Цитата ("AlexsimA"):

alexander_vip, А я интереса ради пробовала взломать мои же проекты и ничего пока....

Говорю же, плохой я джумловод Может быть я просто не умею её готовить.
Но то, что "из коробки" по безопасности она не очень - факт.

1.5.3 кажется. Судя по логам, ломалась прямыми гет-запросами к /administrator.

лекарство придумал грубое, но надёжное. Закрыл /administrator дополнительной авторизацией по .htaccess

Цитата ("alexander_vip"):

Но то, что "из коробки" по безопасности она не очень - факт.

Простите, но это уже не факт, а фантазии . Какие вы можете назвать проблемы с безопасностью в текущей версии? Желательно критичные.
За последние пару лет в джумле (сторонние компоненты не в счет) серьезные критические уязвимости - единичны.
Практически во всех открытых популярных продуктах находят и закрывают уязвимости.
Это такой процесс развития. Главное за ним успевать. И джумла тут ничем особым не выделяется (кроме своей распространенности).