Protection Sentinelle

[Thorhax]

salut tout le monde

je vous ai préparé un cocktail defensif très bien ficelé que je viens de pondre

je l'ai BAtisé Sentinelle

ça fait quoi ce truc me diriez vous !?

Pour toutes requêtes d'url interdites et insertion de scripts pour tous formulaires du front office (agressions) ça exécute les actions suivantes:

1-Renvoie sur une page d'avertissement (defense blocage) "STOP hacking"
2-Relève l'ip De l'agresseur et la requette pour envoie par mail à l'admin (action) "Informe l'administrateur du site"
3- Enregistre l'IP dans la base de données "BAN de l'IP"
4- Consulte si l'ip est bannie.
5-Renvoie sur la page de Ban (blocage) "Plus d'accès au site"

Vous n'avez donc plus rien à faire que de consulter la liste de ban dans l'administration de votre plugin ceci n'est pas le remède à tous les maux, c'est uniquement un moyen de stopper les apprentis sorciers et pour les plus calés qui pensent passer de la manière forte le htaccess est là pour ça.


Un rappel important qu'il me semble judicieux de faire :

nous n'avons que 2 manières de voir les choses:

• soit nous détectons l'origine des problèmes par une application et nous prenons les mesures et corrections qui s'imposent.
• soit nous ignorons l'origine des problèmes et nous confions pleinement en la qualité des scripts qui composent notre site.

Je pense que tout le monde sera d'accord pour dire que la première option est plus réconfortante.

La méthode sentinelle hack ou plugin n'est là que pour ceux qui d'entre vous veulent une automation pour des requêtes qui peuvent être néfaste et faciliter le defacage de votre site si le script Joomla n'est pas sécurisé.

sachant qu'en théorie les scripts JOOMLA sont sécurisées vous n'avez sans doute pas besoin de sentinelle pour jouer les gardiens , chose que moi (et tous ceux qui pensent comme moi) , ça me plaît (petit message) de bloquer catégoriquement les gus qui viennent lancer leurs scripts sur mon site.Puisque c'est l'unique forme que j'ai de leur dire d'aller voir ailleurs si j'y suis!!!

voilà l'idée de la sentinelle pour ceux qui l'adopte et pour ceux qui n'adhèrent pas à cette manière de voir les choses , ils n'ont pas de raison de s'inquiéter et peuvent passer allègrement ce sujet ....


maintenant, il est certain que si vous n'avez pas fait le minimum nécéssaire pour sécuriser votre site ,,,, usage du htaccess, configuration des droits sur repertoires , actualisation de votre versions Joomla et des modules tiers et configuration du serveur , c'est pas la sentinelle qui va vous sauver des soucis.


Ci-dessous le descriptif et installation des scripts, garantie de résultat immédiat !!

Même si enfin de compte ce genre de blocage suivit de ban n'a pas vraiment d'importance pour celui qui le prend car il se fout royalement de fréquenter votre site , il a l'avantage de stopper l'exécution et d'adresser un message cordial à chaque fois qu'il changera d'IP pour relancer ses assauts.

Conseils: faites un whois sur les IP trouvées cela va vous permettre d'en savoir un peu plus sur leur appartenance et tous les ans une petite remise à zéro s'impose (suivant le cas).


J'édite régulièrement mes posts dans le but de mieux définir, redefinir, corriger et améliorer certaines interprétations pour une meilleure compréhension de cette lecture et des scripts. Donc n'hésitez pas à relire pour rester actualisé.

INCOMPATIBLE AVEC :

-N/A

Merci à tous ceux qui ont participé à l'élaboration des différentes astuces exposées dans cette méthode pour leur confiance et support.

dédicace à un ami : Mon petit Braud, j'espère que ces astuces te seront utiles dans tes projets futur et surtout demande à ton apprentis de ne pas les lire en diagonal ça risque fort de lui être fatal.

Voir également Les secrets du htaccess


DEV Thierry S.

[Thorhax]

News

Plugin Sentinelle v1.0.3

Télécharger Plugin Sentinelle Joomla 1.03

Important : "Tout ce qui ne se donne pas, se perd !! ", un petit merci ça fait toujours plaisir...

Donc pour définir ce plugin en quelques mots:

c'est un bloqueur d'IP sur détection de "pattern" (motifs de fonctionnalités interdites) et méthode d'attaque XSS.

Plugin Sentinelle v3 en test

Comme promis et avec beaucoup de retard (désolé trop de choses en cours) voici ce que comportera l'actualisation du plugin sentinelle en version 3

--Timer de ban (durée du ban configurable dans l'administration du plugin)
-- htaccess interdiction (écriture htaccess)
-- Corrections mineures
-- Ajout d'une classe Object (gestion du htaccess)

Statut du plugin en test (ban Actif sur 10 minutes) en demo sur web-infoservice.com

Avantages de ces modifications:
-- d'éviter le ban permanent (inutile car les serveurs néfastes changent régulièrement d'adresse)
-- Sytème anti-flood (interdit l'usage de requêtes massives)
-- Interdiction sur tout le site et ses sous répertoires (contrôle par htaccess)
-- htaccess d'origine Joomla est SUFISSANT !
--Timer de Ban sur 10, 15, 30 minutes ou ban définitif

Release prévue après période de test et finalisation (paramètres administrationdu plugin à fignoler) .

Merci au dev Breizheart pour ses ajouts et idées !

[Thorhax]

Installation de votre sentinelle

Description

-La page d'explication

Soumis à accord :

L'auteur (moi) ne peut en aucun cas être tenu pour responsable des dommages ou dysfonctionnements occasionnés sur votre site par l'usage du pack Sentinelle.Toute reprise des scripts contenus dans ce pack pour usage commercial est formellement Interdit.

ÉTAPE 1

-Installer le plugin

ÉTAPE 2 (pas obligatoire pour le fonctionnement de la sentinelle mais recommandé pour la sécurité de votre site)

interdire l'accès direct à /administrator version plgSystemJSecure-1.0.3.zip (actualisé)

Un htaccess plus complet

Encodez les fichiers sensibles

ajouter un captcha à vos formulaires


IMPORTANT :

Evitez la création de liens (alias) contenant ces mots:

Code:

union
insert
from
where
concat
into
cast
exec
execu
cmd=
cmd

Merci à daneel pour sa contribution et tous ceux qui directement ou indirectement lors de mes recherches ont construit autour de l'idée.

[Thorhax]

Bon à savoir FAQ

Perdu l'accès à l'administration ?

Vous avez perdu l"accès à l'administration de votre site ou besoin de changer votre password ou celui d'un membre; Phil Taylor met à disposition un Générateur en ligne sur connexion sécurisée.

Accédez à votre base de données et la table jos_users dans le
champ username mettre ce qu'il vous convient et dans le champ password celui généré puis "Executer" pour que les changements soient pris en compte. voir l'exemple

Comment éviter que cela se reproduise ?

-effectuez les mise à jour de joomla et des composants,modules installés
- bloquez l'accès à l'administration du site par htaccess pour ceux qui possèdent un IP statique.
exemple du htaccess placé dans administrator:

Code:

<filesmatch "\.php$">
deny from all
allow from 86.248.198.220
</filesmatch>

ici c'est simple tout IP sera bloqué renvoie erreur 403 sauf pour 86.248.198.220 (vous; ip fictif pour l'exemple donc mettez la votre à la place et celles des autres admin s'ils ont un IP fixe)

de plus il vous est possible de personnaliser votre page d'erreur 403 en mettant dans le htaccess de la racine du site

Code:

ErrorDocument 403 http://votresite.fr/interdit.htm

Comment sécuriser certains modules et composants ?

Enlever la visibilité de l'identifiant
Composant Remostory (édition en cours)
Module Whoisonline -> correctif



note : cette exemple de blocage vous aurait protégé de la faille (avant J1.56) pas pour le reset du pass mais l'auteur n'aurait pas reussi à rentrer dans l'administration du site.

Mon site a été hacké comment puis je connaître les fichiers modifiés ?

Editer avec le notepd.exe un nouveau fichier et donnez lui le nom qu'il vous convient. (exemple: verif.php) et mettez le à la racine de votre site par le client ftp.

Appelez le par votre navigateur http://monsite.fr/verif.php
une fois terminée votre recherche supprimer ce fichier de votre ftp.
Il vous est conseillé de procéder par répertoire donc prenez soin de regarder et de bien les nommer dans le champ sans oublier de mettre "/" à la fin.

Code PHP:

<?php
/*
Donne la liste des derniers fichiers créés ET modifiés.
Très utile en cas de piratage pour savoir quels fichiers sont ajoutés et ceux qui ont été modifiés. Utile pour comprendre le comportement d'un script ou d'un CMS et voir quels fichiers ont été manipulés.
Crédits: Les 4/5 du code sont l'oeuvre de Linda MacPhee-Cobb (http://timestocome.com)
*/

    $go_back = 0;                        // affiche résultat ou non
    $i = 0;                                // compteur de boucle
    $dir_count = 0;                        // initialisation de la boucle
    $date = time();                        // date et heure actuelle
    $one_day = 86400;                    // nombre de secondes pour une journée
    $days = preg_replace("/[^0-9]/i",'', $_POST["jours"]);    // nombre de jours à vérifier
    $path = preg_replace("/[^_A-Za-z0-9-\.%\/]/i",'', $_POST["chemin"]);    // chemin de fichier absolu (avec nettoyage contre piratage)
    $path = preg_replace("/\.\.\//",'', $path);    // on interdit la commande ../
    define('ABSPATH', dirname(__FILE__));
    $path = ABSPATH.$path;    // chemin de fichier absolu de votre compte du genre /home/loginftp/www/ etc.
    $directories_to_read[$dir_count] = $path;
    
    // Formulaire pour remonter le temps
    print "<html><body><h3>Formulaire de Contr&ocirc;le des derniers fichiers modifi&eacute;s.</h3>";
    print "<table><tr><td>";
    print "<form method=\"post\">";
    print "<tr><td>Nombre de jours &agrave; v&eacute;rifier 1-99: </td>";
    print "<td>&nbsp;&nbsp;<input type=\"text\" name=\"jours\" maxlength=\"2\" size=\"2\"></td></tr>";
    print "<tr><td>Nom du r&eacute;pertoire &agrave; contr&ocirc;ler: </td>";
    print "<td>".ABSPATH." <input type=\"text\" name=\"chemin\" maxlength=\"80\" size=\"30\" value=\"/\" > (mettre un / &agrave; la fin)</td></tr>";
    print "<tr><td> </td><td><input type=\"submit\" value=\" V&eacute;rifier Fichiers \">";
    print "</form>";
    print "</td></tr></table>";
    // Affichage du résultat
    $go_back = $one_day * $days;
    print "<br /> Retour sur les <strong>" . ($go_back/$one_day) ."</strong> derniers jours. <br /><br />";

    if ( $go_back > 0 ){
        print "<table><tr><th>Nom du Fichier</th><th>Date de modification</th></tr>";
        $diff = $date - $go_back;
        
        while ( $i <= $dir_count ){
            $current_directory = $directories_to_read[$i];
        
            // obtenir info fichier
            $read_path = opendir( $directories_to_read[$i] );
            while ( $file_name = readdir( $read_path)){
                if (( $file_name != '.' )&&( $file_name != '..' )){
                    if ( is_dir( $current_directory . "/"  . $file_name ) == "dir" ){
                        // besoin d'obtenir tous les fichiers d'un répertoire
                        $d_file_name = "$current_directory" . "$file_name";
                        $dir_count++;
                        $directories_to_read[$dir_count] = $d_file_name . "/";
                    }else{
                        $file_name = "$current_directory" . "$file_name";
                        // Si temps modifiés plus récent que x jours, affiche, sinon, passe
                        if ( (filemtime( $file_name)) > $diff  ){
                            print "<tr><td> $file_name </td>";
                            $date_changed = filemtime( $file_name );
                            $pretty_date = date("d/m/Y H:i:s", $date_changed);
                            print  "<td> ::: $pretty_date</td></tr>" ;
                        }
                    }
                }
            }
            closedir ( $read_path );
            $i++;
        }
            print "</table>";
            print "</body></html>";
    } // if go_back > 0 )
?>

voilà qui devrait éviter à beaucoup une complète réinstallation de leur site.


@+

[Thorhax]

Merci !!

Je pense que tu n'auras aucun mal à mettre en oeuvre Ta sentinelle ... j'attends tes coms après tes tests

Note : j'ai fait le clean des bannis Testeurs
@+

[daneel]

Ok, ça fonctionne...

Pour compléter ton post, je donne ici une seconde astuce de protection :

Crypter vos fichiers PhP contenant les informations les plus importantes, c'est une solution complémentaire. Par exemple, vous pouvez décider de crypter le fichier configuration.php et cela gratuitement !

Comment? Voici les étapes :

ouvrez votre fichier configuration.php avec l'aide d'un éditeur de texte (je vous conseille notepad++ qui colorise très bien le code).

Aller sur Free Online PhP Encoder
et vous devriez obtenir une page demandant un id qui sera valide pour 30 minutes.
Pour obtenir cet identifiant (ID), donner une adresse email finissant par .com (par exemple un compte gmail).

Consultez donc votre adresse email pour récupérer cet id puis coller dans le champ 'Please enter LOGIN ID' et cliquer sur "enter". copier ensuite votre fichier configuration.php pour le coller dans le formulaire afin d'être encodé. Copier et coller le résultat dans votre éditeur (notepad++) et sauver le fichier "configuration.php"

Sauver le fichier configuration.php original et remplacez par celui que vous venez de créer.

Le niveau de cryptage obtenu n'est pas exceptionnel (les logiciels payants sont mieux mais trop cher pour moi) mais c'est déjà un bon début pour ne pas faciliter les choses pour ces jeunes hackers.

[aristide]

Bonjour Torhax

Tout d'abord merci pour cette outil facile à mettre en oeuvre par un néophyte que je suis.

Cela fait du bien de se sentir assisté après s'être fait hacké pour la première fois.

J'ai visité ta page et lu la doc.
Pour tester la Sentinelle, j'ai créé un formulaire : formulaire" Contact" de base de Joomla. Je met "ou ou" dans un champ, mais tout se passe normalement, pas de redirection.

Ou est ce que je fais une erreur ?

Merci par avance pour l'aide.

[clacouille]

Allo allo, ici cla*******.
Un petit (gros problème).
En premier, je sais que je ne dois pas être sur la bonne discussion et je m'en excuse. Voilà le gros problème:.

Je suis sur Joomla 1.5x
Mes plugins sont (vu mon cpanel de l'hébergeur) : jce, tinymce, joomfish. J'avais installé aussi sentinelle. Mais je ne le vois plus. Impossible d'accéder à mon site depuis que j'ai inséré un article un peu virulent (sncf et spaps). Alors ma parano du net me fait croire à une malversation. De plus si je vais dans phpMyAdmin, je n'ai plus que deux bases. Alors qu'il devrait y en avoir au moins quatre. Dans la base xxx_jo151, nulle trace de quelconque sentinelle.

Et voilà ce que j'obtiens en voulant aller sur le site :.
Not Found

The requested URL /jmla/jmla/plugins/system/sentinelle/index.html was not found on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


Déjà l'url n'est pas bon. Deux fois /jmla ça n'existe pas.


Ceci après un article assez acerbe mettant en cause un petit ministre. Pensez-vous que je me suis fait avoir ou ais-je fait une fausse manœuvre ?
Pourtant le site est consultable (sur bartalex.com/jmla). Je viens de vérifier par le biais d'un ami. Il n'y a que moi qui ne puisse y accéder.
Rassurez-moi s'il vous plaît, il faut tout que je recommence ?


Je ne sais pas trop sur quelle discussion mettre ce message d'appel à l'aide. Je poste ici car ce n'est pas trop le problème qui prime. Vous savez, on efface tout et on recommence. À la limite ouvrir un autre nom de domaine. Mais si c'est pour avoir les mêmes difficultés, au bout d'un moment ça peut coûter cher.
Merci d'avoir lu, même si je peux désengager sentinelle, je vois pas pourquoi je n'ai plus les répertoires ni les bases de données. M'est avis que je me suis fait avoir. Pardon, c'est la parano qui parle.

Vous souhaite à tous une bonne fête de la révolution, pas de pétards c'est interdit, et bon feux d'arfitices.

[EDIT MOD: Lire règles du forum. URL dans signature seulement et en clair.]

[johndiony]

Lut, j'ai tester le plugin sentiennel, mais j'ai quelque prob plutôt gênant

Premier, avec seyret ( composant vidéo ) il est normalement possible de voir la vidéo en mode " plein écran " mais quand j'active le plugin, et que je clic sur le lien " plein écran " on est bloquer par le plugin

Aussi j'utilise piwik pour des stats, et je n'avais plus aucune stats quand j'ai activer le plugin, il doit aussi bloquer piwik

J'ai installer la dernière version de sentinnel, existe t-il une solutions ? ou quelques chose d'alternatif a sentinel ?

[Sirius]

Rien de mieux qu'un bon htaccess