Témoignages de vos sites hackés

[istreen]

Bonjour,

je lance un appel aux témoignages suite aux nombreux webmasters victimes d'actes de malveillance dus à des négligences de sécurité (manque d'information...).

Des sites sous joomla sont régulièrement hackés avec plus ou moins des dégâts importants.

Venez témoigner de votre mésaventure en expliquant sans rentrer dans les détails techniques les dégâts causés et la faille ou les failles qui ont été exploitées pour ce hack.

Merci de ne pas communiquer l'url de votre site en public (en privé si vous souhaitez qu'un test de sécurité de votre site soit réalisé) contre le hack mais uniquement les composants ou url qui ont servi pour pénétrer au cœur de votre site.

Si vous souhaitez témoigner remplisez ces informations

Exemple :
Votre version de joomla lors de l'attaque : 1.5.1.0
Le type d'attaque : Modification de page signé du hacker
La faille utilisée : Sql injection ou Injection SQL pour les frenchies
Les conséquences : Corruption de la base de donné et installation d'un script shell "c99shell #16"
Hébergeur : OVH (mutualisé 300 GP)
Type de serveur : Linux (centos 5.3)
Version de PHP : 5.2.8
.htacces (oui/non) : non
Les composants ou modules complémentaires installés : eXtplorer version 2.0.0 (composant)

Je vous invite a éditer vos postes pour corriger et prendre en compte vos problèmes et analyser tous ca.

[placo]

voila pour moi hacké une fois sur joomla 1.5.3 et une une deuxieme fois sur la 1.5.6 .je trouve regretable qu'une faille soit decouverte et quellle soit de suite testé par des ptit cons. point commun ma base phpbb3 a été vidé 2 fois celle de joomla aucune fois du coup j'ai sauté joomla pour l'instant car pas trop le temp de faire des mise a jour tout les jours

[istreen]

Selon ce que tu me dis, c'est donc le manque de vigilance sur la mise à jour de ta version de joomla qui a permis a cette personne malveillante de pirater ton site.

Apparemment ta faille étais présente dans Joomla 1.5.0, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.5.5, 1.5.6.

Il est donc très import de suivre les mise à jours des produits type cms open source pour limiter le risque.

[placo]

exact pour les mise a jour et c'est pour ca que je vais retourner a une page htm.
bientot demenegement et la ou je vais pas internet et comme mon site est un site non comercial et tenu par des passionés qui ne peuvent pas etre la 24/24 je laisse tomber joomla jusqu'a qu'il soit plus mure.


j'ai toujour eu joomla en mode legacy si ca peut servir .

[istreen]

alors ton idée de page statiques html c'est ton choix, sache une chose, les pages html sont hébergées sus un serveur et je vois souvent des serveurs (apache,php,mysql,asp) qui sont vulnérables à de nombreuse attaques.

Le mieux est de rester sous joomla, de sécurisé et de veiller a suivre l'actualité via un flux rss ou newsletter sur le site éditeur de joomla ou sur des sites comme le mien spécialisé dans la sécurité dont joomla.

[placo]

oui mais sur le serveur j'ai phpbb3 avec 700 personnes et je ne peut pas me permetre de metre joomla la premiere fois j'ai eu une grosse perte la 2eme 3 jour de perdu

[placo]

je veut bien que tu me teste mon site mais pour ca je doit le metre en 1.57 ? ou je le laisse comme ca ? (le fichier de config n'y est plus )

[baboon]

cela m'est arrivé une fois sous Joomla 1.5.5

le hacker (script kiddies soyons clair) avait profité d'une faille corrigé sous J! 1.5.6

je n'avais pas corrigé celle ci a temps a temps étant en vacances

mais les dégâts fur minime (modification d'un article en front end) car mon accès administrateur est protégé par htaccess

mon hébergeur étant infomaniak j'ai pu restaurer une bdd de la veille.

depuis j'ai changé tout mes pass, vérifier qu'aucun fichier était modifié/ajouté et ajouté le plugin sentinelle

voila, je pense que la meilleur protection est :

- de cloisonner au mieux les pass/user admin/ftp/user
- protéger son configuration.php + chiffrement de celui-ci
- protéger son rep admin par htaccesss
- se tenir au courant des update de joomla/extension par fil rss sur sa page d'accueil de son browser et par les mailing list
- de ne pas installer des extensions trop exotiques
- backup régulier de sa bdd (script cron ou hébergeur) et des ses fichiers (site image en local)
- d'activer la fonction sef/url rewriting
- installer le plugin sentinelle
- d'utiliser le fichier verify.php régulièrement
- important!!!! enlever toute référence a joomla ou autre extensions sur le site ! ceci évite d'être référencé sur un quelconque moteur de recherche, en effet en analysant les log après mon hack j'ai constaté que le hacker etait arrivé sur mon site par un moteur de recherche en utilisant le mot clef "Powered by Joomla 1.5"

[lavsteph]

- important!!!! enlever toute référence a joomla ou autre extensions sur le site ! ceci évite d'être référencé sur un quelconque moteur de recherche, en effet en analysant les log après mon hack j'ai constaté que le hacker etait arrivé sur mon site par un moteur de recherche en utilisant le mot clef "Powered by Joomla 1.5"

Bonsoir,

sans donner publiquement le principe de recherche qu'utilise les pirates, je peux te dire que enlever ce type de références ne peut que te rassurer, mais ne sert strictement à rien pour la protection.

Les urls d'un site et sont code source suffisent pour lancé un script.

[Thorhax]

Bonsoir,

sans donner publiquement le principe de recherche qu'utilise les pirates, je peux te dire que enlever ce type de références ne peut que te rassurer, mais ne sert strictement à rien pour la protection.

Les urls d'un site et sont code source suffisent pour lancé un script.

bonjour

Tout à fait dans le sens ou les mots clés peuvent être des var du type com_content et autres contenus dans l'url il est vrai que le mot Joomla n'est pas le seul et unique moyen de trouver les sites.