Joomladay francophone 2018 à Paris 18 et 19 mai

erreur 403 chez free pishing bancaire

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • erreur 403 chez free pishing bancaire

    bonjour et bonne anneé

    Voila pour 2008 free a supprimer mon site de la federation des usagers de coulommiers suite a un faille dans module joomla pour pishing bancaire . Pour recuprer mon site il faut que je nettoye joomla ou metre a jour celui ci. Avez-vous la solutions.

    a+

  • #2
    Même problème ...

    Envoyé par verhulst Voir le message
    bonjour et bonne anneé

    Voila pour 2008 free a supprimer mon site de la federation des usagers de coulommiers suite a un faille dans module joomla pour pishing bancaire . Pour recuprer mon site il faut que je nettoye joomla ou metre a jour celui ci. Avez-vous la solutions.

    a+
    J'ai le même problème. Voilà ce que j'ai comme message free :
    Votre page personnelle a été suspendue pour la/les raisons suivantes:
    Phishing Bancaire
    http://uspalaiseautriathlon.free.fr/...sfargo.com.htm

    Pour Joomla et les composants :
    J'utilise joomla 1.1.13
    Avec les composants :
    DOCman 1.4.0beta2
    ExtCal Calendar 0.9.1
    (avec une modif suite à la lecture d'une faille sur un forum.
    J'ai ajouté :
    dans tout les php ou cela manquait :
    // no direct access
    defined( '_VALID_MOS' ) or die( 'Restricted access' )
    FacileForms 1.4.7
    GMAccess 3.2
    JCE Admin 1.1.1
    Letterman 1.2.4
    My Content 1.1.13
    Page Cache 1.0.9
    Shoutbox 0.1
    zOOm Media Gallery 2.5.1 RC3
    Avec les Mambots :
    FacileForms 1.4.7
    DOCMan Email Notification 1.0 beta 4
    JCE Editor Mambot 1.1.6
    DOCLink 1.4.0beta2
    Search DOCman 1.4.0beta2
    JCEUtilities 1.3.0
    Avec les modules :
    mod_docman_catdown 1.4.0beta2
    mod_docman_latestdown 1.4.0beta2
    mod_docman_lister 1.4.0beta2
    mod_docman_mostdown 1.4.0beta2
    mod_extcalendar_minical 0.8.2
    mod_facileforms 1.4.7
    mod_lettermansubscribe 1.2.5
    mod_shoutbox 1.1

    Je viens de lire sur le forum comment résoudre la faille de extcalendar avec version 0.9.2.
    Quelqu'un a t-il une idée de la faille qui a permit l'intrusion ? Est-ce un composant de joomla ? Est-ce extcalendar qui n'a pas été suffisamment modifié ? Faut il passer en 0.9.2 ? Faut il sécuriser le répertoire administrator avec un .htaccess ?

    Merci d'avance pour vos réponses, conseils, directions de recherche pour ce pb.

    Voyageurcorail

    Commentaire


    • #3
      idem

      Phishing Bancaire

      http://usagers.coulommiers.free.fr/h...sfargo.com.htm

      Commentaire


      • #4
        Avons nous des composants identiques ?

        Envoyé par verhulst Voir le message
        salut verhulst,

        En attendant un forumer qui pourra peut être nous éclairer avec plus de certitude, peux tu regarder ce que nous avons installé en commun sur notre site. J'ai donnée ma version de Joomla, mes composants, mambots, modules installés en plus. Cela permettra peut être d'identifier ou est situé cette faille de sécurité. Pour l'instant, je suis comme toi, bien embêté car le site de mon asso est suspendu chez free et la procédure chez free n'est pas si clair de plus qu'il faut apparemment être en mesure de corriger cette faille ... en plus de la nettoyer.

        Merci
        Voyageurcorail

        Commentaire


        • #5
          En regardant rapidement, je vois un composant à mettre à jour pour cause de faille:

          Zoom Media Gallery version 2.5.1 RC4 and prior

          A vulnerability has been identified in zOOm Media Gallery , which could be exploited by remote attackers to execute arbitrary commands. This issue is due to an input validation error in the "lib/iptc/EXIF_Makernote.php" script that does not validate the "mosConfig_absolute_path" parameter, which could be exploited by remote attackers to include malicious PHP scripts and execute arbitrary commands with the privileges of the web server.

          Source http://www.frsirt.com/english/advisories/2007/1353
          Voilà déjà une piste

          Commentaire


          • #6
            Débarassez vous d'Ext Calendar... il y a je ne sais pas combien de messages d'utilisateurs piratés par ce composant ici ...

            Une bonne alternative : http://dev.anything-digital.com/

            Commentaire


            • #7
              Merci à tous pour vos réponses

              Merci à tous pour ces infos. Je viens aussi de lire le premier post de ce sujet
              qui donne la liste des composants avec pb de sécurité.
              Pour ExtCalendar, j'ai vu qu'il y a une version 0.9.2 qui corrige la faille. Quelqu'un a t il un feedback sur cette version. La correction est elle ok ?
              Pour ZMG (zOOm Media gallery) j'ai lu des posts sur le forum et ce n'est pas très clair !... La version 2.5.1 RC4 est la dernière release ... plus de MAJ depuis ... Que faire dans mon cas ? Quelqu'un a t-il rencontré ce pb ? J'ai lu le post :
              http://forum.joomla.org/index.php/topic,160119.0.html
              mais cela reste assez flou ... . Peut on corriger ?
              Encore merci pour vos réponses passées et à venir.
              Romain

              Commentaire


              • #8
                J'ai eu le même problème pour mon site et cela venais d'extcalendar, pour régler le problème je me suis connecté sur les newsgroup afin d'avoir accés à mon ftp et supprimer le composant, j'ai pu ensuite remettre en place le Http

                mais j'avoue que c'est vraiment lourd et petit ce genre de hack

                Commentaire


                • #9
                  Feedback Extcalendar 0.9.2 et zOOm media Gallery 2.5.1 RC4

                  Envoyé par voyageurcorail Voir le message
                  Merci à tous pour ces infos. Je viens aussi de lire le premier post de ce sujet
                  qui donne la liste des composants avec pb de sécurité.
                  Pour ExtCalendar, j'ai vu qu'il y a une version 0.9.2 qui corrige la faille. Quelqu'un a t il un feedback sur cette version. La correction est elle ok ?
                  Pour ZMG (zOOm Media gallery) j'ai lu des posts sur le forum et ce n'est pas très clair !... La version 2.5.1 RC4 est la dernière release ... plus de MAJ depuis ... Que faire dans mon cas ? Quelqu'un a t-il rencontré ce pb ? J'ai lu le post :
                  http://forum.joomla.org/index.php/topic,160119.0.html
                  mais cela reste assez flou ... . Peut on corriger ?
                  Encore merci pour vos réponses passées et à venir.
                  Romain
                  Bonjour,

                  Toujours en train de revoir la sécurité de mon site web. Free vient de me redonner la main sur ftp.
                  Je vais donc pouvoir :
                  - Mettre à jour ExtCalendar de 0.9.1 en 0.9.2. N'ayant accès qu'au ftp, je ne vais pas supprimer les tables SQL mais juste effacer le répertoire et ces fichiers dans la racine et administrator et coller en manuel la version 0.9.2 (je ne peux pas faire autrement car pas d'accès http).
                  - Mettre à jour les 2 fichiers "zOOm Media gallery" en suivant le post suivant : http://forum.joomla.org/index.php/to...html#msg774157
                  après bien sure avoir fait, toujours en manuel, une mise à jour en RC4 (j'espère que la RC4 s'appuies sur les mêmes tables SQL). Je vais regarder un peu plus sur le site pour voir s'il y a des infos ou dans les fichiers d'instal (qu'il faut que je comprenne ...).
                  Bref, en attendant, si je vous parle de tout cela, c'est aussi pour avoir vos éventuels feedback sur le sujet et vos expériences.

                  Merci
                  Romain

                  Commentaire


                  • #10
                    Erreur 403 - Refus de traitement de la requête

                    Bonjour,

                    J'ai été victime également de phishing bancaire.
                    J'ai modifié mes mots de passe du compte free, FTP et SQL.
                    Free m'a donné l'accés FTP et j'ai supprimé le module en question
                    De plus un virus s'était installé:
                    administrator\components\com_postcard\sTeVo.php
                    Que j'ai évidement nettoyé.

                    J'ai modifié le mot de passe dans configuration.php

                    Cependant cela ne fonctionne toujours pas.

                    Voici la réponse de free:

                    "Une fois que vous serez sûr que vos pages sont nettes
                    et surtout très sécurisées (mise à jour des scripts, notamment)

                    Il vous faudra chercher ---> sur internet
                    ce qui renvoie l'erreur affichée (403)
                    lorsque vous vous connectez en http.

                    Une fois trouvé, vous pouvez modifier la ligne qui interdit
                    l'accès aux visiteurs en la commentant (ajout simplement # devant)
                    Cette solution est utilisable pour empêcher les visiteurs
                    d'accéder aux dossiers/répertoires dont vous souhaitez interdire l'accès...

                    Nb: dans certains dossiers des scripts utilisés,
                    il existe des fichiers qui vous permettent
                    de mettre en place ce type d'interdiction.
                    Avec, par exemple un commentaire de type :
                    "# If you want to protect your install folder
                    # uncomment the lines below"


                    Je ne suis pas couché avec ça !!

                    Si quelqu'un peut m'aider, ce serait vraiement sympa !

                    Commentaire


                    • #11
                      Envoyé par Le café du marais Voir le message
                      Bonjour,

                      J'ai été victime également de phishing bancaire.
                      J'ai modifié mes mots de passe du compte free, FTP et SQL.
                      Free m'a donné l'accés FTP et j'ai supprimé le module en question
                      De plus un virus s'était installé:
                      administrator\components\com_postcard\sTeVo.php
                      Que j'ai évidement nettoyé.

                      J'ai modifié le mot de passe dans configuration.php

                      Cependant cela ne fonctionne toujours pas.

                      Voici la réponse de free:

                      "Une fois que vous serez sûr que vos pages sont nettes
                      et surtout très sécurisées (mise à jour des scripts, notamment)

                      Il vous faudra chercher ---> sur internet
                      ce qui renvoie l'erreur affichée (403)
                      lorsque vous vous connectez en http.

                      Une fois trouvé, vous pouvez modifier la ligne qui interdit
                      l'accès aux visiteurs en la commentant (ajout simplement # devant)
                      Cette solution est utilisable pour empêcher les visiteurs
                      d'accéder aux dossiers/répertoires dont vous souhaitez interdire l'accès...

                      Nb: dans certains dossiers des scripts utilisés,
                      il existe des fichiers qui vous permettent
                      de mettre en place ce type d'interdiction.
                      Avec, par exemple un commentaire de type :
                      "# If you want to protect your install folder
                      # uncomment the lines below"


                      Je ne suis pas couché avec ça !!

                      Si quelqu'un peut m'aider, ce serait vraiement sympa !
                      Salut,

                      Je suis en train de nettoyer mon site après pishing. Je suis en train de comparer tous les fichiers sur free.fr avec ma copie locale (avant le pishing).
                      Si tu as eu un pishing, fait attention, il peut y en avoir un peu partout. Pour ma part je n'ai pas seulement trouvé le fichier cité par free mais aussi d'autre PHP qui trainant un peu partout dans d'autre répertoire et qui sont loié à cette attaque. Il me reste à finir et aussi comparer ma base de données SQL. Puis évidemment de corriger ces failles de sécurité pour éviter que cela se reproduise (et que free bloque définitivement mon site), et aussi de verrouiller mon répertoire admin avec un htaccess. Ce htaccess te permet de verrouiller fichier / répertoire. C'est aussi ce que free a ajouté sur ton site à la racine avec un "deny from all". Il faut commenter cette ligne avec un #. J'ai vu ce fichier en comparant avant et après la hack. revérifie bien que tu n'as pas d'autre fichier suite au pishing ...

                      A+

                      Commentaire


                      • #12
                        Donc il faut demander à free ne nous réactiver la page perso et le ftp pour que l'on puisse faire le mènage.

                        Mise à part les mises à jour que l'on peut faire sur certain composant.

                        Ca ressemble à quoi le phising.

                        Dans les index.php mais sous quelles formes?

                        Merci à tous.

                        Commentaire

                        Annonce

                        Réduire
                        1 sur 2 < >

                        C'est [Réglé] et on n'en parle plus ?

                        A quoi ça sert ?
                        La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                        Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                        Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                        Comment ajouter la mention [Réglé] à votre discussion ?
                        1 - Aller sur votre discussion et éditer votre premier message :


                        2 - Cliquer sur la liste déroulante Préfixe.

                        3 - Choisir le préfixe [Réglé].


                        4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                        2 sur 2 < >

                        Assistance au forum - Outil de publication d'infos de votre site

                        Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                        Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                        Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                        UTILISER À VOS PROPRES RISQUES :
                        L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                        Problèmes connus :
                        FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                        Installation :

                        1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                        Archive zip : https://github.com/AFUJ/FPA/zipball/master

                        2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                        3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                        4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                        5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                        6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                        et remplacer www. votresite .com par votre nom de domaine


                        Exemples:
                        Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                        Télécharger le script fpa-fr.php dans: /public_html/
                        Pour executer le script: http://www..com/fpa-fr.php

                        Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                        Télécharger le script fpa-fr.php dans: /public_html/cms/
                        Pour executer le script: http://www..com/cms/fpa-fr.php

                        En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                        Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                        Voir plus
                        Voir moins
                        Travaille ...
                        X