Joomladay francophone 2018 à Paris 18 et 19 mai

Hacked by : "SECURITY SERVICE BY TAO"

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Hacked by : "SECURITY SERVICE BY TAO"

    Bonsoir à tous,
    j'ai une dizaine de sites qui viennent de se faire injecter ça :
    if($_GET['mosConfig_absolute_path'] != '' || $_POST['mosConfig_absolute_path'] != '' || $_COOKIE['mosConfig_absolute_path'] != '') { die("<TITLE>!- SECURITY SERVICE BY TAO -!</TITLE><center><b>LOVE IS BLIND..BUT PATCH IS BEAUTIFULLY</center></b>"); exit; }

    dans configuration.php et global.php (et parfois dans includes/database.php

    J'ai pourtant fait ce que j'ai pu pour securiser mes sites...(tous mis à jour, htacess, global.php avec interception d'injection.. tralala, composant type JDefender...bref.. )

    j'ai pourtant du laisser une porte ouverte...
    comment savoir pour où ces ******** de fils de ***** passent pour pouvoir injecter ca...

    extplorer ? docman ? akocomment ? virtuemart ?
    je ne sais pas...

    dois-je mettre TOUS les fichiers de joomla en CHMOD 444 ?

    si quelqu'un avait une idée, un conseil...

    à votre bon coeur msieudames

  • #2
    Tu peux nous donner la liste de tes composants avec version.

    Commentaire


    • #3
      heu oui mais non

      Comment dire...
      je dois lister tous les composants de tous les sites ?
      les mambots aussi ?

      ca risque d'etre mega long.

      Par contre j'ai cherché toute la nuit des fichiers méchants et j'en ai trouvé, grace bizarement à Avast (!?!) en rapatriant mes sites en local ! Merci à lui !

      Avast a dont découvert ces fichiers, qui en fait étaient des plateformes de mass mailing, des console d'admin php... la totale pour être a l'aise chez soi, .... et donc les types ont carrément uploader des mini-sites à eux... chez moi

      bref...
      je suis super fatigué... et toujours pas sûr d'avoir trouvé la faille..

      les composants les plus vieux que j'ai pu voir sur mes sites (et que je ferais mieux de maj):
      JoomlaCloner 1.9.2
      ARTIO JoomSEF 1.3.3
      Bookmarks 2.7_2c
      Community Builder 1.0.2
      JDefender 1.6
      Joomap 2.05
      JWTranslate language editor 1.2
      Letterman 1.2.2
      MetaTag Generator 1.0
      Modulator 0.0.1
      My Content 1.1.9
      SmileTAG Shoutbox 2.3
      Xe-VidMega 1.0
      zOOm Media Gallery 2.5.1 RC3

      ....



      et d'ailleurs je me demandais :
      existe-t-il un logiciel permettant de faire un audit de sécurité et exécuter les tâches suivantes :
      -vérifier les droits de tous les répertoires d'un ftp
      -chercher les derniers fichiers modifiés et ajoutés
      -lister tous les répertoires ne contenant pas de index.html vide
      -comparer les fichiers de base de joomla avec ceux sur le serveur...
      -lancer un scan d'antivirus/spam/spy/etc
      -detecter les script perl
      -d'autres idées ?
      Dernière édition par antonin à 14/02/2008, 13h50

      Commentaire


      • #4
        Première chose:

        Mets à jour tes composants ! J'ai regardé rapidement ta liste et certains ont des failles.
        Vulnérabilités des composants:
        http://help.joomla.org/component/opt...86/Itemid,268/

        Perso j'utilise pour l'url rewriting le composant de Shumisha qui possède des fonctions de sécurité très efficaces !

        Les fonctions de sécurité ajoutées :

        - vérifie présence de variables mosConfig_xxx
        - vérifie présence de <script>
        - vérifie présence de base64_encode
        - contrôle que certaines variables sont bien numeriques seulement (liste des variables saisies dans l'admin, livré avec variables de base déjà saisies)
        - contrôle que certaines variables sont bien alpha-numeriques seulement (liste des variables saisies dans l'admin, livré avec variables de base déjà saisies)
        - contrôle que certaines variables ne contiennent pas http:// ou ftp:// (liste des variables saisies dans l'admin, livré avec variables de base déjà saisies)
        - contrôle adresse IP visiteur ( liste blanche/liste noire saisies dans l'admin, avec joker: par ex. 80.89.90.*)
        - contrôle chaine UserAgent (liste blanche/liste noire saisies dans l'admin)
        - anti-flooding: contrôle le nombre de requêtes provenant d'une même adresse IP sur une periode de temps (nombre d'accès et durée du contrôle réglable dans l'admin. Peut-être limité aux requètes avec des données POST, c'est à dire essentiellement les formulaires, pour protéger contre le spam)
        - contrôle de l'ip du visiteur à partir de la base de données du service gratuit projectHoneyPot.org (projet recueillant et classant les IP des spammes, hackers, etc)

        Ces protections sont appliquées sur les URL SEF, les URL Joomla SEF, et les URL non-sef. Les attaques sont enregistrées dans un fichier journal, et conservées pendant un nombre de mois fixés par l'utilisateur.

        Commentaire


        • #5
          Merci bien

          Pourrais-tu m'indiquer l'url de ce composant ?
          ( tu parle de sh404sef ? )
          Merci bien.

          Commentaire


          • #6
            Envoyé par antonin Voir le message
            Pourrais-tu m'indiquer l'url de ce composant ?
            ( tu parle de sh404sef ? )
            Merci bien.
            Téléchargement:
            http://joomlacode.org/gf/project/sh404sef/frs/

            Forum en cas de problème
            http://extensions.siliana.net/forum/

            Commentaire


            • #7
              Tu as en effets des composants très sensibles...

              Commentaire


              • #8
                Joomap - pb sécurité

                Bjr Antonin,

                le pb vient de Joomap 2.05 - une vraie passoire - j'ai aussi été attaqué - il suffit de regarder dans le fichier log pour avoir confirmation -

                Cordialement

                Envoyé par antonin Voir le message
                Comment dire...
                je dois lister tous les composants de tous les sites ?
                les mambots aussi ?

                ca risque d'etre mega long.

                Par contre j'ai cherché toute la nuit des fichiers méchants et j'en ai trouvé, grace bizarement à Avast (!?!) en rapatriant mes sites en local ! Merci à lui !

                Avast a dont découvert ces fichiers, qui en fait étaient des plateformes de mass mailing, des console d'admin php... la totale pour être a l'aise chez soi, .... et donc les types ont carrément uploader des mini-sites à eux... chez moi

                bref...
                je suis super fatigué... et toujours pas sûr d'avoir trouvé la faille..

                les composants les plus vieux que j'ai pu voir sur mes sites (et que je ferais mieux de maj):
                JoomlaCloner 1.9.2
                ARTIO JoomSEF 1.3.3
                Bookmarks 2.7_2c
                Community Builder 1.0.2
                JDefender 1.6
                Joomap 2.05
                JWTranslate language editor 1.2
                Letterman 1.2.2
                MetaTag Generator 1.0
                Modulator 0.0.1
                My Content 1.1.9
                SmileTAG Shoutbox 2.3
                Xe-VidMega 1.0
                zOOm Media Gallery 2.5.1 RC3

                ....



                et d'ailleurs je me demandais :
                existe-t-il un logiciel permettant de faire un audit de sécurité et exécuter les tâches suivantes :
                -vérifier les droits de tous les répertoires d'un ftp
                -chercher les derniers fichiers modifiés et ajoutés
                -lister tous les répertoires ne contenant pas de index.html vide
                -comparer les fichiers de base de joomla avec ceux sur le serveur...
                -lancer un scan d'antivirus/spam/spy/etc
                -detecter les script perl
                -d'autres idées ?

                Commentaire


                • #9
                  Merci à tous

                  merci à tous pour les réponses.

                  404sef c'est vraiment top (oubliez tous artio ou kanga artio..)
                  et joomap a été remplacé par Xmap (pas le top mais ca le fait)

                  Commentaire

                  Annonce

                  Réduire
                  1 sur 2 < >

                  C'est [Réglé] et on n'en parle plus ?

                  A quoi ça sert ?
                  La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                  Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                  Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                  Comment ajouter la mention [Réglé] à votre discussion ?
                  1 - Aller sur votre discussion et éditer votre premier message :


                  2 - Cliquer sur la liste déroulante Préfixe.

                  3 - Choisir le préfixe [Réglé].


                  4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                  2 sur 2 < >

                  Assistance au forum - Outil de publication d'infos de votre site

                  Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                  Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                  Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                  UTILISER À VOS PROPRES RISQUES :
                  L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                  Problèmes connus :
                  FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                  Installation :

                  1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                  Archive zip : https://github.com/AFUJ/FPA/zipball/master

                  2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                  3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                  4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                  5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                  6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                  et remplacer www. votresite .com par votre nom de domaine


                  Exemples:
                  Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/
                  Pour executer le script: http://www..com/fpa-fr.php

                  Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                  Télécharger le script fpa-fr.php dans: /public_html/cms/
                  Pour executer le script: http://www..com/cms/fpa-fr.php

                  En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                  Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                  Voir plus
                  Voir moins
                  Travaille ...
                  X