Joomladay francophone 2018 à Paris 18 et 19 mai

Hacké par ... / J'aimerais comprendre ...

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Hacké par ... / J'aimerais comprendre ...

    Bonjour,

    J'ai moi aussi été hacké ce matin par le [Edit Mod: merci de ne pas citer la nationalité éventuelle d'un cracker. C'est tout à fait inutile.], mais j'aimerais bien comprendre par où il passe pour faire ses conneries.
    Je précise que j'ai remis un pass admin à l'aide des infos sur le forum, bloqué temporairement reset.php (en attendant de passer en 1.5.6), et que tout semble fonctionner à nouveau (j'espère).

    Ok le type utilise sans doute la faille reset.php pour se connecter en admin et modifier les Users,
    Il édite ensuite le template et remplace le code, donc modifie le fichier index.php du template (il a pas modifié le CSS) pour rediriger le site

    Mais comment peut-il ensuite accéder au reste du site (au vu des pbs relatés sur ce forum), si "Activer le FTP" est Off ? Dans ce cas cela veut-il dire que la nuisance de cette attaque est limitée à ce que je vient de décrire ?

    Pour info, Je suis hébergé chez 1and1

    Par avance merci.
    Dernière édition par infograf768 à 18/10/2008, 16h56

  • #2
    Visiblement ils utilisent des variantes interessantes de failles.
    Pour ma part l'injection du code à été faite de la maniere suivante :
    - Remplacement d'un fichier d'index.html d'un repertoire autorisé en ecriture
    - utilisation d'un script sur un site distant pour modifier la base de donnée
    - Injection du script dans l'élément de menu de la page d'accueil

    Evidemment ces problèmes concernent les sites utilisant des version antérieures à la j! 1.0.15 et son fichier htaccess (important).
    UKOO
    Agence Web / Référencement Alsace
    http://www.ukoo.fr/

    Commentaire


    • #3
      moi je suis sous joomla 1.0.15 je me fait hacker mais il s arrète uniquement a la modification de l index.php qu'il remplace par le sien qui fait appelle a une image.

      cela veut donc dire si je n'ai pas d'autre problèmes qu il ne peut pas faire la suite de son programme de hack car je suis sécurisé ?comment l empecher de modifier l index.php régulièrement ?

      Commentaire


      • #4
        Envoyé par julien Voir le message

        cela veut donc dire si je n'ai pas d'autre problèmes qu il ne peut pas faire la suite de son programme de hack car je suis sécurisé ?
        Non pas du tout.

        Le but de ce pirate est de défacer ton site, cad changer juste une page pour prouver que ton site est vulnérable et qu'il a trouvé la faille. C'est une sorte de concours entre pirates, ils publient ensuite la page des sites défacés dans leurs forums/sites.


        Si un autre pirate plus "méchant" tombe sur ton site il pourrait faire plus de dégâts.

        Donc vérifies les failles possibles sur ton site

        Commentaire


        • #5
          merci mais comment faire cela mes composant ne sont pas dans la liste de ceux qui sont potentiellement a risque. je suis en joomla 1.0.15 et j ai le script de syrius.

          je vais me pencher sur crawtrack pour voir

          Commentaire


          • #6
            Envoyé par julien Voir le message
            merci mais comment faire cela mes composant ne sont pas dans la liste de ceux qui sont potentiellement a risque. je suis en joomla 1.0.15 et j ai le script de syrius.

            je vais me pencher sur crawtrack pour voir
            Tu peux aussi éplucher tes Logs pour essayer de trouver sa "porte d'entrée"

            Commentaire


            • #7
              la tu m en demande trop lool je sait pas comment faire cela

              Commentaire


              • #8
                Chez 1and1 tu te connectes par ftp et tu as un répertoire "/logs" où tu trouveras toutes les urls appelées par tes visiteurs.
                Tu verras ainsi comment il s'y prend pour uploader son fichier. C'est fastidieux car il y a des milliers de lignes alors commences par la fin !
                Si tu vois une url qui n'est pas normale (qui fait appel à un autre domaine par exemple) c'est une tentative ! Si tu veux tu peux la tester la de chez toi pour voir ce que ça donne...
                Que la forge soit avec vous.

                Commentaire


                • #9
                  meme prob avec ce turc...

                  Voir sujet que j'ai mis pour plus d'info ( désolé dans la mauvais rubrique ) http://forum.joomla.fr/showthread.php?t=73990

                  Mais a la différence que dès quej'ai mis un back up de la veille il est repassé et a mis le site en maintenance avec un mot de hack ,

                  bref , pour le moment j'ai tout effacé.....c'etait plus simple , j'attend de voir comment sécuriser correctement un instalation joomla 1.5
                  je tourne actuellement en 1.0
                  Femme.... sensible au graphisme et a la photo, aimerais avancer avec joomla !

                  Commentaire


                  • #10
                    S'il a pu uploader des fichiers à lui dans un coin, tu peux toujours restaurer, ça ne les enlèvera pas !
                    Ce serait bien d'avoir la version exacte de Joomla ainsi que la liste des composants.
                    Que la forge soit avec vous.

                    Commentaire


                    • #11
                      resautration suit hack

                      voilà j'ai carrément effacé le dossier ou se trouvais joomla
                      j'en fait un nouveau répertoir avec un nom différent, et j'ai réinstalé la 1.5.7 au lieu de la 1.5.6.
                      J'aurais bien voulu mettre l'acces a l'admin ailleurs mais j'ai rien compris sur la facon de le faire !

                      pour le moment aucun prob mais je viens de le faire.
                      Je n'ai pas eu d'autre choix
                      heureusement que je n'avais pas encore bcp travaillé dessus.

                      Merci poru votre aide
                      Femme.... sensible au graphisme et a la photo, aimerais avancer avec joomla !

                      Commentaire


                      • #12
                        seule manière , contre ce hack la 1.5.7

                        désolé mais je n'ai pas réussi a avoir les logs car ils sont écrasé tous les 24h....
                        Apparament il y aurais des failles dans la 1.5.6 , corrigé dans la 1.5.7
                        voir http://www.certa.ssi.gouv.fr/site/CE...8-AVI-456.html
                        Merci a tous ceux qui m'on aidé!
                        Femme.... sensible au graphisme et a la photo, aimerais avancer avec joomla !

                        Commentaire


                        • #13
                          bon nous aussi

                          dans le template art_colors ils ont modifié le fichier index en voici un extrait

                          [Edit Mod: détails du hack effacé. Inutile de faire de la publicité aux crackers.]
                          Dernière édition par infograf768 à 18/10/2008, 16h58

                          Commentaire


                          • #14
                            Désolé

                            Comme toi, me suis hacké... seulement moi ça commence à m'échauffer les oreilles d'être obligé de recommencer mon site a chaque fois qu'une faille de sécurité est découverte. Donc j'ai décidé de ne plus utilisé Joomla, ni pour moi, ni pour mes "clients" (clients gratuits). Ca parait radical, mais j'espere trouver une solution moins "passoire" qui evitera de se faire hacker tous les ans.

                            J espere que tu n'auras pas à passer par cette voie.

                            Commentaire

                            Annonce

                            Réduire
                            1 sur 2 < >

                            C'est [Réglé] et on n'en parle plus ?

                            A quoi ça sert ?
                            La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                            Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                            Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                            Comment ajouter la mention [Réglé] à votre discussion ?
                            1 - Aller sur votre discussion et éditer votre premier message :


                            2 - Cliquer sur la liste déroulante Préfixe.

                            3 - Choisir le préfixe [Réglé].


                            4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                            2 sur 2 < >

                            Assistance au forum - Outil de publication d'infos de votre site

                            Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                            Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                            Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                            UTILISER À VOS PROPRES RISQUES :
                            L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                            Problèmes connus :
                            FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                            Installation :

                            1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                            Archive zip : https://github.com/AFUJ/FPA/zipball/master

                            2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                            3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                            4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                            5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                            6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                            et remplacer www. votresite .com par votre nom de domaine


                            Exemples:
                            Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                            Télécharger le script fpa-fr.php dans: /public_html/
                            Pour executer le script: http://www..com/fpa-fr.php

                            Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                            Télécharger le script fpa-fr.php dans: /public_html/cms/
                            Pour executer le script: http://www..com/cms/fpa-fr.php

                            En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                            Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                            Voir plus
                            Voir moins
                            Travaille ...
                            X