Joomladay francophone 2018 à Paris 18 et 19 mai

Injection de script

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Injection de script

    Salut a tous ... ou plutôt encore moi : Coucou !!!

    Je revient a la charge suite a un problème d'injection de script

    Pour expliquer rapidement ce qui c'est passer : J'avais deux sites sous joomlaa 1.5.9 qui marcher très bien ... et j'ai écouter et j'ai fait la mise a jour en 1.5.14 d'un des deux sites.

    Le site est rester en ligne moins de 24h avec de l'injection de script a gogo ... ça m'as fusiller le premier site, le second est tomber quelques heures après ...

    Les deux sont chez 1and1 sur le même compte dans le même répertoire

    Donc j’ai vite renvoyé une sauvegarde des fichiers, mais de la bdd que j'avais pas faite... le site été toujours HS ...

    Après avoir usé ma ligne téléphonique a faire des dizaines de fois des installes de la version 1.514, j'ai jamais réussi a remonter un site qui aurai tenu plus de 24 H...

    Finalement formater mon pc, vider tout chez 1and1, changer mes mots de pass ... je remets en place un site pour tester ...

    Le .htaccess c'est celui qui a le culotte blindé que notre ami sirius nous as conseillé, le php.ini est aussi revu...

    Même là pareil : 8 heures avant le plantage total du site ...

    Entre temps j'ai tenter de mettre une page en html pour informer que le site était en maintenance - je suis un gros menteur - mais même ce page n'as pas tenu, elle aussi elle as été contanimée ...

    Donc en dernier ressort j'ai téléphone a 1and1 pour voir avec eu s'il pouvait me sauver, il m'ont proposé de restaurer une sauvegarde antérieur au changement de version, qui semble etre le début des soussis. Ce sera fait d'ici 48 heures...

    Donc j'attent la suite ... et surtout vos réaction et vos idées ...

    Amicalement un joomlateur qui est claqué, désepere, et qui as mal aux doigts a force de taper sur le clavier...

  • #2
    Bonjour,
    il a juste dans ce que tu décris un truc qui cloche dans le tableau clinique c'est : Finalement formater mon pc. Sinon ça ressemble bien à ça :
    http://forum.joomla.fr/showthread.php?t=101747
    http://forum.joomla.fr/showthread.php?t=101104
    avec une origine quasi certaine du poste de travail...
    Schtroumpfe toi le Schtroumpf t'aidera.
    Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

    Commentaire


    • #3
      Comme tu dit ... ce qui me fait peur c'est le fait que sur la machine fraichement formater il n'y avais d'installer que :

      - Spybot
      - AVG Free 9.0
      - FTP Expert 3.0 - mot de passe en manuel comme toujours
      - Les fichiers de Joomla récupere :
      - Joomla 1.5.14
      - JCE avec les options
      - Allvidéo réload

      Est-ce-que l'un de ces composant a l"habitude de nous faire de notre joomla préféré une passoire ?

      Que tenter de plus ?

      Je me pose vraiment la question

      Attention toute fois chez 1and1 un seul répertoire appler log qui contient des fichiers htlm n'as pu etre vidé, car il est en lecture seul ...

      Question Bete : si je monte un site en local ... vas t-'il etre infecter par l'injection de script ???

      Amicalement ... joomla survivra !!!
      Dernière édition par Loripendragon à 20/10/2009, 10h00 Raison: rajout d'une question ...

      Commentaire


      • #4
        Re,
        changer mes mots de passe ...
        y compris FTP ?
        Il n'y a paersonne d'autre (au monde) qui administre le site et qui pourrait être le maillon faible ?
        Schtroumpfe toi le Schtroumpf t'aidera.
        Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

        Commentaire


        • #5
          Oui j'ai tout changer, pour cela je suis passer avec l'inteface de 1and1 avec le pc tout "neuf"

          Pour ce qui est du site en local sur mon pc, il devrait pas etre infecter ?

          Commentaire


          • #6
            re,
            Pour ce qui est du site en local sur mon pc, il devrait pas être infecté ?
            Jamais vu de cas de site local propre au départ infécté par ce truc : normal, ils ne sont pas accédés en "partie droite" par les clients FTP.
            Schtroumpfe toi le Schtroumpf t'aidera.
            Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

            Commentaire


            • #7
              Merci pour cette info...

              Une vas te harceler de question

              D'aprés toi le client ftp le plus sur c'est le quel ? En partant du principe que l'on ne mémorise pas ses pass mais seulement les logins et les adresse...

              Pour que je comprenne bien :

              La contaminiation si elle vient de mon pc ca marche comment ? le script récupere mes identifients et pass et lance tout seul le transfere en arriere plan sur mon logiciel de FTP ?

              Ou il n'as pas besoin de logiciel ??? En gros ca marche comment ?....
              Dernière édition par Loripendragon à 20/10/2009, 18h15

              Commentaire


              • #8
                Re,
                ah si je savais répondre à tout ça...
                Il y a de forts soupçon vers Filezilla, sans qu'on sache trop s'il y a exploitation des mots de passe stockés (je le crois quand même) ou snifffage des mots de passe à l'utilisation. Après il gère ses propres connexions FTP. Je me suis vu jeter pendant des phases de nettoyage pour cause du trop grand nombre de connexions FTP en cours ! Du coup face à ce type d'attaque la protection des fichiers ne sert à rien...

                Moi j'utilise SCP, mais autant par habitude qu'autre chose... il a des cotés moyennement pratiques.
                Schtroumpfe toi le Schtroumpf t'aidera.
                Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                Commentaire

                Annonce

                Réduire
                1 sur 2 < >

                C'est [Réglé] et on n'en parle plus ?

                A quoi ça sert ?
                La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                Comment ajouter la mention [Réglé] à votre discussion ?
                1 - Aller sur votre discussion et éditer votre premier message :


                2 - Cliquer sur la liste déroulante Préfixe.

                3 - Choisir le préfixe [Réglé].


                4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                2 sur 2 < >

                Assistance au forum - Outil de publication d'infos de votre site

                Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                UTILISER À VOS PROPRES RISQUES :
                L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                Problèmes connus :
                FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                Installation :

                1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                Archive zip : https://github.com/AFUJ/FPA/zipball/master

                2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                et remplacer www. votresite .com par votre nom de domaine


                Exemples:
                Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                Télécharger le script fpa-fr.php dans: /public_html/
                Pour executer le script: http://www..com/fpa-fr.php

                Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                Télécharger le script fpa-fr.php dans: /public_html/cms/
                Pour executer le script: http://www..com/cms/fpa-fr.php

                En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                Voir plus
                Voir moins
                Travaille ...
                X