Joomladay francophone 2018 à Paris 18 et 19 mai

Hacking de mon site (tentative ?)

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Hacking de mon site (tentative ?)

    Bonjour,

    J'ai été alerté ce matin par OVH (okillerd) de la mise hors ligne de mon site suite à une tentative de hack.

    Voici le message:
    Problème rencontré : Hidden PERL script
    Commande apparente : lynx
    Exécutable utilisé : /usr/bin/perl
    Horodatage: Tue Dec 22 01:30:49 CET 2009
    Voici les logs:
    WEB:
    Code:
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:25 +0100] "GET /logs/index2.php HTTP/1.1" 200 4812 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:27 +0100] "GET /logs/index2.php?act=img&img=home HTTP/1.1" 200 209 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:27 +0100] "GET /logs/index2.php?act=img&img=up HTTP/1.1" 200 199 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:27 +0100] "GET /logs/index2.php?act=img&img=back HTTP/1.1" 200 119 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:27 +0100] "GET /logs/index2.php?act=img&img=forward HTTP/1.1" 200 119 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:27 +0100] "GET /logs/index2.php?act=img&img=small_dir HTTP/1.1" 200 164 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:27 +0100] "GET /logs/index2.php?act=img&img=search HTTP/1.1" 200 250 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:27 +0100] "GET /logs/index2.php?act=img&img=sort_asc HTTP/1.1" 200 85 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:27 +0100] "GET /logs/index2.php?act=img&img=ext_lnk HTTP/1.1" 200 572 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:27 +0100] "GET /logs/index2.php?act=img&img=ext_php HTTP/1.1" 200 71 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:27 +0100] "GET /logs/index2.php?act=img&img=change HTTP/1.1" 200 290 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:28 +0100] "GET /logs/index2.php?act=img&img=ext_html HTTP/1.1" 200 230 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:28 +0100] "GET /logs/index2.php?act=img&img=arrow_ltr HTTP/1.1" 200 88 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:28 +0100] "GET /logs/index2.php?act=img&img=buffer HTTP/1.1" 200 163 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:28 +0100] "GET /logs/index2.php?act=img&img=download HTTP/1.1" 200 161 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:28 +0100] "GET /logs/index2.php?act=img&img=ext_diz HTTP/1.1" 200 1027 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:28 +0100] "GET /favicon.ico HTTP/1.1" 200 3262 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:32 +0100] "GET /logs/index2.php?act=backc HTTP/1.1" 200 4088 "http://www.cdxc.org/logs/index2.php" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:30:36 +0100] "POST /logs/index2.php?act=backc HTTP/1.1" 200 4109 "http://www.cdxc.org/logs/index2.php?act=backc" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:31:15 +0100] "GET /logs/index2.php?act=ls&d=%2Fhomez.136%2F&sort=0a HTTP/1.1" 403 186 "http://www.cdxc.org/logs/index2.php?act=backc" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:31:28 +0100] "GET /logs/index2.php? HTTP/1.1" 403 186 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    81.192.23.139 www.cdxc.org - [22/Dec/2009:01:31:29 +0100] "GET /logs/index2.php? HTTP/1.1" 403 186 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.1.3) Gecko/20091020 Ubuntu/9.10 (karmic) Firefox/3.5.5"
    et

    Code:
    41.140.39.68 www.cdxc.org - [22/Dec/2009:01:31:02 +0100] "GET /logs/index2.php HTTP/1.1" 403 186 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6 (.NET CLR 4.0.20506)"
    41.140.39.68 www.cdxc.org - [22/Dec/2009:01:31:02 +0100] "GET /favicon.ico HTTP/1.1" 403 185 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6 (.NET CLR 4.0.20506)"
    41.140.39.68 www.cdxc.org - [22/Dec/2009:01:31:05 +0100] "GET /favicon.ico HTTP/1.1" 403 185 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6 (.NET CLR 4.0.20506)"
    41.140.39.68 www.cdxc.org - [22/Dec/2009:01:31:41 +0100] "GET /logs/index2.php HTTP/1.1" 403 186 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6 (.NET CLR 4.0.20506)"
    41.140.39.68 www.cdxc.org - [22/Dec/2009:01:33:07 +0100] "GET /logs/index2.php HTTP/1.1" 403 186 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6 (.NET CLR 4.0.20506)"
    41.140.39.68 www.cdxc.org - [22/Dec/2009:01:33:09 +0100] "GET /logs/index2.php HTTP/1.1" 403 186 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6 (.NET CLR 4.0.20506)"
    Je n'y connais pas grand chose.. Voici le fichier index2.php dans "logs" qui semble être en cause:


    Mon Joomla était en 1.5.14 au lieu de 1.5.15 (changé maintenant !)

    Des commentaires, des conseils, des idées ??

    Merci
    Dernière édition par daneel à 23/12/2009, 17h32 Raison: pas de script en pièce jointe, merci!

  • #2
    hacking

    bonjour pour être tranquille avec ton site,installe le plugin Sentinel pour joomla+joomlawatch, qui serv à bloquer les IP.
    cordialement
    romantica

    Commentaire


    • #3
      test du script

      Salut,

      Je viens d'essayer ton script que tu as trouvé sur ton site.
      C'est un truc super puissant.
      On connait tout de la machine et on peut prendre la main !!!! c'est terrible.

      Le truc à savoir c'est comment ils ont réussi à uploader un tel script sur le filesystème de ton joomla.

      il y a mon avis une énorme faille de sécurité coté Joomla car je ne vois pas comment autrement ils ont pu uploader le script sur ton ftp...

      c'est chaud !!
      Guillaume

      Commentaire


      • #4
        Envoyé par romantica Voir le message
        bonjour pour être tranquille avec ton site,installe le plugin Sentinel pour joomla+joomlawatch, qui serv à bloquer les IP.
        cordialement
        romantica

        hum c'est une solution fantaisiste qui ne fonctionne pas.. changement d'adresse ip de l'auteur, modification ou usurpation d'ip etc...

        Commentaire


        • #5
          hacking

          il me semble tres bien car je l'utilise sur mon site qui est sous joomla 1.5.15 et les tentatives de hacking,sont tous bloqué par Sentinel,et moi de mon coté de que je reçois le mail de mon site je Bloque aussitôt le IP avec joomlawatch,et pas de problème.
          voyez vous même:http://www.riviera-annonces.com

          Commentaire


          • #6
            Envoyé par devoyon Voir le message
            ...il y a mon avis une énorme faille de sécurité coté Joomla car je ne vois pas comment autrement ils ont pu uploader le script sur ton ftp...
            C'est possible mais peu probable !

            Possible si un composant "à faille" a été installé.

            Peu probable car 90 % ces inclusions viennent de mauvais droits (chmod) sur les fichiers et dossiers de l'hébergement. Voire, comme on l'a déjà vu, d'une infection du PC local depuis lequel on a récupéré les mots de passe FTP enregistrés sur la machine (via un troyen par exemple)...

            Sur un mutu OVH, les droits Apache héritent de ceux du FTP... pour simplifier l'explication (suPHP, suexec, FastCGI..etc). Si vous donnez des droits 777 vous fragilisez Apache. Sur un environnement mutu comme ceux là, les droits normaux sont :

            - Répertoires à 755
            - fichiers à 644
            - configuration.php à 444 (à passer en 644 pendant une modif via l'admin, puis retour au 444)

            F1JKJ, on va laisser peu de temps ton fichier d'exemple en pièces jointes (merci pour l'info, ce fichier est intéressant) pour que d'autres puissent le voir. Puis on va le supprimer car il fait gueuler certains antivirus de certains membres

            @++
            Hyperion
            Pas de demande de support en MP ou par mail, le forum est là pour ça!
            http://network.wantoo.com : Wantoo Network - Infogérance Serveurs Dédiés - Sécurité Joomla!

            Commentaire


            • #7
              dont le mien
              N'oubliez pas de passer vos post en "réglé" c'est très utile à celui qui cherche, ...et qui se perd http://forum.joomla.fr/announcement.php?f=133 mais trouvera grâce à vous
              profil : http://quelprestataire.fr/robert-suzanne+texier"

              Commentaire


              • #8
                Ben oui Abmag, c'est de toi dont je parlais,, entre autre, en disant "certains"
                Pas de demande de support en MP ou par mail, le forum est là pour ça!
                http://network.wantoo.com : Wantoo Network - Infogérance Serveurs Dédiés - Sécurité Joomla!

                Commentaire


                • #9
                  Ok, on pense avoir trouvé le coupable

                  Il s'agit d'un autre post dans lequel le code a été inséré sans grande prudence !! http://forum.joomla.fr/showthread.ph...675#post529675

                  Bien sur le code n'est pas exécuté mais il fait réagir les antivirus...

                  Vérifiez si ça geule toujours chez vous ?

                  @++
                  Hyperion
                  Pas de demande de support en MP ou par mail, le forum est là pour ça!
                  http://network.wantoo.com : Wantoo Network - Infogérance Serveurs Dédiés - Sécurité Joomla!

                  Commentaire


                  • #10
                    Merci pour vos conseils et commentaires. Désolé pour les antivirus !

                    J'ai changé tous les pass: FTP, Joomla, SQL. J'ai désactivé certains répertoires dont je ne pouvais pas être sur du contenu.

                    "Jusque là tout va bien"...

                    Si vous avez regardé le script, n'ayant pas les compétences suffisantes pour le comprendre moi-même, je serai preneur de vos commentaires sur ce qu'il a pu compromettre dans mon site.

                    Commentaire


                    • #11
                      Envoyé par F1JKJ Voir le message
                      ...Désolé pour les antivirus !
                      Pas de problème F1JKJ cela ne venait pas toi, mais d'un autre post qui a créé le problème sur les flux RSS, le post de Kamikaz121 qui a simplement copié/collé un bout de code pernicieux en direct dans le forum

                      Envoyé par F1JKJ Voir le message
                      ...Si vous avez regardé le script, n'ayant pas les compétences suffisantes pour le comprendre moi-même, je serai preneur de vos commentaires sur ce qu'il a pu compromettre dans mon site.
                      La chose bizarre dans ces logs est que "index2.php" n'a rien à faire dans le répertoire "logs" de Joomla.
                      Second truc, le véritable fichier index2.php de Joomla (qui inclut index.php en fait) ne comporte pas de fonction "act" permettant les différentes recherches (à succès puisqu'on a une réponse HTTP 200) opérées par l'IP concernée... tu vois toutes ces valeurs "home", "up", "back", "forward"...etc ? Ce sont visiblement des éléments de recherches provenant d'une fonction nommée "img". Mais que recherchent-ils ??

                      As-tu conservé une copie de ce fichier "index2.php" présent dans le sous-répertoire "logs" de ta racine ? Ce serait intéressant de le voir. Car je pense qu'il s'agit d'un fichier écrit sur mesure pour "sniffer" ton site et ses failles potentielles. Difficile à dire (et d'en dire plus) comme ça, à première vue

                      Il faudrait aussi que tu remontes plus haut dans les logs pour détecter le moment où l'attaquant a placé ce fichier dans ton répertoire "logs". Quels sont ses droits à ce dossier ?? 755 ou plus ??

                      @++
                      Hyperion
                      Pas de demande de support en MP ou par mail, le forum est là pour ça!
                      http://network.wantoo.com : Wantoo Network - Infogérance Serveurs Dédiés - Sécurité Joomla!

                      Commentaire


                      • #12
                        Bonjour et merci pour la réponse.

                        Malheureusement, je n'ai pas gardé le fichier, non.

                        J'ai depuis fait le ménage et nettoyé le répertoire logs.

                        Pour l'instant pas de nouvelles alertes, à part "sentinelle" qui me remonte pas mal de tentatives de "commandes en URL". Je ne sais pas si c'est normal ou si il est un peu trop sensible ??

                        Merci de votre aide

                        Commentaire

                        Annonce

                        Réduire
                        1 sur 2 < >

                        C'est [Réglé] et on n'en parle plus ?

                        A quoi ça sert ?
                        La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                        Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                        Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                        Comment ajouter la mention [Réglé] à votre discussion ?
                        1 - Aller sur votre discussion et éditer votre premier message :


                        2 - Cliquer sur la liste déroulante Préfixe.

                        3 - Choisir le préfixe [Réglé].


                        4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                        2 sur 2 < >

                        Assistance au forum - Outil de publication d'infos de votre site

                        Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                        Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                        Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                        UTILISER À VOS PROPRES RISQUES :
                        L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                        Problèmes connus :
                        FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                        Installation :

                        1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                        Archive zip : https://github.com/AFUJ/FPA/zipball/master

                        2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                        3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                        4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                        5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                        6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                        et remplacer www. votresite .com par votre nom de domaine


                        Exemples:
                        Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                        Télécharger le script fpa-fr.php dans: /public_html/
                        Pour executer le script: http://www..com/fpa-fr.php

                        Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                        Télécharger le script fpa-fr.php dans: /public_html/cms/
                        Pour executer le script: http://www..com/cms/fpa-fr.php

                        En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                        Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                        Voir plus
                        Voir moins
                        Travaille ...
                        X