Encore un problème de piratage !

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Encore un problème de piratage !

    La page d'accueil est défacée et affiche une image :"Lagripe-DZ"
    Le site en question - pour l'instant fermé -est : www.reponsesolidaire.fr
    Hébergeur : nfrance

    J'ai besoin de vous pour répondre à un certain nombre d'interrogations et valider certaines actions
    Sachant que c'est un problème récurrent, j'espère que ce post servira à d'autres
    Merci d'avance pour vos réponses.

    Les indices :
    - Les articles ont étés effacés et remplacés par un lien menant à cette image.
    lien : http://www.smilingstrings.com/calendar/upload/1.css
    - Un nouvel utilisateur s'est inscrit :
    "ciufciagry" avec pour e-mail : doremelo@o2.pl (je l'ai viré)
    - A priori, le reste de la base et du site n'ont pas été touchés.
    - Rien dans le fichier logs\error.php
    A ce propos, est-il possible d'avoir des listes des connexions effectuées via l'administration ?

    Actions envisagées :


    - Mettre à jour Joomla en passant de la version 1.5.18 à la 1.5.21
    - Vérifier les mises à jour des nombreux modules :
    CQI
    Hightslide JS
    JCE
    Joomlapack
    Sondages
    Adsmanager
    Agora forum
    VirtueMart
    Sigsiu
    Xmap
    - Installer CrawlProtect et Carwtrack
    - Installer Akeeba Backup pour une sauvegarde plus régulière
    - Modifier les mots de passe pour
    l'accès à l'administration Joomla
    l'accès à la base de donnée
    l'accès à phpmyadmin
    - Changer le préfixe "jos" de la base sql
    - Revoir les "chmod" des répertoires
    - Ajouter un mot de passe pour l'accès au répertoire "administrator"
    - Durcir le htaccess

    Questions diverses :
    - Par où a-t'il pu passer ?
    - Quels outils - gratuits de préférence – conseillez-vous pour tester la sécurité d'un site Joomla ?


    Le changement de préfixe de la base de données:
    Utiliser un composant comme DB Admin ou le script proposé par http://www.joomlabc.com/astuces/secu...oomla-securite
    Ou bien est-il possible de modifier manuellement le prefixe via phpmyadmin ?

    Puis
    Modifier dans le fichier configuration.php la ligne suivante:
    var $ dbprefix = 'jos_;
    ou passer par l'interface Joomla onglet « Paramètres avancés » ?

    Les droits des répertoires
    On trouve sur le web des informations diverses :
    - Les droits conseillés pour les répertoires et fichiers d'une installation de base Joomla sont 755 pour les répertoires et 644 pour les fichiers.
    - Seul les dossiers / fichiers devant pouvoir être modifié par Joomla doivent être mis à 777 et surtout pas tous les répertoires du site
    Quel est votre avis ?

    Sécuriser la partie administrative avec un mot de passe
    protection via .htaccess
    Pour ceux que ça intéresse voir le tuto : http://httpd.apache.org/docs/trunk/fr/howto/auth.html
    Création du .htpasswd :
    - Sauvegarde de ce fichier dans le répertoire administrator

    Question :
    - Si je souhaite protéger plusieurs répertoires, il semble nécessaire de placer le même htaccess dans chacun des répertoires, mais où place-t-on le htpasswd qui n'a pas besoin d'être répété ? À la racine ?

    Le htaccess :
    J'ai compilé un certain nombre d'exemples trouvé sur le web.
    Le résultat est ci-dessous, est-il correct et suffisant ?
    Par exemple, les lignes suivantes ne sont pas dans le htaccess fourni avec Joomla
    deny from all
    <FilesMatch "index.php">
    allow from all
    </FilesMatch>
    <FilesMatch "index2.php">
    allow from all
    </FilesMatch>

    et les rubriques suivantes ne font-elles pas double emploi ?
    # PROTECTION FICHIERS PAR EXTENSIONS
    # INTERDIRE LES AUTRES TYPES DE FICHIER INDEX
    # Disallow access to htaccess.txt and configuration.php-dist

    Le fichier htaccess généré :
    ################################################## ###

    deny from all
    <FilesMatch "index.php">
    allow from all
    </FilesMatch>
    <FilesMatch "index2.php">
    allow from all
    </FilesMatch>

    # PROTECTION FICHIERS PAR EXTENSIONS
    <FilesMatch "\.(htaccess|htpasswd|ini|phps|log|sh)$">
    Order Allow,Deny
    Deny from all
    </FilesMatch>

    <Files configuration.php>
    order allow,deny
    deny from all
    </Files>
    #
    ### INTERDIRE LES AUTRES TYPES DE FICHIER INDEX
    #<Files ~ "^(index)\.(p?s?x?htm?|txt|aspx?|cfml?|cgi|pl| php[3-9]|jsp|xml)$">
    #order allow,deny
    #deny from all
    #</Files>

    #Ne passe pas chez moi.

    ## Disallow access to htaccess.txt and configuration.php-dist
    RewriteRule ^(htaccess\.txt|configuration\.php-dist)$ - [F,L]
    #[R=404,L] n'est pas accepté dans mon cas avec RewriteRule
    #
    ### EXÉCUTÉS PAR LE SERVEUR MAIS INTERDIT D'AFFICHAGE PAR LE NAVIGATEUR WEB
    #<Files ~ "\.(inc|class|sql|ini|conf|exe|dll|bin|tpl|bkp|dat | c|h|py|spd|theme|module)$">
    #deny from all
    #</Files>

    #Ne passe pas chez moi.
    # Desactiver messages serveur
    ServerSignature Off
    #
    ## Can be commented out if causes errors, see notes above.
    Options +FollowSymLinks
    #
    # mod_rewrite in use
    RewriteEngine On
    #
    ########## Begin - Rewrite rules to block out some common exploits
    ## If you experience problems on your site block out the operations listed below
    ## This attempts to block the most common type of exploit `attempts` to Joomla!
    #
    # If the request contains /proc/self/environ (by SigSiu.net)
    RewriteCond %{QUERY_STRING} proc\/self\/environ [OR]
    # Block out any script trying to set a mosConfig value through the URL
    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
    # Block out any script trying to base64_encode crap to send via URL
    RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
    # Block out any script trying to base64_decode stuff to send via URL
    RewriteCond %{QUERY_STRING} base64_decode.*\(.*\) [OR]
    # Block out any script that includes a <script> tag in URL
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    # Block out any script trying to set a PHP GLOBALS variable via URL
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    # Block out any script trying to modify a _REQUEST variable via URL
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    # Send all blocked request to homepage with 403 Forbidden error!
    RewriteRule ^(.*)$ index.php [F,L]
    ########## End - Rewrite rules to block out some common exploits
    #
    # On bloque toute une série de failles potentielles
    RewriteCond %{QUERY_STRING} _vti_ [NC,OR]
    RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
    RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
    RewriteCond %{QUERY_STRING} tag\= [NC,OR]
    RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
    RewriteCond %{QUERY_STRING} http\: [NC,OR]
    RewriteCond %{QUERY_STRING} https\: [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(\(|\)|<|>|'|"|\?|\*).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(%22|%27|%3C|%3D|%3E|%7B|%7C).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%F|127\.0).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(/\*|cast|set|update|md5|benchmark).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*\.[A-Za-z0-9].* [NC,OR]
    RewriteCond %{QUERY_STRING} MSOffice [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|(.*)$ [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare|drop).* [NC]
    RewriteRule ^(.*)$ - [F,L]
    #
    # FILTER REQUEST METHODS
    <IfModule mod_rewrite.c>
    RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
    RewriteRule ^(.*)$ - [F,L]
    </IfModule>
    #
    # Uncomment following line if your webserver's URL
    # is not directly related to physical file paths.
    # Update Your Joomla! Directory (just / for root)
    # RewriteBase /
    #
    ########## Begin - Joomla! core SEF Section
    #
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteCond %{REQUEST_URI} !^/index.php
    RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
    RewriteRule (.*) index.php
    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
    ########## End - Joomla! core SEF Section
    #
    ## Disallow front-end access for certain Joomla! system directories
    RewriteRule ^(includes/js/.*)$ $1 [L]
    RewriteRule ^(cache|includes|language|libraries|logs|tmp)/.*$ - [F,L]
    #[R=404,L] n'est pas accepté dans mon cas avec RewriteRule

    #
    ## WARNING: This will also block old versions of JoomlaPack Remote
    ## and will disallow running CRON jobs using wget.
    # The following rules are for common hacking tools:
    SetEnvIf user-agent "Indy Library" stayout=1
    SetEnvIf user-agent "libwww-perl" stayout=1
    SetEnvIf user-agent "Wget" stayout=1
    # The following rules are for bandwidth-hogging download tools
    SetEnvIf user-agent "Download Demon" stayout=1
    SetEnvIf user-agent "GetRight" stayout=1
    SetEnvIf user-agent "GetWeb!" stayout=1
    SetEnvIf user-agent "Go!Zilla" stayout=1
    SetEnvIf user-agent "Go-Ahead-Got-It" stayout=1
    SetEnvIf user-agent "GrabNet" stayout=1
    SetEnvIf user-agent "TurnitinBot" stayout=1
    # This line denies access to all of the above tools
    deny from env=stayout
    ########## End - Common hacking tools and bandwidth higgers block
    Dernière édition par ReCit à 05/12/2010, 11h27

  • #2
    j'apporte des précisions sur les circonstances, sur les actions effectuées et quelques réponses aux questions que j'avais posées.
    Une sorte de retour d'expérience.

    - Les articles ont étés effacés et remplacés par un lien menant à cette image...
    Deux articles ont été partiellement épargnés : Ils figuraient en page d'accueil et n'ont été effacés que jusqu'au lien "lire la suite"

    - Est-il possible d'avoir des listes des connexions effectuées via l'administration ?
    OUI il y a des outils qui semblent proposer cette fonction à cette adresse :http://extensions.joomla.org/extensi...ite-monitoring.

    - Installer CrawlProtect et Crawltrack
    J'ai également testé GuarXT, Sentinelle, jLogonAlert, Loginprotector.
    Je vous passe les détails des différents test, d'autant que les résultats doivent dépendre en partie de l'hébergement et de la configuration Joomla.
    Pour l'instant, je garde CrawlProtect et Crawltrack et Loginprotector
    ( Après désinstallation des composants, aller vérifier la base de donnée, des tables peuvent trainer.)

    Est-il possible de modifier manuellement le prefixe jos_ de la base via phpmyadmin ?

    Oui c'est possible, mais j'ai fait autrement : C'est du bricolage, mais c'est rapide et ça a marché :
    - Export de la base;
    - ouverture avec un éditeur de texte puis rechercher "jos_" remplacer par le nouveau préfixe
    - réimport de la base
    Attention au format de sauvegarde !

    La base contient alors les tables avec les deux préfixes
    - passage par l'interface Joomla Configuration générale -> Paramètres de la base de données, modification du préfixe.
    - puis retour dans la base et élimination des tables préfixées jos_

    - Vérification que les composants fonctionnent : ok sauf Agora.
    Agora pose un problème car le préfixe jos_ n'est pas toujours une variable dans leur code.
    Donc :
    - recherche de jos_ dans tous les fichiers d'agora et remplacement par le nouveau préfixe.
    Ok ça marche ! C'était juste pour le fun, car je vire Agora que je remplace par Kunena

    Les droits des répertoires

    Réglages par défaut de Joomla 755 / 644
    J'ai mis le .htaccess en 404 et configuration.php ainsi que les index.php en 444
    Le répertoire tmp en 777
    Je n'ai toujours aucune certitude quand à ce qu'il faut faire.

    Le htaccess :

    Finalement, j'ai ajouté à ce fichier
    Les règles trouvées sur le post sécurité avec htaccess (Blacklist)
    concernant les
    # CHARACTER STRINGS
    Et ########## Block bad user agents

    et Crawlprotect a ajouté du code (voir réponse suivante.)
    Reste à revoir l'ensemble pour retirer ce qui peut être en double.


    Voilà, côté négatif, une semaine de perdue parce qu'un mec éprouvait le besoin d'exister et n'a trouvé que la malveillance.
    Côté positif, des mises à jour, un gros ménage et une plus grande sécurisation du site et la création d'une page "site en cours de maintenance".
    Me reste à republier les articles.
    Dernière édition par ReCit à 11/12/2010, 13h23

    Commentaire


    • #3
      Le code ajouté par Crawlprotect dans le htaccess :
      Code:
      # CrawlProtect-2-0-0
      #----------------------------------------------------------------------
      # Website: www.crawlprotect.com
      #  Last update: 20/06/2010
      #----------------------------------------------------------------------
      RewriteEngine On
      #-------------------------------
      #Code injection blocage
      RewriteCond %{REQUEST_METHOD} (GET) [NC]
      #--------------------------------------------------------------------------------
      #case CrawlTrack
      RewriteCond %{REQUEST_URI} !^(.*)countdownload(.*)$ [NC]
      RewriteCond %{REQUEST_URI} !^(.*)keywordposition\.php(.*)$ [NC]
      #--------------------------------------------------------------------------------
      #the following rules can block some off your url, in case of problem try to suppress them one per one until you solve it
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=|%3A|%09)(h|%68|%48)(t|%74|%54)(t|%74|%54)(p|%70|%50)(s|%73|%53)(%3A|:)(/|%2F){2}(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=|%3A|%09)(h|%68|%48)(t|%74|%54)(t|%74|%54)(p|%70|%50)(s|%73|%53)%3a(%3A|:)(/|%2F){2}(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=|%3A|%09)(h|%68|%48)(t|%74|%54)(t|%74|%54)(p|%70|%50)(%3A|:)(/|%2F){2}(.*)$ [NC]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=|%3A|%09)(h|%68|%48)(t|%74|%54)(t|%74|%54)(p|%70|%50)%3a(%3A|:)(/|%2F){2}(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=|%3A|%09)(f|%66|%46)(t|%74|%54)(p|%70|%50)(%3A|:)(/|%2F){2}(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=|%3A|%09)(h|%68|%48)(t|%74|%54)%20(t|%74|%54)(p|%70|%50)(%3A|:)(/|%2F){2}(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=|%3A|%09)(h|%68|%48)(t|%74|%54)(t|%74|%54)%20(p|%70|%50)(%3A|:)(/|%2F){2}(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=|%3A|%09)(h|%68|%48)(t|%74|%54)(t|%74|%54)(p|%70|%50)%20(%3A|:)(/|%2F){2}(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=|%3A|%09)(h|%68|%48)%20(t|%74|%54)(t|%74|%54)(p|%70|%50)(%3A|:)(/|%2F){2}(.*)$ [NC,OR]
      #end of potential issue rules
      RewriteRule (.*) /home/wb82947/crawlprotect/noaccess/noaccess1.php   [L]
      #-------------------------------
      #Sql injection blocage
      #----------------------------------------
      RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
      RewriteCond %{QUERY_STRING} ^(.*)(%20(S|%73|%53)(E|%65|%45)(L|%6C|%4C)(E|%65|%45)(C|%63|%43)(T|%74|%54)%20|%20(I|%69|%49)(N|%6E|%4E)(S|%73|%53)(E|%65|%45)(R|%72|%52)(T|%74|%54)%20|(C|%63|%43)(H|%68|%48)(A|%61|%41)(R|%72|%52)\(|%20(U|%75|%55)(P|%70|%50)(D|%64|%44)(A|%61|%41)(T|%74|%54)(E|%65|%45)%20|%20(R|%72|%52)(E|%65|%45)(P|%70|%50)(L|%6C|%4C)(A|%61|%41)(C|%63|%43)(E|%65|%45)%20)(.*)$ [NC]
      RewriteRule (.*) /home/wb82947/crawlprotect/noaccess/noaccess1.php   [L]
      #-------------------------------
      #Code injection blocage
      #----------------------------------------
      RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
      RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?(s|%73|%53)(c|%63|%43)(r|%72|%52)(i|%69|%49)(p|%70|%50)(t|%74|%54)(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?(j|%6A|%4A)(a|%61|%41)(v|%76|%56)(a|%61|%31)(s|%73|%53)(c|%63|%43)(r|%72|%52)(i|%69|%49)(p|%70|%50)(t|%74|%54)(%3A|:)(.*)$ [NC,OR]
      RewriteCond %{QUERY_STRING} ^(.*)(d|%64|%44)(o|%6F|%4F)(c|%63|%43)(u|%75|%55)(m|%6D|%4D)(e|%65|%45)(n|%6E|%4E)(t|%74|%54)\.(l|%6C|%4C)(o|%6F|%4F)(c|%63|%43)(a|%61|%41)(t|%74|%54)(i|%69|%49)(o|%6F|%4F)(n|%6E|%4E)\.(h|%68|%48)(r|%72|%52)(e|%65|%45)(f|%66|%46)(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)(b|%62|%42)(a|%61|%41)(s|%73|%53)(e|%65|%45)(6|%36)(4|%34)(_|%5F)(e|%65|%45)(n|%6E|%4E)(c|%63|%43)(o|%6F|%4F)(d|%64|%44)(e|%65|%45)(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)(G|%67|%47)(L|%6C|%4C)(O|%6F|%4F)(B|%62|%42)(A|%61|%41)(L|%6C|%4C)(S|%73|%53)(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)(_|%5F)(R|%72|%52)(E|%65|%45)(Q|%71|%51)(U|%75|%55)(E|%65|%45)(S|%73|%53)(T|%74|%54)(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
      RewriteCond %{REQUEST_URI} ^(.*)(_|%5F)(v|%76|%56)(t|%74|%54)(i|%69|%49)(.*)$ [OR]
      RewriteCond %{REQUEST_URI} ^(.*)(M|%4D)(S|%53)(O|%4F)(f|%66)(f|%66)(i|%69)(c|%63)(e|%65)(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)(/|%2F)(e|%65)(t|%74)(c|%63)(/|%2F)(p|%70)(a|%61)(s|%73)(s|%73)(w|%77)(d|%64)(.*)$ [OR]
      RewriteCond %{REQUEST_URI} ^(.*)(S|%53)(h|%68)(e|%65)(l|%6C)(l|%6C)(A|%41)(d|%64)(r|%72)(e|%65)(s|%73)(i|%69).(T|%54)(X|%58)(T|%54)(.*)$ [OR]
      RewriteCond %{REQUEST_URI} ^(.*)\[(e|%65)(v|%76)(i|%69)(l|%6C)(_|%5F)(r|%72)(o|%6F)(o|%6F)(t|%74)\]?(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)\.\./\.\./\.\./(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)(/|%2F)(p|%70)(r|%72)(o|%6F)(c|%63)(/|%2F)(s|%73)(e|%65)(l|%C)(f|%66)(/|%2F)(e|%65)(n|%6E)(v|%76)(i|%69)(r|%72)(o|%6F)(n|%6E)(.*)$
      RewriteRule (.*) /home/wb82947/crawlprotect/noaccess/noaccess1.php   [L]
      #-------------------------------
      #Bad bot and site copier blocage
      #-------------------------------
      RewriteCond %{HTTP_USER_AGENT} @nonymouse|ADSARobot|amzn_assoc|Anarchie|ASPSeek|Atomz|^[^?]*addresses\.com|Advanced\ Email\ Extractor|ah-ha|aktuelles|almaden|Art-Online|AspiWeb|ASSORT|ATHENS|attach|attache|autoemailspider|BackWeb|Bandit|BatchFTP|bdfetch|big.brother|BlackWidow|bmclient|Boston\ Project|Bot\ mailto:craftbot@yahoo.com|BravoBrian\ SpiderEngine\ MarcoPolo|Buddy|Bullseye|bumblebee|capture|CherryPicker|ChinaClaw|CICC|clipping|Crescent\ Internet\ ToolPack|cURL|Custo|cyberalert|Deweb|diagem|Digger|Digimarc|DIIbot|DirectUpdate|DISCo|Download\ Accelerator|Download\ Demon|Download\ Wonder|Downloader|Drip|DSurf15a|DTS.Agent|EasyDL|eCatch|echo\ extense|ecollector|efp@gmx\.net|EirGrabber|EmailCollector|Email\ Extractor|EmailSiphon|EmailWolf|Express\ WebPictures|ExtractorPro|EyeNetIE|fastlwspider|FavOrg|Favorites\ Sweeper|Fetch\ API\ Request|FEZhead|FileHound|FlashGet|FlickBot|fluffy|frontpage|GalaxyBot|Generic|Getleft|GetSmart|GetWeb!|GetWebPage|gigabaz|Girafabot|Go!Zilla|Go-Ahead-Got-It|GornKer|Grabber|GrabNet|Grafula|Green\ Research|Harvest|hhjhj@yahoo|hloader|HMView|HomePageSearch|HTTP\ agent|HTTPConnect|httpdown|http\ generic|HTTrack|^[^?]*iaea\.org|IBM_Planetwide|^[^?]*\.ideography\.co\.uk|Image\ Stripper|Image\ Sucker|imagefetch|IncyWincy|Indy\ Library|informant|Ingelin|InterGET|Internet\ Ninja|InternetLinkAgent|InternetSeer\.com|Iria|Irvine|iOpus|IPiumBot\ laurion(dot)com|Jakarta|JBH*Agent|JetCar|JustView|Kapere|KWebGet|Lachesis|larbin|LeechFTP|LexiBot|lftp|libwww|likse|Link*Sleuth|LINKS\ ARoMATIZED|LinkWalker|LWP|lwp-trivial|Magnet|Mac\ Finder|Mag-Net|Mass\ Downloader|MemoWeb|MCspider|Microsoft\ URL\ Control|MIDown\ tool|minibot\(NaverRobot\)|Missigua\ Locator|Mister\ PiX|MMMtoCrawl\/UrlDispatcherLLL|MSProxy|multithreaddb|nationaldirectory|Navroad|NearSite|NetAnts|NetCarta|netfactual|netcraft|NetMechanic|netprospector|NetResearchServer|NetSpider|Net\ Vampire|NetZIP|NEWT|nicerspro|NPBot|Octopus|Offline\ Explorer|Offline\ Navigator|OpaL|Openfind|OpenTextSiteCrawler|OutWit|PackRat|PageGrabber|Papa\ Foto|pavuk|pcBrowser|PersonaPilot|PingALink|Pockey|Program\ Shareware|psbot|PSurf|puf|Pump|PushSite|QRVA|QuepasaCreep|RealDownload|Reaper|Recorder|ReGet|replacer|RepoMonkey|Robozilla|Rover|RPT-HTTPClient|Rsync|SearchExpress|searchhippo|searchterms\.it|Second\ Street\ Research|Shai|sitecheck|SiteMapper|SiteSnagger|SlySearch|SmartDownload|snagger|SpaceBison|Spegla|SpiderBot|SqWorm|Star\ Downloader|Stripper|Sucker|SuperBot|SuperHTTP|Surfbot|SurfWalker|Szukacz|tAkeOut|tarspider|Teleport\ Pro|Telesoft|Templeton|traffixer|TrueRobot|TuringOS|TurnitinBot|TV33_Mercator|UIowaCrawler|URL_Spider_Pro|UtilMind|Vacuum|vagabondo|vayala|visibilitygap|vobsub|VoidEYE|vspider|w3mir|web\.by\.mail|Web\ Data\ Extractor|Web\ Downloader|Web\ Image\ Collector|Web\ Sucker|WebAuto|webbandit|Webclipping|webcollector|webcollage|WebCopier|webcraft@bea|WebDAV|webdevil|webdownloader|Webdup|WebEmailExtractor|WebFetch|WebGo\ IS|WebHook|Webinator|WebLeacher|WebMiner|WebMirror|webmole|WebReaper|WebSauger|WEBsaver|Website\ eXtractor|Website\ Quester|WebSnake|Webster|WebStripper|websucker|webvac|webwalk|webweasel|WebWhacker|WebZIP|Wget|whizbang|WhosTalking|Widow|WISEbot|WUMPUS|Wweb|WWWOFFLE|Wysigot|Xaldon\ WebSpider|XGET|x-Tractor|Zeus.* [OR]
      RewriteCond %{HTTP_REFERER} ^XXX
      RewriteRule (.*) /home/wb82947/crawlprotect/noaccess/noaccess2.php   [L]
      #-------------------------------
      # Filter against PHPSHELL.PHP, REMOTEVIEW, c99Shell and others
      #-------------------------------
      RewriteCond %{REQUEST_URI} .*((php|my)?shell|remview.*|phpremoteview.*|sshphp.*|pcom|nstview.*|c99|r57|webadmin.*|phpget.*|phpwriter.*|fileditor.*|locus7.*|storm7.*)\.(p?s?x?htm?l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml) [NC,OR]
      RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
      RewriteCond %{QUERY_STRING} ^(.*)=(/|%2F)(h|%68|%48)(o|%6F|%4F)(m|%6D|%4D)(e|%65|%45)(.+)?(/|%2F)(.*)(/|%2F)(.*)$ [OR]
      RewriteCond %{QUERY_STRING} ^work_dir=.*$ [OR]
      RewriteCond %{QUERY_STRING} ^command=.*&output.*$ [OR]
      RewriteCond %{QUERY_STRING} ^nts_[a-z0-9_]{0,10}=.*$ [OR]
      RewriteCond %{QUERY_STRING} ^c=(t|setup|codes)$ [OR]
      RewriteCond %{QUERY_STRING} ^act=((about|cmd|selfremove|chbd|trojan|backc|massbrowsersploit|exploits|grablogins|upload.*)|((chmod|f)&f=.*))$ [OR]
      RewriteCond %{QUERY_STRING} ^act=(ls|search|fsbuff|encoder|tools|processes|ftpquickbrute|security|sql|eval|update|feedback|cmd|gofile|mkfile)&d=.*$ [OR]
      RewriteCond %{QUERY_STRING} ^&?c=(l?v?i?&d=|v&fnot=|setup&ref=|l&r=|d&d=|tree&d|t&d=|e&d=|i&d=|codes|md5crack).*$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)([-_a-z]{1,15})=(chmod|chdir|mkdir|rmdir|clear|whoami|uname|unzip|gzip|gunzip|grep|more|umask|telnet|ssh|ftp|head|tail|which|mkmode|touch|logname|edit_file|search_text|find_text|php_eval|download_file|ftp_file_down|ftp_file_up|ftp_brute|mail_file|mysql|mysql_dump|db_query)([^a-zA-Z0-9].+)*$ [OR]
      RewriteCond %{QUERY_STRING} ^(.*)(wget|shell_exec|passthru|system|exec|popen|proc_open)(.*)$
      RewriteRule (.*) /home/wb82947/crawlprotect/noaccess/noaccess3.php  [L]

      Commentaire


      • #4
        salut
        je pense que l'ideal sera que les chmod serai pour les dossier 555 ( 505) et pour les fichier 444 ( ou 404) sa dépend des hébergeur.
        sauf que pour les mise a jour il faudera les remettre a 705 et 604 tu fait les mise a jour et tu refait l'operation , sa va te prendre quelque minute mais c'est bcp plus sûr.
        Connaitre son ignorance est la meilleure part de la connaissance.

        Commentaire


        • #5
          Côté chmod, j'ai un gros flou :

          Rappel
          Les valeurs attribuées (777, 555, ...) définissent les droits/autorisations
          • concernant le propriétaire du fichier (1er chiffre)
          • concernant le groupe du propriétaire du fichier (2ème chiffre)
          • concernant les autres utilisateurs. (3ème chiffre)

          Correspondances de représentation des droits
          Droit Valeur | binaire | Alphanumérique | octale
          aucun droit | 000 | --- | 0
          exécution seulement | 001 | --x | 1
          écriture seulement | 010 | -w- | 2
          écriture et exécution | 011 | -wx | 3
          lecture seulement | 100 | r-- | 4
          lecture et exécution | 101 | r-x | 5
          lecture et écriture | 110 | rw- | 6
          tous les droits | 111 | rwx | 7

          Les droits des répertoires
          Un répertoire en 755 signifierait donc :
          Le propriétaire peut lire écrire et exécuter
          Le groupe et les autres utilisateurs peuvent lire et exécuter mais pas écrire.

          Si tu les mets en 705,
          Le propriétaire peut lire écrire et exécuter
          Le groupe du propriétaire n'a plus aucun droit ?
          Les utilisateurs peuvent lire et exécuter

          Si tu les mets en 555
          Le propriétaire peut lire et exécuter mais pas écrire et idem pour les autres.
          En 505 Le groupe du propriétaire n'a plus aucun droit ?

          Le répertoire temp ne posera-t-il pas problème sans le droit d'écriture ?

          Concernant les fichiers,
          Un 6 signifierait lecture et écriture, mais pas d'exécution.
          Un 4 lecture seulement.

          Un fichier à 444 ou 404 ne serait donc accessible qu'en lecture, sans possibilité d'écriture ni d'exécution.

          Mes flous :
          Sous Joomla (ou plus généralement) qu'est-ce précisément
          qu'un propriétaire ?
          que le groupe du propriétaire à qui l'on pourrait retirer tous les droits ?
          et les utilisateurs.?

          Si je mets les fichiers en 600 il n'y a pas d'exécution possible.
          Comment Joomla peut-il fonctionner sans exécuter un certain nombre de fichiers ?
          Hors, cela fonctionne.
          Est-ce parce que l'exécutable principal ne fait que lire ces fichiers ?
          Où est cet exécutable ?

          Pourquoi mettre les répertoires en 700 c'est à dire avec possibilité d'exécution ?

          Etc.

          Commentaire


          • #6
            bonjour
            théoriquement le but d'un hacker c'est ou bien de tous détruire par effacement pour les plus méchants ou bien d'injecter son empreinte dans ta base de donné ou d'écrire dans la page d'index de ton site ( template) .
            d'aprés mes expérience personnels.
            etant donné que le site est alimenter dans la base, avec la possibilité d'insérer des images par les auteurs donc tu donné chmod necessaire au repertoire images ou les repertoire concerné pas plus .
            pour le template aucun droit n'est necessaire a part l'execution, pour tous le monde même le proprietaire.
            Connaitre son ignorance est la meilleure part de la connaissance.

            Commentaire


            • #7
              vue ce qui se passe sur la toile, avec tous ça et peut etre nous serons pas en sécuriter;
              la meilleur sécurité c'est de faire des sauvegarde reguliere de ta base
              Connaitre son ignorance est la meilleure part de la connaissance.

              Commentaire


              • #8
                joomla attire la convoitise de tous les hackers, aussi les mise a jour des version est primordiale
                Connaitre son ignorance est la meilleure part de la connaissance.

                Commentaire


                • #9
                  une anecdote
                  l'un de mes amis pour qui j'ai mis en ligne un site web sous joomla, version 1.5.22, sans aucun autre composant ou module additionnel ,
                  cette personne na pas activer ces log ( donc aucune traçabilité dans le pannel ).
                  lors de la mise en ligne du site nous avons bien appliquer les consigne de securité , mais aprés quelque modifs ,nous avons omis de supprimer un template qui etait la juste pour une demo, et qui n'avait aucun interet a etre la ?
                  l'erreur c'est que nous n'avons pas remis les autorisation necessaire sur le repertoire en question.
                  le hacker a mis sa page dans l'index du template en question et a bien changer le template par defaut ! BIZZAR
                  je cherche toujours comment il a fait? sans aucune reponse
                  Connaitre son ignorance est la meilleure part de la connaissance.

                  Commentaire


                  • #10
                    comment est il possible qu'il a reussi a changer le template par defaut ?
                    donc il a reussi a acceder a la base et je pense qu'il aurai pus tous faire ?
                    le seul sujet trouver http://forum.joomla.org/viewtopic.php?f=432&t=571350
                    Connaitre son ignorance est la meilleure part de la connaissance.

                    Commentaire


                    • #11
                      un super lien sur le forum d'ovh http://forum.ovh.com/archive/index.php/t-19263.html
                      j'espere que sa va vous aider
                      tenez nous au courant
                      merci
                      Connaitre son ignorance est la meilleure part de la connaissance.

                      Commentaire

                      Annonce

                      Réduire
                      1 sur 2 < >

                      C'est [Réglé] et on n'en parle plus ?

                      A quoi ça sert ?
                      La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                      Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                      Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                      Comment ajouter la mention [Réglé] à votre discussion ?
                      1 - Aller sur votre discussion et éditer votre premier message :


                      2 - Cliquer sur la liste déroulante Préfixe.

                      3 - Choisir le préfixe [Réglé].


                      4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                      2 sur 2 < >

                      Assistance au forum - Outil de publication d'infos de votre site

                      Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                      Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                      Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                      UTILISER À VOS PROPRES RISQUES :
                      L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                      Problèmes connus :
                      FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                      Installation :

                      1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                      Archive zip : https://github.com/AFUJ/FPA/zipball/master

                      2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                      3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                      4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                      5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                      6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                      et remplacer www. votresite .com par votre nom de domaine


                      Exemples:
                      Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/
                      Pour executer le script: http://www..com/fpa-fr.php

                      Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/cms/
                      Pour executer le script: http://www..com/cms/fpa-fr.php

                      En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                      Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                      Voir plus
                      Voir moins
                      Travaille ...
                      X