Joomladay francophone 2018 à Paris 18 et 19 mai

Que faire après un piratage?

Réduire
Ce sujet est fermé.
X
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Que faire après un piratage?

    Bonjour,

    Mon site qui était en version 1.5.0 s'est fait cracké et défacé visiblement en utilisant la faille qui a été corrigé dans la 1.5.6. Cela fait deux fois que ca m'arrive, la première fois il y a un an et demi, j'était en version 1.0.x et j'ai mis 6 mois a refabriquer de zéro mon site web en version 1.5 que je croyais plus sure.

    J'aimerai bien eviter de recommencer mon site de zéro cette fois ci. Pouvez vous me donner des conseils sur la facon de faire en sachant que je n'ai plus accès a l'administration mais seulement aux bases sql via phpmyadmin et aux fichiers via ftp.

    Qu'est-ce qui a pu etre modifié a votre avis et a quoi faut il faire attention, quel fichiers ont pu etre altérés, etc...

    Merci pour toutes vos suggestion,
    Jean-Michel.

  • #2
    La première chose à faire pour éviter d'avoir à tout refaire est de faire des sauvegardes régulières des fichiers et de la base, ce qui permet de tout renvoyer : ça prend le temps du transfert ftp, mais ça évite de tout réécrire.

    Ensuite, il y a des procédures de régénération du compte administrateur décrites, même un utilitaire spécial sur le site des extensions, et dont on a parlé au moment de la découverte de cette faille.
    Tu peux aussi entrer dans la base de données pour modifier le mot de passe du super-administrateur en demandant le codage en MD5 du code que tu écriras en clair dans la zone de saisie correspondante.

    Pour les fichiers, si tu n'as pas une sauvegarde et que tu n'es pas sûr que certains n'ont pas été modifiés, il va te falloir renvoyer ceux-ci depuis des versions vierges de Joomla! et des extensions que tu avais installé, sans toucher à la base si elle a été respectée.

    Tout dépend en fait de l'attaque dont tu as été victime.
    Je suis intervenu sur un site où le pirate avait simplement modifié le login et le mot de passe (admin/admin), et mis le site hors-ligne avec un message inquiétant, mais il n'avait touché à rien d'autre : une chance ! Il a suffi de changer le mot de passe, de supprimer le message et de remettre en ligne le site.
    "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info hébergés chez PHPNET - +sites gérés chez 1and1 et OVH - Site pro : www.robertg-conseil.fr

    Commentaire


    • #3
      Sujet déplacé vers le forum adéquat.
      Jean-Marie Simonet / infograf768
      Joomla co-fondateur. Joomla Production Working Group.
      Sauf demande explicite de ma part, merci de ne pas utiliser de Message Privé pour poser des questions. Le forum est là pour ça.

      Commentaire


      • #4
        Pour vous donner des nouvelles, en regardant les dates de dernières mofifications des fichiers, je n'ai trouvé que le fichier index.php de mon template qui avait été modifié. J'ai donc restauré celui ci a partir d'une sauvegarde ce qui m'a rendu les accès a mon site et a l'administration. Visiblement les passwords n'ont pas été modifiés, donc y'avait plus de peur que de mal...

        Du coup j'ai pu faire dans la foulée la mise a jour en 1.5.6, puis dans le doute j'ai modifié les passwords des comptes administrateurs.

        Merci pour votre aide.

        Jean-Michel.

        Commentaire


        • #5
          Envoyé par Neolinux Voir le message
          Visiblement les passwords n'ont pas été modifiés
          Hmm... étonnant... le pass du premier utilisateur dans la liste devrait l'avoir été.

          Si ce n'est pas le cas, attention! Cela peut vouloir dire que le cracker a utilisé une autre faille dans votre configuration (permissions, faille serveur, extension tierce, etc.)

          Suggestion: vérifier les logs.
          Jean-Marie Simonet / infograf768
          Joomla co-fondateur. Joomla Production Working Group.
          Sauf demande explicite de ma part, merci de ne pas utiliser de Message Privé pour poser des questions. Le forum est là pour ça.

          Commentaire


          • #6
            Bon j'ai trouvé les logs correspondant a l'attaque et je les ai nettoyé un peu en supprimant tout ce qui me semblait inutile a l'analyse (GET images, etc). J'ai aussi modifié l'adresse de mon site web (une vieille habitude dans ce type de situation) :

            78.177.239.90 - - [29/Aug/2008:11:17:12 +0200] "GET /index.php?option=com_user&view=reset&layout=confir m HTTP/1.1" 200 6765 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:15 +0200] "POST /index.php?option=com_user&task=confirmreset HTTP/1.1" 301 - "http://www.HACKEDSITE.com/index.php?option=com_user&view=reset&layout=confir m" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:16 +0200] "GET /index.php?option=com_user&view=reset&layout=comple te HTTP/1.1" 200 7025 "http://www.HACKEDSITE.com/index.php?option=com_user&view=reset&layout=confir m" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:26 +0200] "POST /index.php?option=com_user&task=completereset HTTP/1.1" 301 - "http://www.HACKEDSITE.com/index.php?option=com_user&view=reset&layout=comple te" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:26 +0200] "GET /index.php?option=com_user&view=login HTTP/1.1" 200 7123 "http://www.HACKEDSITE.com/index.php?option=com_user&view=reset&layout=comple te" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:39 +0200] "POST /index.php?option=com_user HTTP/1.1" 301 - "http://www.HACKEDSITE.com/index.php?option=com_user&view=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"



            A ce stade, le pirate semble avoir réussi a remettre a zéro le password d'un utilisateur. Je penche pour Administrator, le premier utilisateur déclaré que je n'utilise pas. J'ai mon propre compte super-admin dont le pass n'a pas été modifié, et donc j'ai modifié le mot de passe du compte Administrator sans savoir s'il a réellement été modifié.

            Pouvez vous me confirmer qu'il s'agit bien de la faille corrigé dans le 1.5.6 ?

            Ensuite, le pirate s'atelle visiblement a changer le fichier index.php sans que je comprenne bien comment :


            78.177.239.90 - - [29/Aug/2008:11:17:40 +0200] "GET /index.php HTTP/1.1" 200 12921 "http://www.HACKEDSITE.com/index.php?option=com_user&view=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:41 +0200] "GET /includes/js/joomla.javascript.js HTTP/1.1" 200 16000 "http://www.HACKEDSITE.com/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:41 +0200] "GET /media/system/js/caption.js HTTP/1.1" 200 1837 "http://www.HACKEDSITE.com/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:37 +0200] "GET /administrator/ HTTP/1.1" 200 4183 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:38 +0200] "GET /administrator/templates/khepri/css/login.css HTTP/1.1" 200 2049 "http://www.HACKEDSITE.com/administrator/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:40 +0200] "GET /administrator/templates/system/css/system.css HTTP/1.1" 200 1083 "http://www.HACKEDSITE.com/administrator/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:38 +0200] "GET /administrator/templates/khepri/css/ie6.css HTTP/1.1" 200 298 "http://www.HACKED
            SITE.com/administrator/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:40 +0200] "GET /administrator/templates/khepri/css/rounded.css HTTP/1.1" 200 2612 "http://www.HACKEDSITE.com/administrator/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:39 +0200] "GET /administrator/templates/khepri/css/general.css HTTP/1.1" 200 16157 "http://www.HACKEDSITE.com/administrator/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:49 +0200] "GET /administrator/index.php HTTP/1.1" 200 23906 "http://www.HACKEDSITE.com/administrator/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:51 +0200] "GET /administrator/templates/khepri/css/template.css HTTP/1.1" 200 833 "http://www.HACKEDSITE.com/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:52 +0200] "GET /administrator/templates/khepri/js/menu.js HTTP/1.1" 200 1623 "http://www.HACKEDSITE.com/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:17:57 +0200] "GET /administrator/index.php?option=com_templates HTTP/1.1" 200 22715 "http://www.HACKEDSITE.com/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:18:05 +0200] "POST /administrator/index.php HTTP/1.1" 200 8108 "http://www.HACKEDSITE.com/administrator/index.php?option=com_templates" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:18:08 +0200] "POST /administrator/index.php HTTP/1.1" 200 8044 "http://www.HACKEDSITE.com/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:18:17 +0200] "GET /administrator/index.php?option=com_templates&client=0&task=edit_ source&id=siteground-j15-35 HTTP/1.1" 200 8497 "http://www.HACKEDSITE.com/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:18:26 +0200] "GET /favicon.ico HTTP/1.1" 404 342 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:18:27 +0200] "GET / HTTP/1.1" 200 2238 "http://www.HACKEDSITE.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:19:09 +0200] "GET / HTTP/1.1" 200 2238 "http://www.zone-h.org/component/option,com_attacks/Itemid,45/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:21:59 +0200] "GET /administrator/ HTTP/1.1" 200 23906 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:22:01 +0200] "GET /index.php HTTP/1.1" 200 2238 "http://www.HACKEDSITE.com/index.php?option=com_user&view=login" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:22:02 +0200] "GET /index.php?option=com_user&view=login HTTP/1.1" 200 2238 "http://www.HACKEDSITE.com/index.php?option=com_user&view=reset&layout=comple te" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:22:02 +0200] "GET /index.php?option=com_user&view=reset&layout=comple te HTTP/1.1" 301 - "http://www.HACKEDSITE.com/index.php?option=com_user&view=reset&layout=confir m" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:22:02 +0200] "GET /index.php?option=com_user&view=reset HTTP/1.1" 200 2238 "http://www.HACKEDSITE.com/index.php?option=com_user&view=reset&layout=confir m" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:22:03 +0200] "GET / HTTP/1.1" 200 2238 "http://www.HACKEDSITE.com/index.php?option=com_user&view=reset" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:22:06 +0200] "GET /index.php?option=com_user&view=reset&layout=confir m HTTP/1.1" 200 2238 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:22:04 +0200] "GET / HTTP/1.1" 200 2238 "http://www.HACKEDSITE.com/index.php?option=com_user&view=reset" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"
            78.177.239.90 - - [29/Aug/2008:11:22:07 +0200] "GET / HTTP/1.1" 200 2238 "http://www.HACKEDSITE.com/index.php?option=com_user&view=reset&layout=confir m" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)" "www.HACKEDSITE.com"



            J'ai beaucoup le log qui contient http://www.zone-h.org/component/opti...acks/Itemid,45 qui va placer mon site sur un tableau de chasse...

            Puis je n'ai plus de trace de cette adresse ip ni d'accès suspicieux depuis une autre adresse (j'ai assez peu d'accès journalier sur ce site ce qui simplifie les recherches).

            Il semblerait que les dégats soient minimes, mais au vu des logs, pensez vous qu'il y ait d'autre choses a vérifier que le fichier index.php et le password des utilisateurs ayant un acces admin/super-admin ?

            Merci pour votre aide
            Jean-Michel.

            Commentaire


            • #7
              Je changerais aussi le login/mdp du superadmin...
              Jean-Marie Simonet / infograf768
              Joomla co-fondateur. Joomla Production Working Group.
              Sauf demande explicite de ma part, merci de ne pas utiliser de Message Privé pour poser des questions. Le forum est là pour ça.

              Commentaire


              • #8
                Envoyé par Neolinux Voir le message

                Pouvez vous me confirmer qu'il s'agit bien de la faille corrigé dans le 1.5.6 ?
                OUi je te confirme !! il a bien modifié le pass du superadmin
                adaptations|conceptions

                Commentaire


                • #9
                  Bon, merci a tous pour votre aide.

                  J'ai modifié tous les mot de passe admin/super-admin et fait la mise à jour de joomla. Ca devrait me mettre a l'abri quelques temps. Merci aussi a Thorax pour Sentinelle, je vous conseille vivement d'aller voir son post si vous vous retrouvez dans mon cas ou meme en préventif.

                  Cette fois ci, ca c'est beaucoup mieux passé que quand je me suis fait hacké en v1.0 ou je n'avait jamais réussi a récuperer mon site et j'avais du repartir de quasi zéro pour le refaire en version 1.5 (et j'avais failli abandonner joomla au passage!). Depuis, je fais beaucoup plus de sauvegardes ...

                  Jean-Michel.

                  Commentaire


                  • #10
                    Appel le 118 218, demande un expert en sécurité site internet
                    Témoignages de vos sites hackés

                    Commentaire


                    • #11
                      tu peux aussi chémoder ton fichier template pour qu'il ne soit pas rewritable

                      Commentaire

                      Annonce

                      Réduire
                      1 sur 2 < >

                      C'est [Réglé] et on n'en parle plus ?

                      A quoi ça sert ?
                      La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                      Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                      Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                      Comment ajouter la mention [Réglé] à votre discussion ?
                      1 - Aller sur votre discussion et éditer votre premier message :


                      2 - Cliquer sur la liste déroulante Préfixe.

                      3 - Choisir le préfixe [Réglé].


                      4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                      2 sur 2 < >

                      Assistance au forum - Outil de publication d'infos de votre site

                      Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                      Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                      Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                      UTILISER À VOS PROPRES RISQUES :
                      L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                      Problèmes connus :
                      FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                      Installation :

                      1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                      Archive zip : https://github.com/AFUJ/FPA/zipball/master

                      2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                      3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                      4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                      5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                      6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                      et remplacer www. votresite .com par votre nom de domaine


                      Exemples:
                      Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/
                      Pour executer le script: http://www..com/fpa-fr.php

                      Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/cms/
                      Pour executer le script: http://www..com/cms/fpa-fr.php

                      En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                      Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                      Voir plus
                      Voir moins
                      Travaille ...
                      X