Demande d'audit de sécurité

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Demande d'audit de sécurité

    Merci j'ai bien reçu le message


    Bonne journée,
    Dernière édition par folamour à 08/11/2010, 10h30 Raison: mail en clair supp
    https://www.crashdebug.fr/ traite d’actualité, de politique et de divers sujets multi-thématiques.

    https://www.crashdebug.fr/revue-de-presse Revue de presse quotidienne

  • #2
    Je comprends mieux que personne ne se soit dévoué pour me répondre pour ceux qui aurrait le même problème que moi je leur conseil le plug in sentinelle (gratuit) http://forum.joomla.fr/showthread.ph...ion-Sentinelle et SURTOUT PAS le complément ANTI HACKER de OSE (bourré de bug et payant)

    Pour ce qui est de la permission des fichier passez en mode Fast-CGI dans votre interface IPS config ou autres et essayer de rester en 755
    http://forum.joomla.org/viewtopic.php?f=432&t=529920

    Si hélas vous n'avez pas le choix et devez rester en 775 regardez l'impact sur le site :
    http://forum.joomla.org/viewtopic.php?t=121470

    Merci de votre aide,

    Folamour,
    https://www.crashdebug.fr/ traite d’actualité, de politique et de divers sujets multi-thématiques.

    https://www.crashdebug.fr/revue-de-presse Revue de presse quotidienne

    Commentaire


    • #3
      Salut
      choisir sentinelle, c'est un truc, mais sentinelle n'est plus maintenu... Je te conseil un petit tour par la partie du forum sur la sécurité et tu trouveras des infos sur "CrawlProtect et CrawlTrack" qui sont bien plus efficace.
      Formation Joomla agence internet https://www.stylitek.com
      Melijoy création de site Joomla compétitif https://www.melijoy.fr
      agence web spécialiste référencement http://www.agence-web-stylitek.fr

      Commentaire


      • #4
        Oui rien qu'avec un htaccess bien configurer cela aide, voir dans la partie sécurité
        http://forum.joomla.fr/showthread.ph...ess-(Blacklist)
        Dernière édition par Lauick à 03/11/2010, 13h50
        Site de mon club : http://www.badminton-sombernon.fr/ et mon village : http://www.sombernon.fr/

        aesecure, optimisation et sécurisation de vos sites : http://www.aesecure.com/fr/
        bgMax, la gestion facile de l'image de fond: (http://lomart.fr/)
        AllEvents, la gestion d'événements: (http://www.allevents3.fr/)

        Commentaire


        • #5
          merci toffffe, j'ai un début de réponse grace à lui ici

          http://www.aide-joomla.com/forum/515...it=6&start=150

          pour ceux que ca intéresse (lazy guy) j'avais pas été au bon endroit,

          Crawlprotect existe en version 2.0 mais il n'est pas suffisant à priori regardez le thread précédant riche en enseignement mais le mieux est aussi de s'abonner a ces 2 listes RSS pour les modules tierces

          http://www.aide-joomla.com/component...d=2&format=raw
          http://feeds.joomla.org/JoomlaSecuri...ableExtensions

          Mais ça ne m'explique pas pourquoi je doit mettre en 775 mes répertoires pour qu'ils apparaissent en modifiable dans admin alors que la norme est 755 et ca le fait en mode php normal et Fast-Cgi

          en tout cas bonjour la masse d'extension à installer...

          avec une mise à jour régulière de Joomla + jSecure + T3 Secured + Crawlprotect

          je vais tester sur la maquette avant des les mettre sur le domaine,

          merci beaucoup tofffffe,


          Bonne journée à tous,
          https://www.crashdebug.fr/ traite d’actualité, de politique et de divers sujets multi-thématiques.

          https://www.crashdebug.fr/revue-de-presse Revue de presse quotidienne

          Commentaire


          • #6
            merci à l'âme charitable qui a pourris le site en ligne et qui mets tout les nouveau articles en erreur 404 je n'ai plus qu'a mettre les protections sur la maquette et a le réuploader,

            ça prouve a quelle point il y a des "bonnes" personnes positive sur internet qui se cache derrière l'anonymat puisqu'elle son stérile et aigri non pas de *******s et aucun arguments valable a part le vandalisme pure et dure pour tenter d'avoir un semblant de jouissance dans leur vie morne.

            Peine à jouir,

            Sérieux c'est vraiment pas sympa sans apporter de solution,

            Amicalement,
            Dernière édition par folamour à 03/11/2010, 13h15
            https://www.crashdebug.fr/ traite d’actualité, de politique et de divers sujets multi-thématiques.

            https://www.crashdebug.fr/revue-de-presse Revue de presse quotidienne

            Commentaire


            • #7
              Pour information si quelqu'un cherche des infos sur la protection d'un site joomla c'est ici : http://www.aide-joomla.com/forum/515...te-joomla.html

              par contre pour moi sur la maquette tout ce passe bien jusqu'au plug in captcha qui ne marche pas mais comme il a modifié des fichiers système je doit refaire une maquette si je ne veux pas de mauvaise surprise au transfert, idem CrawlProtect doit être installer directement sur le site de production.

              Quelqu'un a un plugin captcha a proposer qui fonctionne et soit sécurisé?

              Merci beaucoup, car ils sont beaucoup. http://extensions.joomla.org/extensi...curity/captcha


              Merci,
              https://www.crashdebug.fr/ traite d’actualité, de politique et de divers sujets multi-thématiques.

              https://www.crashdebug.fr/revue-de-presse Revue de presse quotidienne

              Commentaire


              • #8
                Help

                Aïe, impossible de récuperer le dump SQL sur le serveur ça sent les nuits blanche...

                j'ai trouvé plein de hit sur l'erreur 1064 mais personne ne dit comment la contourner
                http://forum.joomla.fr/search.php?searchid=322510&pp=& page=3

                le PhpMyAdmin de source est un 3.2.4. exporté avec compatibility a none et __DB__%d/%m/%y comme modèle de nom de fichier comme j'ai appris

                le PhpMyAdmin de destination est un 2.11.8.1


                Erreur :

                requête SQL:

                -- -------------------------------------------------------- -- -- Structure de la table `jos_jxcomments_ratings_members` -- CREATE TABLE IF NOT EXISTS `jos_jxcomments_ratings_members` ( `thread_id` int(11) unsigned NOT NULL, `user_id` int(10) unsigned NOT NULL DEFAULT '0' COMMENT 'Map to the user id', `context` varchar(50) NOT NULL COMMENT 'The context of the comment', `context_id` int(11) NOT NULL DEFAULT '0' COMMENT 'The id of the item in context', `score` double NOT NULL DEFAULT '0' COMMENT 'Actual member rating', `category_id` int(11) NOT NULL DEFAULT '0' COMMENT 'Rating Category', `updated_date` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Modification Timestamp', `address` varchar(50) NOT NULL COMMENT 'IP address of the rater', PRIMARY KEY (`thread_id`,`user_id`,`category_id`), KEY `idx_user` (`user_id`,`context`,`context_id`,`category_id`) USING BTREE, KEY `idx_category_thread` (`category_id`,`thread_id`), KEY `idx_address_thread` (`address`,[...]

                MySQL a répondu:

                #1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'USING BTREE,
                KEY `idx_category_thread` (`category_id`,`thread_id`),
                KEY `idx' at line 11

                est ce due à la différence de PhpMyAdmin? et si oui savez vous comment i remédier? le serveur est sur un ISPconfig 3

                la table est grosse elle fait 28,6mo mais la taille limite SQL est basé a 110mo

                J'ai trouvé comme le désinstaller mais pas comment injecter la nouvelle version depuis le root
                http://www.phpsources.org/ressources-phpMyAdmin-php.htm

                Merci,
                Dernière édition par folamour à 03/11/2010, 23h30
                https://www.crashdebug.fr/ traite d’actualité, de politique et de divers sujets multi-thématiques.

                https://www.crashdebug.fr/revue-de-presse Revue de presse quotidienne

                Commentaire


                • #9
                  PhpMyAdmin n'est qu'une interface au serveur MySQL, il serait bon de savoir quelles sont les versions des 2 serveurs, ce que PhpMyAdmin indique. Toutefois, au vu du delta important de versions, il y a fort à parier que les serveurs MySQlL sont aussi de générations différentes, disons du 5.0 d'un côté et du vieux 4.1 de l'autre.
                  Pas de demande de support par MP.
                  S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                  Commentaire


                  • #10
                    Bonjour Jisse03 tu vas bien? Merci de ton aide, c'est un peut la galère en ce moment gagné! c'est aussi la version de MySQL


                    Source :

                    PHP exécuté sur: Windows NT DOUDOU-PC 6.1 build 7600 ((null)) i586

                    Variable_name Value
                    version 5.1.41

                    Version de la base de données: 5.1.41

                    Variable_name Value
                    version 5.1.41

                    Version de PHP: 5.3.1

                    Du serveur Web à l'interface PHP: apache2handler

                    Version de Joomla!: Joomla! 1.5.21 Stable [ senu takaa ama wepulai ] 08-October-2010 18:00 GMT

                    Navigateur: Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12


                    et la destination est un version 5.0.51a-24+lenny3

                    j'ai essayé avec IE et Firefox rien a faire il faut certainement mettre a jour MySQL et PHPmyadmin j'ai pas trouvé comment upgrader le PHPmyadmin pas de package .pkg et pour le MySQL encore moins

                    est ce que la mise a jour de MySql englobe la maj de PHPMyadmin je n'en sais rien...


                    c'est la joie

                    J'ai regardé un peut sur un desbian 5 c'est un truc de fou http://howtoforge.net/perfect-server...-ispconfig3-p3

                    je vais demander à l'hébergeur si il peut faire la manip comme c'est un virutal server a tout les coup il y a des subtilité,

                    Bref, merci en tout cas, comme cela c'est identifié, la suite plus tard...
                    Dernière édition par folamour à 04/11/2010, 00h39
                    https://www.crashdebug.fr/ traite d’actualité, de politique et de divers sujets multi-thématiques.

                    https://www.crashdebug.fr/revue-de-presse Revue de presse quotidienne

                    Commentaire


                    • #11
                      Etant donné que ton serveur est une Debian, un apt-get upgrade pourrait bien réaliser pas mal de ces mises à jour. PhpMyAdmin étant indépendant de PHP, chaque paquet peut être mis à jour indépendamment. Un tuto apt-get est disponible sur le site du zéro.

                      Le Howto Forge sur Debian est parfaitement réussi comme tuto sur l'installation d'un serveur complet et va au delà de simplement PHP et MySQL
                      Dernière édition par jisse03 à 04/11/2010, 06h16
                      Pas de demande de support par MP.
                      S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                      Commentaire


                      • #12
                        Bonjour Jisse03, j'ai lue le doc du site du Zéro c'est assez géniale comme process, par contre c'est vraiment domage que je n'ai plus de pc de libre car le tuto de Le Howto Forge sur Debian est hallucinant de détails j'aimerais bien avoir une machine de spare pour faire tourner le site en cas de problème, on verras plus tard...

                        Lws m'a indiqué d'injecter le dump en direct

                        mysql -u root -p < fichier_sauvegarde

                        mais j'ai uplodé le SQL dans un répertoire via le ftp et quant je me connecte en root et je vais a la main via 'CD' sur le répertoire il apparait comme vide, aussi je ne maitrise pas assez 'LS' pour voire les fichiers cachés, je lui ai demandé si il pouvait faire la manip car même en tapant la commande mysql -u -root -p <et le chemin du fichier, il ne voie pas le fichier indiqué en dur.

                        Par contre pour la suite est ce que quelqu'un pourrait me dire pourquoi je doit mettre mes répertoire système en 775 pour qu'il apparaisse "modifiable" et pas en 755 comme indiqué en règle générale sur les sites? j'ai peur que cela soit une faille, comme indiqué dans un post que j'ai mis plus haut j'ai essayé Fast-CGI et mod-PHP dans l'ips config 3 pour la gestion du php ça n'as rien changé...

                        je vais demander au support Lws si je peut faire l'apt-get upgrade sur le serveur

                        Merci bcp,


                        Guillaume,
                        Dernière édition par folamour à 04/11/2010, 11h13
                        https://www.crashdebug.fr/ traite d’actualité, de politique et de divers sujets multi-thématiques.

                        https://www.crashdebug.fr/revue-de-presse Revue de presse quotidienne

                        Commentaire


                        • #13
                          Bonjour le site vas arriver en production quelqu'un peut être assez gentil et me répondre sur les droits d'écriture 775 et 755 est ce 'safe' de les mettres en 775? (car 755 ne met pas modifiable dans joomla)

                          Merci beaucoup
                          https://www.crashdebug.fr/ traite d’actualité, de politique et de divers sujets multi-thématiques.

                          https://www.crashdebug.fr/revue-de-presse Revue de presse quotidienne

                          Commentaire


                          • #14
                            Bonjour pour ceux qui comme moi chercherais encore pour les dossiers (devant être modifiable) de joomla voici un semblant de réponse il y a des bonnes idées ici mais c'est en anglais: http://www.marcofolio.net/joomla/7_t..._security.html

                            Use the correct CHMOD for each folder and file

                            Setting files or folders to a CHMOD of 777 or 707 is only necessary when a script needs to write to that file or directory. All other files should have the following configuration:

                            * PHP files: 644
                            * Config files: 666
                            * Other folders: 755

                            mais moi ça ne me convient pas, passer en 707 ou 777 les folders (modifiables) et système ca veux dire donner des droits d'écriture au publique, je suis pas bon en sécurité linux, mais ça ne me dit rien qui vaille aussi je préfère 775 puisque 755 ne marche pas.

                            D'autres par le tips dit d'utiliser un module SEF comme SH404SEF pour réecrire les Urls mais un tel système ne vas il pas rendre invalide toute les url déja présente sur google pour le site?

                            J'ai Installé le dernier CrawlProtect et avec son .Htacces j'ai une Erreur Forbiden you don't have access... donc j'ai posté sur leur forum,

                            Et J'ai donc remis l'original de sirius.

                            Le site semble fonctionner mais bug dans l'éditeur FCK et dans rss factory il manque un icone

                            et j'ai toujours 2 erreur,

                            j'ai 2 path de cache

                            Dossier du cache /var/www/clients/client2/web67/web/cache/ Modifiable
                            Dossier du cache /var/www/clients/client2/web67/web/administrator/cache/ Modifiable

                            Comme on me l'avais dit j'ai essayé d'indenfifier le bon avec moovla mais il dit qu'il ne peut pas écrire

                            Warning: fopen(remoovla.php) [function.fopen]: failed to open stream: Permission denied in /var/www/clients/client2/web67/web/moovla.php on line 127

                            Fatal error: Cannot redeclare class JConfig in /var/www/clients/client2/web67/web/configuration.php on line 2

                            et quant je surf sur crash en prennant une url de google idem

                            Error: the xajax Javascript component could not be included. Perhaps the URL is incorrect?
                            URL: http://xxxxxx/index.php/internationa.../xajax_core.js

                            Alors que le fichier existe bien sur le site, j'ai essayé de changer ses droit ca ne change rien et l'openbasedir semble bon

                            /var/www/clients/client2/web67/web:/var/www/clients/client2/web67/tmp:/var/www/xxxxxx.fr/web:/srv/www/xxxxx.fr/web:/usr/share/php5:/tmp:/usr/share/phpmyadmin

                            j'ai essayé d'inverser le SEF ça ne change rien, toutes les url en lien sur le site font ca. Le support de l'hébergeur avais fait des manip qui avait résolu le problème ajax je lui ai demandé de les refaire et de me les communiquer.

                            Désolé du nombre de questions,

                            Any Idea? je suis à la rue la...

                            Merci,

                            Guillaume,
                            Dernière édition par folamour à 05/11/2010, 07h34
                            https://www.crashdebug.fr/ traite d’actualité, de politique et de divers sujets multi-thématiques.

                            https://www.crashdebug.fr/revue-de-presse Revue de presse quotidienne

                            Commentaire


                            • #15
                              Ta problématique de droits dépend effectivement de la configuration générale de ton serveur. Sans avoir toutes les infos en main, difficile de te dire quoi modifier, puisque chaque hébergeur a sa propre politique.
                              Pas de demande de support par MP.
                              S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X