Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

    Historique de mon problème (qui peut servir à d’autres)
    Sur un site Joomla 1.5.23 (à jour à ce moment là) hébergé par 1and1 on détecte il y a 10 jours un gros problème :
    le site est accessible normalement par son adresse url, mais en faisant une recherche via Google, le site est inaccessible et l’antivirus s’affole : AvastPro signale une tentative de malveillance.
    Je m'aperçois qu’une injection de code a été opérée dans de nombreux fichiers php avec un code ressemblant à ça : “eval(base64_decode("ZXJyb3Jf... “
    Après avoir fouillé, cherché, comme le site avait un certain nombre de modules et composants divers et variés inutilisés je refais une installation propre à partir d’une sauvegarde ancienne et nettoie les extensions en ne conservant que les composants sûrs qui ne font pas partie de la liste des extentions vulnérables.
    On en profite pour changer le mot de passe de la base, de l’accès ftp (on pensait que filezilla pouvait être en cause pour l’avoir vu dans certains posts).
    On fait une demande de réindexation auprès de Google pensant que le problème était réglé.
    Deux jours après le code malveillant réaparait.
    On décide de passer le site sur la dernière version de joomla : la 1.7.2
    On utilise pour cela un composant payant mais efficace : spupgrade
    Donc on résume :
    l’installation de Joomla 1.7.2 est propre, à jour avec de nouveaux mots de passe pour la base, pour filezilla; il y a à l’intérieur sh404SEF (avec son système de surveillance) entre temps j’ai même changé d’ordinateur (un tout beau tout neuf) (c’était un concours de circonstance, mais je me suis dit au cas où j’aurais un espion à l’intérieur de l’ancien)
    Après beaucoup d’heures de travail dès le lendemain (c’est à dire hier) le code malveillant réapparaît : près de 700 fichiers infectés trouvés par prgrep.
    Après de nouvelles recherches, j'ai trouvé ce lien :
    http://forum.webrankinfo.com/solutio...e-t122808.html
    Cela ne viendrai donc peut-être pas de filezilla.
    J’ai donc repris la sauvegarde faite du site en joomla 1.7.2 avant que le code ne réapararaisse, j’ai réinstallé sur une nouvelle base, nouvel accès ftp et suivi les instructions du lien ci-dessus et mis le fichier php.ini recommandé à la base du site.
    Par ailleurs pour qu'il soit placé partout j'ai mis également un script nommé phpini.php après avoir suivi les instructions de 1and1 ici :
    http://faq.1and1.fr/scripts/php/phpini/4.html
    A l’heure ou j’écris ce post j’ai rétablit la situation mais :
    - 1 je ne sais toujours pas comment et par quoi le piratage est arrivé ?
    - 2 je ne sais toujours pas si le site est bien protégé...
    - 3 je ne connais pas la motivation des hackers et les conséquences de l'alerte de malveillance si je n'avais pas de protection...
    Si vous avez des réponses...
    Dernière édition par TocToc à 24/10/2011, 07h08

  • #2
    Re : Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

    Je fais suite à mon propre message....
    Le piratage viens de revenir il y a quelques instants. Mais c'est encore plus grave puisqu'il bloque maintenant complètement le site.
    Il y a plein de lignes de messages qui s'affichent en clair :
    "Warning: base64_decode() has been disabled for security reasons in /homepages/23/d246171077/htdocs/Dossiersite/index.php on line 1"
    Nous allons faire une réinstallation mais sombrons dans l'incertitude et la désespérance...
    Nous serions prêt à payer si un spécialiste nous permet de régler définitivement le problème. Contactez moi en message privé si nécessaire.

    Commentaire


    • #3
      Re : Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

      Je peux y jeter un œil si tu veux, si OK créés moi un compte superadmin, envois moi tous les ID par MP (ftp, 1&1), à partir de là je pourrai t'en dire plus.

      Commentaire


      • #4
        Re : Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

        Pour infos (pour ceux qui vivent la même expérience)
        Au final après moultes périgrinations nous avons décidé d'acheter le composant OSE SECURE ( https://www.opensource-excellence.co...-solution.html ) c'est cher mais le produit semble bien construit et surtout ils sont très réactifs et sont intervenus directement sur le site après installation.
        A l'heure où j'écris ces lignes le site semble sain et vérifié ici : http://sitecheck.sucuri.net/scanner/

        NB; Merci à zepelin57 qui est également intervenu pour nous aider.

        Commentaire


        • #5
          Re : Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

          Tout cela m'inquiète, personnellement.

          As-tu pu trouver la source de cette attaque ? Par quel biais sont-ils rentrés dans le système ? Et comment nous, autres webmasters (parfois en herbe), pourrions nous protéger contre ce type d'attaque ?

          Selon ce que j'ai pu comprendre de Joomla, les articles et autres champs devraient être scannés par un module de nettoyage quelque part, non ? A moins qu'il ne s'agisse d'une infection globale au niveau de ton hébergeur (?? OO ??)...
          S'il y avait un plugin ou l'autre non sécurisé, je serais tenté de savoir lequel, car j'ai tendance à vouloir en tester beaucoup...
          JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
          Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
          Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

          Commentaire


          • #6
            Re : Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

            Tout cela m'inquiète, personnellement.
            Il faut s'en inquiéter, mais ne pas non plus voir tout en noir, il existe des solutions basiques qui limitent les attaques potentiels comme utiliser des mots de passe compliqués pas 1234 comme je le vois assez souvent; installer Crawlprotect qui protégera l'environnement ou partir avec une solution comme l' a utilisé TocToc c'est un produit un peu onéreux mais qui fait de bon boulot.

            As-tu pu trouver la source de cette attaque ?
            Ce n'est jamais simple de trouver par ou rentre un malveillant, l'analyse des logs peut cibler mais pas toujours, il arrive qu'une machine infectée suffit à contaminer son site, c'est pour cela qu'il faut travailler sur un PC protégé par un AV digne de ce nom et ne pas installer des mules et consorts, éviter de télécharger et installer des produits Joomla venant du warez (maladie typique des français).

            A moins qu'il ne s'agisse d'une infection globale au niveau de ton hébergeur (?? OO ??)
            Cela peut arriver, mais c'est quand même extrêmement rare, les bons hébergeurs ont souvent du matériels qui évitent ce genre de problèmes et quand bien même que cela passerai, il coupe le serveur, le restaure et trouve la faille.

            S'il y avait un plugin ou l'autre non sécurisé, je serais tenté de savoir lequel, car j'ai tendance à vouloir en tester beaucoup
            Pour contrôler cela il faut aller jeter un œil sur ce site.

            Commentaire


            • #7
              Re : Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

              Envoyé par zepelin57 Voir le message
              Il faut s'en inquiéter, mais ne pas non plus voir tout en noir, il existe des solutions basiques qui limitent les attaques potentiels comme utiliser des mots de passe compliqués pas 1234 comme je le vois assez souvent; installer Crawlprotect qui protégera l'environnement ou partir avec une solution comme l' a utilisé TocToc c'est un produit un peu onéreux mais qui fait de bon boulot.
              Je crois que l'investissement en temps nécessaire pour la mise en place de CrawlProtect va être faite sous peu. Est-ce compatible avec l'URL rewriting de Joomla (SEO, si je ne me trompe pas...) ?
              Quant aux mots de passe, j'utilise soit des mots de passe générés par KeePass (si accès uniquement à partir de mon PC strictement perso - et scanné plus que régulièrement par plusieurs outils complémentaires...), soit par des générations "dans ma tête (en utilisant mon codage perso, que je n'utilise pas dans mon exemple)" : "Ie5h°Pse_Ie5hjnaps", extraits de chansons ou de répliques cultes que j'associe au site que je visite.
              Impossible de le trouver par une attaque de type dictionnaire, et impossible à deviner... ou presque.
              Comment ? Parano, moi ???

              Heuuu, Voui !

              Envoyé par zepelin57 Voir le message
              Ce n'est jamais simple de trouver par ou rentre un malveillant, l'analyse des logs peut cibler mais pas toujours, il arrive qu'une machine infectée suffit à contaminer son site, c'est pour cela qu'il faut travailler sur un PC protégé par un AV digne de ce nom et ne pas installer des mules et consorts, éviter de télécharger et installer des produits Joomla venant du warez (maladie typique des français).
              J'abhorre ce type d'outil. Et, en tant que professionnel de l'informatique, je déteste utiliser un programme que je n'ai pas le droit d'utiliser, cela laisse la porte ouverte à trop de fenêtres Je sais : cela ne veut rien dire, mais j'aime bien la placer de temps en temps...

              Envoyé par zepelin57 Voir le message
              Cela peut arriver, mais c'est quand même extrêmement rare, les bons hébergeurs ont souvent du matériels qui évitent ce genre de problèmes et quand bien même que cela passerai, il coupe le serveur, le restaure et trouve la faille.
              Mais... Question ouverte : qu'est-ce qu'un bon hébergeur ? Perso, je suis chez Nuxit, que je trouve excellent, surtout au niveau du support quasi immédiat, mais en tout cas toujours dans le bon !

              Envoyé par zepelin57 Voir le message
              Pour contrôler cela il faut aller jeter un œil sur ce site.
              Merci pour cette liste. Bookmarké !!
              JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
              Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
              Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

              Commentaire


              • #8
                Re : Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

                Est-ce compatible avec l'URL rewriting de Joomla (SEO, si je ne me trompe pas...) ?
                Sans aucun problème; cela ne modifiera en rien ton site, en fait Crawlprotect "joue" avec le htaccess auquel il rajoute des lignes de codes, l'essayer c'est l'adopter.

                J'ai plusieurs petits clients qui ont fait les yeux ronds lorsque que leurs envois les rapports de tentatives.

                Commentaire


                • #9
                  Re : Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

                  Encore une petite question (je te tiens, je ne te laches plus !!! Hihi)

                  CrawlProtect ou CrawlTrack ou les deux ?
                  JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
                  Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
                  Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

                  Commentaire


                  • #10
                    Re : Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

                    bonsoir
                    je ne suis pas spécialiste de la question, mais un chmod de 404 ou 444 pour les fichier et 505 ou 555 pour les dossiers, aurai pus vous éviter ces injection de code dans vos page,
                    à votre place je commencerai par ça.
                    ce lien pourrai vous aider davantage
                    http://forum.ovh.com/archive/index.php/t-19263.html
                    Dernière édition par khadimoukoum à 30/10/2011, 17h36
                    Connaitre son ignorance est la meilleure part de la connaissance.

                    Commentaire


                    • #11
                      Re : Piratage sur 1.5.23 réinstallation sur 1.7.3 et injection eval(base64 revenue...

                      Cool... Après avoir un peu sué avec la configuration du fichier htaccess (l'emplacement de réécriture de l'URL étant construite bizarrement), j'ai pu installer avec succès CrawlProtect sur mon site !

                      En tout cas, ca en jette ! Sur le temps que je configurais le truc, j'avais déjà un robot suédois et un américain qui se sont fait piéger

                      Merci pour la suggestion en tout cas.
                      JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
                      Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
                      Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

                      Commentaire

                      Annonce

                      Réduire
                      1 sur 2 < >

                      C'est [Réglé] et on n'en parle plus ?

                      A quoi ça sert ?
                      La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                      Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                      Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                      Comment ajouter la mention [Réglé] à votre discussion ?
                      1 - Aller sur votre discussion et éditer votre premier message :


                      2 - Cliquer sur la liste déroulante Préfixe.

                      3 - Choisir le préfixe [Réglé].


                      4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                      2 sur 2 < >

                      Assistance au forum - Outil de publication d'infos de votre site

                      Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                      Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                      Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                      UTILISER À VOS PROPRES RISQUES :
                      L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                      Problèmes connus :
                      FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                      Installation :

                      1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                      Archive zip : https://github.com/AFUJ/FPA/zipball/master

                      2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                      3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                      4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                      5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                      6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                      et remplacer www. votresite .com par votre nom de domaine


                      Exemples:
                      Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/
                      Pour executer le script: http://www..com/fpa-fr.php

                      Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/cms/
                      Pour executer le script: http://www..com/cms/fpa-fr.php

                      En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                      Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                      Voir plus
                      Voir moins
                      Travaille ...
                      X