Re : Piratage en série de sites Joomla

[Modo]Sujet déplacé dans le forum sécurité.[/Modo]

Re : Piratage en série de sites Joomla

Bonjour,

Joomla 1.5.24 n'est pas à jour, la dernière version de Joomla 1.5 est 1.5.26.
Toutes les extensions (composants, modules, plugins, templates) installées sur tes sites sont-elles à jour?

Re : Piratage en série de sites Joomla

Bonjour,
merci de la réponse.
Oui je suis en train de m'en occuper (màj).
C'est un peu long... car je passe par remettre d'abord une sauvegarde propre avant m-à-j.
Je ne sais pas s'il y a pu y avoir des injections SQL ou des trucs de ce genre: mes connaissances en la matière sont insuffisantes.

Ce qui me surprend, c'est que le pirate a pu remonter dans mon espace d'hébergement, dans des dossiers de sites qui ne sont pas joomla.
Explication:
root (espace hébergement)/
/dossier-site1= joomla 1.5 -> piraté
/dossier-site2= pas de joomla -> piraté
/dossier-site3= pas de joomla -> piraté
/dossier-site5 = joomla 2.5-> RAS (pour le moment)

Je n'ai pas activé la couche ftp de mes joomla: donc pas de mot de passe ftp
Je ne vois pas comment le hacker peut remonter au plus haut niveau de mon espace d'hébergement et se ballader dans mes dossiers, sans passer par une connexion ftp et donc les identifiants nécessaires...
Le problème ne viendrait-il pas d'une faille chez l'hébergeur à ce niveau?
bonne nuit ;-)

Re : Piratage en série de sites Joomla

As tu scanné ton PC ? L'intrusion peut également venir d'ici.

Re : Piratage en série de sites Joomla

Bonjour

Il faudrait vérifier le chmod (=la sécurité des dossiers) afin d'avoir une idée plus précise de l'attaque. En fonction du chmod et du droit d'écriture (owner - group - public), tu pourras mieux cibler ton raisonnemnet. Ainsi, si le dossier n'est accessible en écriture qu'au seul propriétaire, c'est que ton compte a été hacké vu que seul cet utilisateur-là pouvait écrire quelque chose dans les dossiers.

Re : Piratage en série de sites Joomla

Y a pas mal d'infos sur le fichiers configuration.php, ID et mot de passe ftp, idem pour la base de données, ce qui peut expliquer comment il peut remonter plus haut que la racine de ton site.

Re : Piratage en série de sites Joomla

Question bête : tu as un mot de passe particulier pour tes sites, le meme pour tous, un par site ? Est ce que ton identifiant est simple à trouver ? Ton mot de passe est il complexe (genre minuscule, majuscule, chiffres, ..., est ce que c est un mot de passe ou quelque chose qui ne ressemble a rien ??
Enfin, est ce que tu utilises l'ID 62 (je crois, plus sur du chiffre, mais c est l'admin par défaut dans les sites joomla) comme super admin ??

Désolé beaucoup de questions, mais c'est aussi ce genre de détails qui permettent d'un tout petit peu mieux protéger ses sites internet !!

Re : Piratage en série de sites Joomla

pas de prob sur mon PC

Re : Piratage en série de sites Joomla

Merci à tous pour vos aides respectives.
Je réponds tant bien que mal. Ami visuapub: acune question n'est bête quand on essaie d'aider autrui
Je vais me pencher sur le sujet pour mieux connaître ceci.
Pour le moment, j'ai tout viré et fait réinstall avec dernières versions propres. Pas le temps de fouiner.
oui j'avais noté ceci. Comment peut-on sécurisé au maximum ce fichier? Quel CHMOD doit-on lui donner? Perso, je n'active pas la couche ftp -> au moins cette information ne traîne pas...
vivi je sais c'est pas bien de faire assez simple. J'avais quand même fait des combinaisons, mais pas assez tordues manifestement. Tir rectifié
eh oui damn'it.... vu que pour les articles, joojoo ne s'occupe que de l'ID, ta question me fait tilt... plus facile de tenter de cracker un compte admin si on connaît l'ID par défaut, c'est sûr...
Après, comment peut-il obtenir mes identifiants le brave? Bon malgré tout, je vais de ce pas changer ceci...
Pas de souci: toutes ces questions m'aident à me poser les bonnes questions. ça aidera aussi sûrement d'autres

Au passage, mon hébergeur a prétendu que le pirate ne pouvait pas avoir parcouru tous les dossiers de mon espace via ftp. Il prétend que dès lors qu'il a pu squizzer mon compte sur un dossier contenant 1 joomla, il peut tranquillement se balader dans tous mes dossiers root, même sur les sites non joomla.
Ce qui m'étonne grandement... Pour y parvenir, il lui aurait mon code d'accès général de tout mon espace d'hébergement non?

Merci à tous de votre aide

Re : Piratage en série de sites Joomla

un bon conseil au niveau des chmod: 604 pour les dossiers et 505 pour les fichiers.

Re : Piratage en série de sites Joomla

Bonjour le fab, merci du conseil. Besoin d'un petit complément, notamment pour les droits quand on veut installer une extension

Sur ce post, CHMOD et règles générales de sécurité, il y a ces infos:
- 755 pour les dossiers et 644 pour les fichiers
- on y parle aussi de CHMOD pour rendre possible les installations d'extensions (Jcomments par exemple qui demande que des dossiers et fichiers soient en "write permission" - sans préciser le CHMOD ) http://www.joomlatune.com/jcomments-...ion-guide.html.

Où se situe la bonne pratique?

Bisous

Fichiers hackés : Piratage en série de sites Joomla

Pour info à ceux à qui arriverait la même mésaventure
Bien sûr le fichier index.php du site avait été hacké
Mais aussi celui-ci:
modules\mod_acepolls\helper.php
qui est passé de 4 ko à 43 ko, et au passage avait été renommé HeLpeR.php (majuscules) -> il y avait gagné un joli petit virus BackDoor.cf

Je continue mes recherches et si j'en trouve d'autres, je vous informe

bisou

Re : Piratage en série de sites Joomla

Voici un script qui vas scanner ton site et te dire les fichier corrompus:



C'est pas mal du tout j'ai un de mes sites infectes et avec le script j'ai pu trouver la faille de sécurité.

Re : Piratage en série de sites Joomla

Cool,
Merci
je vais tester...