Tester son site coté sécurité

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Tester son site coté sécurité

    Bonjour

    Comment savoir si son site sous joomla est sain.

    Je fais allusion à mon problème "Sécurité : Autre Utilisateur reçoit information enregistrement nouvel utilisateur"

    Soit, j'ai commis une erreur, dans la configuration de l'enregistrement des utilisateurs
    Soit, j'ai peut être été piraté

    Pour moi la situation n'est pas NORMALE

    D'ou ma question, comment savoir si on as pas eté piraté, ou que son site est sain, et qu'il s'agit d'une erreur de configuration

    Quel pluging quel module rentre en ligne de compte lors de l'enregistrement des utilisateurs


    Hervé

    Pour rappel,

    J'ai un problème lors de l'enregistrement d'un nouvel utilisateur.
    Un problème qui pourrait avoir des conséquence sur la sécurité des adresses courriel des inscrits.

    Voici ce qui se passe.

    1 - Je vais sur mon site en ligne, et simule une inscription

    Avant même que l'inscription fictive soit validé par l'utilisateur

    2 - Je reçois sur mon adresse administrateur (Email du site)

    Le message standard suivant :

    Bonjour administrateur,
    Cette notification vous informe de l'inscription sur le site de l'utilisateur 'Richard' avec l'identifiant 'richard-tours'.


    Normal

    MAIS
    Je recois aussi un mail de non distribution


    This message was created automatically by mail delivery software.

    A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:

    undel@mondomaine.fr
    No Such User Here"


    Avec Détails du compte utilisateur de Richard à Besoin aides services à domicile
    Bonjour administrateur,
    Cette notification vous informe de l'inscription sur le site de l'utilisateur 'Richard' avec l'identifiant 'richard-tours'.


    Avec un detail.txt
    Reporting-MTA: dns; turbine.o2switch.net

    Action: failed
    Final-Recipient: rfc822;undel@mondomaine.fr
    Status: 5.0.0



    De PLUS
    Je reçois à mon adresse personnel, le message

    Le message standard suivant :

    Bonjour administrateur,
    Cette notification vous informe de l'inscription sur le site de l'utilisateur 'Richard' avec l'identifiant 'richard-tours'.


    Comme si mon adresse personnel etait l'adresse administrateur


    Précision, je recevait aussi comme undel@mondomaine.fr, sur une autre adresse utilisateur que j'ai supprimer

    undel@mondomaine.fr, a été crée par moi, au mois de juillet, il n'a rien de spécial par rapport à d'autre , pas d'acces special, et il y a eu d'autre adresse créer auparavant et après.


    Mon sentiment, c'est que si je supprime cette adresse mail, rien ne dit que d'autres (et des utilisateurs réels) pourraient obtenir les même information des nouveaux inscrits.

    Je voudrai savoir pourquoi la notification d'un nouvel utilisateur soit envoyé à d'autres adresse que celle de l'administrateur du site.

    Je vous remercie
    Hervé

    Ma configuration : Joomla! 3.9.0 Stable
    Dernière édition par hervefranck à 12/11/2018, 21h03
    Hervé

  • #2
    Question supplémentaire, pour mon information

    Quand un site est piraté,

    Est-ce que les Bases données sont touchées ?

    Dans le doute j'envisage de refaire mon site à zero, mais souhaiterai recuperer mes bases de données
    Hervé

    Commentaire


    • #3
      Bonjour,

      Il n'y a pas lieu de s'inquiéter, par défaut la notification admin se fait à l'inscription.
      Le 2ème e-mail est du généralement à une mauvaise configuration de l'adresse d'expédition.

      Donc revoir les bases du paramétrage de joomla.

      Mon conseil :
      1. Définissez une adresse type no-reply@nomdevotresite.com pour adresse d'expedition (en backend dans menu système / configuration du site / serveur )
      Choisissez une adresse email valide faisant partie du domaine et tester l'envoi d'email.
      2. Votre compte utilisateur superadmin doit être défini avec une adresse spécifique (genre contact ou nom.prenom mais différente de l'adresse d'expedition).
      3. Enfin vérifier que la zone dns de votre nom de domaine contient ce qu'il faut pour valider les mails et ne pas considérer comme spam ( SPF, DKIM et DMARC )

      Perso, j'utilise également l'adresse noreply@... sur tous les sites que je développe avec une gestion des emails de rebonds notamment avec l'extension acymailing.

      Enfin quand un site est piraté, il faut procéder par vérification de l'intégrité du site (fichier par fichier), y compris les bases de données
      mais ce n'est pas certainement pas votre cas.

      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

      Commentaire


      • #4
        Je n'ai jamais rencontré de sites joomla avec du code vérolé (comme injection de javascript) dans des articles. Sur le plan technique cela est évidemment possible mais après plusieurs années de nettoyage de sites web, je n'ai rencontré que des WordPress avec une db atteinte.

        (je ne parle pas bien sur des faux utilisateurs dans la table users, comptes bidons d'utilisateurs enregistrés)
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Tout d'abord merci de ses réponses qui m'orientent un peu mieux.

          daneel j'ai suivi tes 3 conseils à la lettre
          J'ai surtout maintenant une adresse expéditeur différente de l'adresse superadmin que j'avais pas avant
          Et cela me permet d'y voir plus clairement entre adresse expéditeur et adresse administrateur

          j'ai donc adresse d'expedition (en backend dans menu système / configuration du site / serveur ) en noreply@


          J'ai refais une simulation d'un nouvel utilisateur
          Voici ce qui se passe :

          1 - je reçois en noreply@ adresse d'expedition

          This message was created automatically by mail delivery software.

          A message that you sent could not be delivered to one or more of its
          recipients. This is a permanent error. The following address(es) failed:

          prenom @ undemesdomaines.fr
          No Such User Here"

          Reporting-MTA: dns; turbine.o2switch.net

          Action: failed
          Final-Recipient: rfc822; prenom @ undemesdomaines.fr
          Status: 5.0.0
          Objet Détails du compte utilisateur de Nadia à Besoin aides services à domicile
          De Mon adresse expediteur modifié (correcte)
          À prenom@ndemesdomaine.fr
          Date Aujourd'hui 16:58
          Bonjour administrateur,
          Cette notification vous informe de l'inscription sur le site de l'utilisateur 'Nadia' avec l'identifiant 'nadia'.


          2 Je reçois à mon adresse SUPERADMIN

          De Mon adresse expediteur modifié (correcte)
          A mon adresse SUPERADMIN

          Bonjour administrateur,
          Cette notification vous informe de l'inscription sur le site de l'utilisateur 'Nadia' avec l'identifiant 'nadia'.


          Ce 2eme mail est pour moi correct, et devrait être selon moi le seul

          Le 1er mail est envoyé prenom@ndemesdomaine.fr

          prenom @ndemesdomaine.fr
          c'est un utilisateur fictif que j'ai crée en juillet dernier pour faire des tests d'enregistrement

          Je précise cet utilisateur n'a aucun privilégie sur le site
          prenom @ undemesdomaines.fr est composé d'un prénom quelconque sur une de mes adresse nom de domaine qui pointe sur mon domaine
          Mais comme peut être 10 faux profil utilisateur que j'ai créer pour tester à fur et à mesure.


          Mon inquiétude, est de ne pas comprendre pourquoi lui est adressé le message du haut


          Quand au site piraté

          Je crois comprendre cavo789, de ta réponse, c'est que les bases de données peuvent être épargné d'un virus.
          Je précise je n'ai pas de faux profil type spammeur depuis que j'ai mis en place à la création de mon site de juillet, Recaptcha
          Dernière édition par hervefranck à 12/11/2018, 17h29
          Hervé

          Commentaire


          • #6
            ok,

            A un moment donné, tu as effectué une mauvaise manipulation... il y a plusieurs possibilités :

            1 - le faux profil est défini en lien de contact en plus de l'adresse email



            ou ce faux profil est un superadmin

            ou une mauvaise redirection de mail est créé depuis le panneau de gestion (la configuration de messagerie du serveur)

            etc. (il y a d'autres options) Pour moi, tu peux effacer ce faux profil ce qui logiquement devrait supprimer le problème, c'est la solution la plus simple.

            ... dans tous les cas, je pense plus à une erreur qu'un problème de sécurité.
            Dernière édition par daneel à 13/11/2018, 00h06
            Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

            Commentaire


            • #7
              Bonsoir,

              Je prends note de ces remarques.

              D'autant plus qu'après mon dernier message, j'ai fais divers tests :

              En changeant l'adresse courriel de cet utilisateur fictif,
              et m'aperçois que j'ai cette anomalie seulement sur des adresses émail dont le domaine fait l'objet d'une redirection par un enregistrement A (Adresses IP)

              Comme de toute manière, cela ne touche que cette adresse fictive, j'ai du effectivement la lié par une mauvaise manipulation que je me souviens pas.


              Je vous remercie du conseil sur la création spécifique adresse d'expédition différent de l'adresse superadmin
              Une astuce qui permet de voir plus claire à savoir entre qui reçoit quoi

              Je suis vos conseils

              Merci de vos aides.
              Hervé
              Hervé

              Commentaire


              • #8
                Envoyé par hervefranck Voir le message
                Je crois comprendre cavo789, de ta réponse, c'est que les bases de données peuvent être épargné d'un virus.
                Je précise je n'ai pas de faux profil type spammeur depuis que j'ai mis en place à la création de mon site de juillet, Recaptcha
                Sous Joomla, il est impossible de planquer du code PHP dans la base de données; par exemple dans un article. Pas de virus PHP dans la base de données donc.

                La seule probabilité, c'est d'éditer un article et de tenter d'y planquer une balise <script> pour charger un script externe mais il faudrait faire des tests pour voir si Joomla ne va pas bloquer l'ajout de la balise script lors du rendu de l'article et je pense que c'est le cas car, je le mentionne à nouveau, je n'ai jamais rencontré de sites Joomla dont la DB était vérolé.

                Bonne soirée.

                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire

                Annonce

                Réduire
                Aucune annonce pour le moment.

                Partenaire de l'association

                Réduire

                Hébergeur Web PlanetHoster
                Travaille ...
                X