Re : PUT fausse-image.gif

Bonjour, j'ai subit pas mal d'attasue aussi ... en plus de crawlprotect, penches toi sur le chmod a mettre sur tes principaux fichiers et dossiers ... Et arranges toi pour qu'il soit impossible d'ecrire notamment sur ton .htaccess et ton configuration.php ... Ainsi que toutes la partie administrator ... Si en plus tu passes tes mises a jours joomla ca devrait le faire ... En esperant t'avoir aider un peu


Envoyé de mon iPhone à l'aide de Forum Joomla.fr

Re : PUT fausse-image.gif

Bonjour,

visiblement vu ton log, le pirate en question essaie une série de requêtes visant à trouver des failles répertoriées dans des composants Joomla, il semble finir par en trouver une (la dernière dans la liste est le composant image_manager de jce dans sa version 1.5.6.

Es tu à jour dans tes versions de composants ? La dernière version connue de ce composant (justement pour boucher les failles détectées et attaquées par les pirates) est la 2.1.7 un monde vis à vis de la 1.5.6

Première chose à faire (après avoir vérifié ton log : bonne solution et bonne initiative. C'est bien) c'est de vérifier que tes plugins et composants sont à jour, s'ils ne le sont pas : les mettre à jour

Cordialement

Re : PUT fausse-image.gif

Bonjour,

Effectivement, JCE n'est pas à jour. Je ne vais pas actualiser la version car je dispose d'une version joomla3 de mon site (en local) prête à remplacer l'ancienne version.
Je peaufine actuellement, en local, la sécurité du site : remplacement de crawlprotect par aesecure, changement mots de passe, mise en place htaccess et htpassword pour les répertoires administrator, images, ...
Je ne voudrais pas que le nouveau site soit attaqué avant d'avoir mis en oeuvre les sécurités.

C'est pour cela que j'aimerais comprendre comment le pirate a opéré pour mettre en place les contre-attaques qui s'imposent.

Re : PUT fausse-image.gif

Si c'est la dernière ligne de ton log concernant l'affaire tu as la réponse, il a posté l'image via imgmanager (de JCE) en profitant d'une faille qui doit être suffisamment connue pour avoir fait l'objet de nombreux post il y a maintenant 2 ans : http://forum.joomla.org/viewtopic.php?f=432&t=740054

Même si tu as l'intention de migrer en v3+ rapidement je te conseille de boucher cette faille de manière urgente

Cordialement

Re : PUT fausse-image.gif

Pour te rassurer, j'ai désactivé JCE et ses plugins.

Re : PUT fausse-image.gif

Bien, mais ce n'est pas moi qui ai besoin d'être rassuré, je te rappelle !

Re : PUT fausse-image.gif

Bonjour,

PieceOfCake, on admet que c'est grâce à imgmanager de JCE qu'il est parvenu à réaliser son méfait.

J'aimerais néanmoins comprendre plusieurs choses :
1. comment il fait le premier "PUT /fausse-image.gif" (quelle commande il exécute) ?
2. la deuxième ligne "GET /fausse-image.gif" lui sert apparemment à contrôler si son PUT a fonctionné : comment il fait son GET (quelle commande ?)
3. Pourquoi il y a 2 "/" dans "POST //index.php?..." ?
4. Que fait-il quand il fait "GET /" et pourquoi deux fois de suite ?

Re : PUT fausse-image.gif

Bonsoir fynhooft

Je ne sais pas comment il a fait son PUT mais le GET, c'est bêtement un accès url. Si tu fais http://tonsite/fause-image.gif; il y a un GET /fausse-image.gif qui sera émis sur le serveur et donc loggé.

Pour le double-slash, plus que probablement une erreur dans le script de l'attaquant; c'est vraiment négligeable.

Hier nuit, j'ai eu près de mille attaques sur une heure de temps sur mon site. Plusieurs pays, plusieurs continents. Tous en même temps. Et les lignes que je retrouve dans mon log sont sensiblement les mêmes que toi hormis que je n'ai aucun PUT; aucun fichier n'ayant pû être déposé.

Toutes les requêtes de type "exploit" ont été bloquées.

Les requêtes ont tenté d'exploiter une dizaine de composants Joomla (com_jce, com_wrapper, com_maianmedia et d'autres) et une librairie php bien précise (php-ofc-libary).

Ces composants n'étant pas sur mon site et JCE étant à jour, aucune des attaques n'est passée. En outre, en amont, elles sont bloquées par mon firewall qui analyse l'url et la bloque si elle est estimée néfaste. C'est le cas pour toutes les extensions que j'ai listée dans l'option 4.4 "Bloquer l'accès à certains composants de Joomla!" Même si l'extension n'étant pas présente, l'attaque ne peut avoir lieu, cela me permet de logger les attaques, les IPs, envoyer un mail de notification et surtout les urls utilisées pour peaufiner ma protection ensuite.

Pour com_jce, j'avais bloqué l'upload (il faut bloquer par .htaccess une url avec ceci "option=com_jce&task=plugin&plugin=imgmanager" ).

Ces attaques ont donc toutes été refoulées et logguées.

Une des protections de base; c'est d'avoir un site à jour et des extensions à jour (principalement JCE qui a été une porte d'entrée l'année passée) et garder sous contrôle tout qui peut uploader un fichier (mais là, cela demande du suivi et du paramétrage).

Bonne soirée à tous.

Re : PUT fausse-image.gif

Bonjour,

Merci, au papa de aeSecure, pour la réponse détaillée. Tu as néanmoins oublié de répondre à la question N°4 : Que fait-il quand il fait "GET /" et pourquoi deux fois de suite ?

Pourrais-tu, s'il te plaît, préciser les lignes que tu rajoutes quand tu dis :
Merci d'avance.

Re : PUT fausse-image.gif

Bonsoir

GET = le gars accède à ton site; ton url.
/ = il n'a rien mis

==> il a juste fait http://tonsite.fr et c'est tout.


Pour bloquer une url, j'ai quelque chose comme ceci (non testé à l'instant)

(Note que j'ai développé cette fonction ce matin même dans aeSecure; future option 1.6. Elle sera dispo dans la prochaine version 1.2.2; qui sortira dans quelques semaines)

Note que je bloque donc le plugin imgmanager de JCE avec cette ligne. Donc, pour uploader des images; il ne faudra plus le faire via JCE mais par FTP ou autre moyen. C'est une protection un peu "extrême" puisque bloquant une fonctionnalité utilisée par les auteurs qui uploade, depuis JCE, des images.

Bonne soirée.

Re : PUT fausse-image.gif

Bonsoir,

Merci pour les compléments. As-tu connaissance d'un site qui explique le décodage des logs (on trouve beaucoup sur htaccess mais peu sur comment interpréter les logs) ?

Content d'avoir, apparemment, fait avancé aeSecure.

Pour bloquer la requête, ne pourrait-on pas mettre ceci :
Pour moi, l'avantage de JCE par rapport à TinyMCE, c'est, justement, le chargement des images.
Parmi tous les éditeurs pour Joomla, n'y a-t-il pas un autre éditeur aussi efficace (et sans les failles) ?

Re : PUT fausse-image.gif

Oups, j'ai écris REQUEST_URI mais c'est évidemment QUERY_STRING qu'il faut utiliser.

Sinon, JCE est le meilleur je pense. La faille a été corrigée depuis longtemps. Il faut "juste" que les webmasters soient un peu plus "aware" : la programmation d'un site est le début d'une longue histoire que l'on entretient en le mettant à jour; pas seulement le contenu mais aussi les logiciels qui y tournent.

(désolé, si j'ai développé une nouvelle option aujourd'hui, c'est parce que mon site a été victime d'une armée de zombies et que j'ai profité de cette "occasion" pour analyser les logs et accroître les fonctionnalités d'aeSecure).

Bonne soirée.

Re : PUT fausse-image.gif

Parmi les différentes méthodes (verbes) connus par HTTP (il y en a d'autres connus pour FTP par exemple), il y a en écriture PUT et POST et en lecture GET.

PUT ne peut pas être envoyé comme ça par une commande manuelle, il faut écrire du code XMLHTTP par exemple reconnaît nativement PUT POST et SEND pour envoyer des bytes (dans le sens le plus basique du terme) du client vers le serveur, connaître précisément la méthode employée ne nous avance pas, la seule chose qui compte c'est qu'il a bombardée (au sens propre comme au sens figuré), tout un tas d'adresses IP et que la tienne a laissé passé une des commandes (parmi les centaines probablement) qu'il avait programmé.

Rien d'intelligent la de dans que de la force brute et bête que dans le tas il y ait deux GET à se suivre ne doit pas particulièrement nous détourner de la vraie chose intéressante : l'empêcher de recommencer. Tu connais la méthode, mettre ton site et ses composants à jour pour commencer, utiliser des outils efficaces ensuite (ou en même temps)

Bon courage

Re : PUT fausse-image.gif

Pour info, je viens de prendre le temps de tester les règles et celles-ci fonctionnent parfaitement :

[code]
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING} (option=com_jce&task=plugin)(.*)$ [NC]
RewriteRule .* - [L,R=403]
</IfModule>

Ce faisant, je bloque, par url, l'accès aux plugins de JCE.

En regardant plus en détail mes logs, je vois que j'ai eu 1.644 attaques (POST) sur cette seule ligne url ces deux dernières semaines et à s'ensuit immédiatement des tentatives d'exploitation du fichier qui aurait été uploadé (GET pour un fichier food.php avec comme querystring ?rf). Aucune des attaques n'est passée.