PUT fausse-image.gif

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] PUT fausse-image.gif

    Bonjour,

    Bien que mon site soit protégé par CrawlProtect, un méchant pirate est parvenu à déposer un fichier "fausse-image.gif" dans le dossier "www" de mon site.
    Ce fichier est, en fait, un fichier php qui contient la signature du pirate.
    Si je détruis ce fichier, il réapparait quelques jours plus tard.
    J'ai regardé dans les "logs" et voici ce que fait le pirate :
    Code:
    PUT /fausse-image.gif HTTP/1.1
    GET /fausse-image.gif HTTP/1.1
    GET /components/com_jnews/includes/openflashchart/php-ofc-libary/ofc_upload_image.php?name=a HTTP/1.1
    GET /administrator/components/com_acymailing/inc/openflash/php-ofc-libary/ofc_upload_image.php?name=a HTTP/1.1
    GET /components/com_community/index.html HTTP/1.
    GET /components/com_oziogallery/imagin/scripts_ralcr/filesystem/writeToFile.php HTTP/1.1
    GET /components/com_oziogallery2/imagin/scripts_ralcr/filesystem/writeToFile.php HTTP/1.1
    GET /index.php?option=com_jce&task=plugin=imgmanager&file=imgmanager&method=form&action=upload HTTP/1.1
    POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&action=upload HTTP/1.1
    GET /images/stories/image2.gif HTTP/1.1
    POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&action=upload HTTP/1.1
    GET /images/stories/image2.gif HTTP/1.1
    POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&action=upload HTTP/1.1
    GET /images/image2.gif HTTP/1.1
    POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&action=upload HTTP/1.1
    POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=156&format=raw HTTP/1.1
    GET /images/image2.php HTTP/1.1
    GET /image2.php HTTP/1.1
    POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&action=upload HTTP/1.1
    POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=156&format=raw HTTP/1.1
    GET /image2.php HTTP/1.1
    GET / HTTP/1.1
    GET / HTTP/1.1
    GET /fausse-image.htm HTTP/1.1
    N'étant pas un spécialiste sécurité, j'ai compris qu'il envoie son fichier puis il teste sa présence. Si il est présent, il teste en série la présence de certains composants.
    Quand il a trouvé JCE, il l'exploite pour transformer son image en un fichier html.

    Je dois bientôt faire la mise à jour de mon site avec Joomla 3. Afin d'éviter le même souci, j'aimerais comprendre comment le pirate parvient à déposer son fichier malgré les protections.
    Que tape-t-il dans la barre d'adresse de son navigateur pour faire son "PUT fausse-image.gif" ?
    Fait-il un transfert par FTP (donc connaissance du mot de passe) ?

    Comment éviter ce genre d'attaque à l'avenir ?
    GIMPons.net : http://www.GIMPons.net = plus de 1000 tutoriels sur GIMP , plus d'un millier d'images pour expliquer les filtres de GIMP.
    Le terrier de Fynhooft : http://patrick.gauwin.free.fr
    Le CSE d'Hazebrouck : http://www.csehazebrouck.fr

  • #2
    Re : PUT fausse-image.gif

    Bonjour, j'ai subit pas mal d'attasue aussi ... en plus de crawlprotect, penches toi sur le chmod a mettre sur tes principaux fichiers et dossiers ... Et arranges toi pour qu'il soit impossible d'ecrire notamment sur ton .htaccess et ton configuration.php ... Ainsi que toutes la partie administrator ... Si en plus tu passes tes mises a jours joomla ca devrait le faire ... En esperant t'avoir aider un peu


    Envoyé de mon iPhone à l'aide de Forum Joomla.fr

    Commentaire


    • #3
      Re : PUT fausse-image.gif

      Bonjour,

      visiblement vu ton log, le pirate en question essaie une série de requêtes visant à trouver des failles répertoriées dans des composants Joomla, il semble finir par en trouver une (la dernière dans la liste est le composant image_manager de jce dans sa version 1.5.6.

      Es tu à jour dans tes versions de composants ? La dernière version connue de ce composant (justement pour boucher les failles détectées et attaquées par les pirates) est la 2.1.7 un monde vis à vis de la 1.5.6

      Première chose à faire (après avoir vérifié ton log : bonne solution et bonne initiative. C'est bien) c'est de vérifier que tes plugins et composants sont à jour, s'ils ne le sont pas : les mettre à jour

      Cordialement
      Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

      Commentaire


      • #4
        Re : PUT fausse-image.gif

        Bonjour,

        Effectivement, JCE n'est pas à jour. Je ne vais pas actualiser la version car je dispose d'une version joomla3 de mon site (en local) prête à remplacer l'ancienne version.
        Je peaufine actuellement, en local, la sécurité du site : remplacement de crawlprotect par aesecure, changement mots de passe, mise en place htaccess et htpassword pour les répertoires administrator, images, ...
        Je ne voudrais pas que le nouveau site soit attaqué avant d'avoir mis en oeuvre les sécurités.

        C'est pour cela que j'aimerais comprendre comment le pirate a opéré pour mettre en place les contre-attaques qui s'imposent.
        GIMPons.net : http://www.GIMPons.net = plus de 1000 tutoriels sur GIMP , plus d'un millier d'images pour expliquer les filtres de GIMP.
        Le terrier de Fynhooft : http://patrick.gauwin.free.fr
        Le CSE d'Hazebrouck : http://www.csehazebrouck.fr

        Commentaire


        • #5
          Re : PUT fausse-image.gif

          POST /index.php?option=com_jce&task=plugin&plugin=imgman ager&file=imgmanager&version=156&format=raw HTTP/1.1
          GET /image2.php HTTP/1.1
          GET / HTTP/1.1
          GET / HTTP/1.1
          GET /fausse-image.htm HTTP/1.1
          Si c'est la dernière ligne de ton log concernant l'affaire tu as la réponse, il a posté l'image via imgmanager (de JCE) en profitant d'une faille qui doit être suffisamment connue pour avoir fait l'objet de nombreux post il y a maintenant 2 ans : http://forum.joomla.org/viewtopic.php?f=432&t=740054

          Même si tu as l'intention de migrer en v3+ rapidement je te conseille de boucher cette faille de manière urgente

          Cordialement
          Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

          Commentaire


          • #6
            Re : PUT fausse-image.gif

            Envoyé par PieceOfCake Voir le message
            Même si tu as l'intention de migrer en v3+ rapidement je te conseille de boucher cette faille de manière urgente
            Pour te rassurer, j'ai désactivé JCE et ses plugins.
            GIMPons.net : http://www.GIMPons.net = plus de 1000 tutoriels sur GIMP , plus d'un millier d'images pour expliquer les filtres de GIMP.
            Le terrier de Fynhooft : http://patrick.gauwin.free.fr
            Le CSE d'Hazebrouck : http://www.csehazebrouck.fr

            Commentaire


            • #7
              Re : PUT fausse-image.gif

              Envoyé par fynhooft Voir le message
              Pour te rassurer, j'ai désactivé JCE et ses plugins.
              Bien, mais ce n'est pas moi qui ai besoin d'être rassuré, je te rappelle !

              Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

              Commentaire


              • #8
                Re : PUT fausse-image.gif

                Bonjour,

                Envoyé par PieceOfCake Voir le message
                il a posté l'image via imgmanager (de JCE) en profitant d'une faille
                PieceOfCake, on admet que c'est grâce à imgmanager de JCE qu'il est parvenu à réaliser son méfait.

                J'aimerais néanmoins comprendre plusieurs choses :
                1. comment il fait le premier "PUT /fausse-image.gif" (quelle commande il exécute) ?
                2. la deuxième ligne "GET /fausse-image.gif" lui sert apparemment à contrôler si son PUT a fonctionné : comment il fait son GET (quelle commande ?)
                3. Pourquoi il y a 2 "/" dans "POST //index.php?..." ?
                4. Que fait-il quand il fait "GET /" et pourquoi deux fois de suite ?
                GIMPons.net : http://www.GIMPons.net = plus de 1000 tutoriels sur GIMP , plus d'un millier d'images pour expliquer les filtres de GIMP.
                Le terrier de Fynhooft : http://patrick.gauwin.free.fr
                Le CSE d'Hazebrouck : http://www.csehazebrouck.fr

                Commentaire


                • #9
                  Re : PUT fausse-image.gif

                  Bonsoir fynhooft

                  Envoyé par fynhooft Voir le message
                  PieceOfCake, on admet que c'est grâce à imgmanager de JCE qu'il est parvenu à réaliser son méfait.

                  J'aimerais néanmoins comprendre plusieurs choses :
                  1. comment il fait le premier "PUT /fausse-image.gif" (quelle commande il exécute) ?
                  2. la deuxième ligne "GET /fausse-image.gif" lui sert apparemment à contrôler si son PUT a fonctionné : comment il fait son GET (quelle commande ?)
                  3. Pourquoi il y a 2 "/" dans "POST //index.php?..." ?
                  4. Que fait-il quand il fait "GET /" et pourquoi deux fois de suite ?
                  Je ne sais pas comment il a fait son PUT mais le GET, c'est bêtement un accès url. Si tu fais http://tonsite/fause-image.gif; il y a un GET /fausse-image.gif qui sera émis sur le serveur et donc loggé.

                  Pour le double-slash, plus que probablement une erreur dans le script de l'attaquant; c'est vraiment négligeable.

                  Hier nuit, j'ai eu près de mille attaques sur une heure de temps sur mon site. Plusieurs pays, plusieurs continents. Tous en même temps. Et les lignes que je retrouve dans mon log sont sensiblement les mêmes que toi hormis que je n'ai aucun PUT; aucun fichier n'ayant pû être déposé.

                  Toutes les requêtes de type "exploit" ont été bloquées.

                  Les requêtes ont tenté d'exploiter une dizaine de composants Joomla (com_jce, com_wrapper, com_maianmedia et d'autres) et une librairie php bien précise (php-ofc-libary).

                  Ces composants n'étant pas sur mon site et JCE étant à jour, aucune des attaques n'est passée. En outre, en amont, elles sont bloquées par mon firewall qui analyse l'url et la bloque si elle est estimée néfaste. C'est le cas pour toutes les extensions que j'ai listée dans l'option 4.4 "Bloquer l'accès à certains composants de Joomla!" Même si l'extension n'étant pas présente, l'attaque ne peut avoir lieu, cela me permet de logger les attaques, les IPs, envoyer un mail de notification et surtout les urls utilisées pour peaufiner ma protection ensuite.

                  Pour com_jce, j'avais bloqué l'upload (il faut bloquer par .htaccess une url avec ceci "option=com_jce&task=plugin&plugin=imgmanager" ).

                  Ces attaques ont donc toutes été refoulées et logguées.

                  Une des protections de base; c'est d'avoir un site à jour et des extensions à jour (principalement JCE qui a été une porte d'entrée l'année passée) et garder sous contrôle tout qui peut uploader un fichier (mais là, cela demande du suivi et du paramétrage).

                  Bonne soirée à tous.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : PUT fausse-image.gif

                    Bonjour,

                    Merci, au papa de aeSecure, pour la réponse détaillée. Tu as néanmoins oublié de répondre à la question N°4 : Que fait-il quand il fait "GET /" et pourquoi deux fois de suite ?

                    Pourrais-tu, s'il te plaît, préciser les lignes que tu rajoutes quand tu dis :
                    Envoyé par cavo789 Voir le message
                    il faut bloquer par .htaccess une url avec ceci "option=com_jce&task=plugin&plugin=imgmanager" .
                    Merci d'avance.
                    GIMPons.net : http://www.GIMPons.net = plus de 1000 tutoriels sur GIMP , plus d'un millier d'images pour expliquer les filtres de GIMP.
                    Le terrier de Fynhooft : http://patrick.gauwin.free.fr
                    Le CSE d'Hazebrouck : http://www.csehazebrouck.fr

                    Commentaire


                    • #11
                      Re : PUT fausse-image.gif

                      Bonsoir

                      GET = le gars accède à ton site; ton url.
                      / = il n'a rien mis

                      ==> il a juste fait http://tonsite.fr et c'est tout.


                      Pour bloquer une url, j'ai quelque chose comme ceci (non testé à l'instant)

                      Code:
                      RewriteCond %{REQUEST_URI} option=com_jce&task=plugin&plugin=imgmanager(.*)$ [NC]
                      RewriteRule .* - [R=403,L]
                      (Note que j'ai développé cette fonction ce matin même dans aeSecure; future option 1.6. Elle sera dispo dans la prochaine version 1.2.2; qui sortira dans quelques semaines)

                      Note que je bloque donc le plugin imgmanager de JCE avec cette ligne. Donc, pour uploader des images; il ne faudra plus le faire via JCE mais par FTP ou autre moyen. C'est une protection un peu "extrême" puisque bloquant une fonctionnalité utilisée par les auteurs qui uploade, depuis JCE, des images.

                      Bonne soirée.
                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire


                      • #12
                        Re : PUT fausse-image.gif

                        Bonsoir,

                        Merci pour les compléments. As-tu connaissance d'un site qui explique le décodage des logs (on trouve beaucoup sur htaccess mais peu sur comment interpréter les logs) ?

                        Content d'avoir, apparemment, fait avancé aeSecure.

                        Pour bloquer la requête, ne pourrait-on pas mettre ceci :
                        Code:
                        RewriteCond %{QUERY_STRING} ^.*(option=com_jce&task=plugin&plugin=imgmanager)(.*)$ [NC]
                        RewriteRule ^.* - [F,L]
                        Envoyé par cavo789 Voir le message
                        C'est une protection un peu "extrême" puisque bloquant une fonctionnalité utilisée par les auteurs qui uploade, depuis JCE, des images.
                        Pour moi, l'avantage de JCE par rapport à TinyMCE, c'est, justement, le chargement des images.
                        Parmi tous les éditeurs pour Joomla, n'y a-t-il pas un autre éditeur aussi efficace (et sans les failles) ?
                        GIMPons.net : http://www.GIMPons.net = plus de 1000 tutoriels sur GIMP , plus d'un millier d'images pour expliquer les filtres de GIMP.
                        Le terrier de Fynhooft : http://patrick.gauwin.free.fr
                        Le CSE d'Hazebrouck : http://www.csehazebrouck.fr

                        Commentaire


                        • #13
                          Re : PUT fausse-image.gif

                          Envoyé par fynhooft Voir le message
                          Pour bloquer la requête, ne pourrait-on pas mettre ceci :
                          Code:
                          RewriteCond %{QUERY_STRING} ^.*(option=com_jce&task=plugin&plugin=imgmanager)(.*)$ [NC]
                          RewriteRule ^.* - [F,L]
                          Oups, j'ai écris REQUEST_URI mais c'est évidemment QUERY_STRING qu'il faut utiliser.

                          Sinon, JCE est le meilleur je pense. La faille a été corrigée depuis longtemps. Il faut "juste" que les webmasters soient un peu plus "aware" : la programmation d'un site est le début d'une longue histoire que l'on entretient en le mettant à jour; pas seulement le contenu mais aussi les logiciels qui y tournent.

                          (désolé, si j'ai développé une nouvelle option aujourd'hui, c'est parce que mon site a été victime d'une armée de zombies et que j'ai profité de cette "occasion" pour analyser les logs et accroître les fonctionnalités d'aeSecure).

                          Bonne soirée.
                          Christophe (cavo789)
                          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                          Commentaire


                          • #14
                            Re : PUT fausse-image.gif

                            Parmi les différentes méthodes (verbes) connus par HTTP (il y en a d'autres connus pour FTP par exemple), il y a en écriture PUT et POST et en lecture GET.

                            PUT ne peut pas être envoyé comme ça par une commande manuelle, il faut écrire du code XMLHTTP par exemple reconnaît nativement PUT POST et SEND pour envoyer des bytes (dans le sens le plus basique du terme) du client vers le serveur, connaître précisément la méthode employée ne nous avance pas, la seule chose qui compte c'est qu'il a bombardée (au sens propre comme au sens figuré), tout un tas d'adresses IP et que la tienne a laissé passé une des commandes (parmi les centaines probablement) qu'il avait programmé.

                            Rien d'intelligent la de dans que de la force brute et bête que dans le tas il y ait deux GET à se suivre ne doit pas particulièrement nous détourner de la vraie chose intéressante : l'empêcher de recommencer. Tu connais la méthode, mettre ton site et ses composants à jour pour commencer, utiliser des outils efficaces ensuite (ou en même temps)

                            Bon courage
                            Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

                            Commentaire


                            • #15
                              Re : PUT fausse-image.gif

                              Pour info, je viens de prendre le temps de tester les règles et celles-ci fonctionnent parfaitement :

                              [code]
                              <IfModule mod_rewrite.c>
                              RewriteEngine On
                              RewriteCond %{QUERY_STRING} (option=com_jce&task=plugin)(.*)$ [NC]
                              RewriteRule .* - [L,R=403]
                              </IfModule>

                              Ce faisant, je bloque, par url, l'accès aux plugins de JCE.

                              En regardant plus en détail mes logs, je vois que j'ai eu 1.644 attaques (POST) sur cette seule ligne url ces deux dernières semaines et à s'ensuit immédiatement des tentatives d'exploitation du fichier qui aurait été uploadé (GET pour un fichier food.php avec comme querystring ?rf). Aucune des attaques n'est passée.
                              Christophe (cavo789)
                              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X