Re : piratage joomla suite faille dans fichier includes/framework.php.

Celeonet indique également que ces fichiers auraient été modifiés

2016-02-22 07:31:02.358702662 +0100 ./includes/framework.php
2016-02-23 08:37:49.952701926 +0100 ./modules/mod_feed/tmpl/mod_feed.php
2016-02-23 08:37:49.967702541 +0100 ./components/com_content/helpers/helpers.php
2016-02-24 19:04:29.877702081 +0100 ./cache/widgetkit/widgetkit-b0f37047.css
2016-02-24 19:04:30.022702830 +0100 ./cache/widgetkit/widgetkit-be673286.js
2016-02-24 19:05:01.633702694 +0100 ./configuration.php
2016-02-25 09:50:37.670702954 +0100 ./logs/error.php

Re : piratage joomla suite faille dans fichier includes/framework.php.

Le même code a été signalé ce jour par un autre membre, sur un site 1.5, apparaissant sur le site même.
J'ai donc quelques doutes sur la notion de "faille Joomla!" concernant ce fichier framework.php, pensant plutôt à la simple utilisation de ce fichier par les pirates.
Attendons l'avis des pros de la sécurité.

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour,

Je peux assurer que je viens de faire le test à savoir supprimer les dernières lignes et le site refonctionne parfaitement

Re : piratage joomla suite faille dans fichier includes/framework.php.

Ce qui ne veut pas dire qu'il s'agit d'une faille de Joomla! portant sur ce fichier (d'autant que d'autres t'ont été signalés comme également touchés).
Tu as certainement un fichier caché quelque part qui régénère ce code.

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour

Ton hébergeur peut-il ne pas crier au loup mais donner un peu plus d'éléments factuels ?

"Mon PC contient un virus; c'est la faute à Windows", c'est un peu simpliste non ?

Quelle est ta version de Joomla ? Version de php ? Est-ce que tu utilises des mots de passe fort ? As-tu des extensions à jour ou qui n'ont plus été maintenues depuis longtemps ? etc.

Je ne puis que te proposer de restaurer une version propre de ton site ou de le nettoyer...

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour.
ma version de joomla a toujours été la dernière et mise à jour au fil de l'eau
php 5.6

Ce que je dis c'est que le 20/01/2016 j'ai transmis un site joomla sur celeonet avec le dernière version de l'époque qui a fonctionné parfaitement jusqu'à hier où je me suis aperçu que mon site n'était plus accessible, qu'il bouclait pour finir par le message:
Gateway Time-out
The gateway did not receive a timely response from the upstream server or application.
Apache Server at www.audfray.com Port 80

j'ai donc contacté celeonet qui m'a répondu ce que j'ai indiqué dans mon 1er message

J'ai regardé ce matin en local le fichier ../includes/framework.php que j'ai envoyé à l'époque et qui contient 104 lignes et qui se terminent par
// System profiler
if (JDEBUG)
{
$_PROFILER = JProfiler::getInstance('Application');
}

Ensuite j'ai regardé dans le fichier se trouvant sur celeonet et effectivement des lignes supplémentaires y figurent (celles que j'ai indiqué dans mon message précédent)
CE N'EST PAS MOI QUI LES AI AJOUTE A LA MAIN

J'ai supprimé ces lignes en renvoyant le fichier original joomla de framework et le site refonctionne correctement.

Donc quand celeonet indique "C'est un piratage que nous avons constaté plusieurs fois cette semaine, exploitant une faille de Joomla ", qu'ils en donnent la raison, qu'elle s'avère exacte, on peut peut-être regarder ce qu'ils disent.

Donc avant de m'agresser et de me demander de RESTAURER UN SITE PROPRE est-ce que vous avez au moins vérifier votre fichier framework.

Maintenant moi je vous ai transmis cette info pour vous aider vous la prenez ou pas à vous de voir.

Et puis le plus simple vous prenez contact avec celeonet (08.99.70.63.65 ) et vous discutez entre spécialistes ça ira plus vite.

Cordialement.

Re : piratage joomla suite faille dans fichier includes/framework.php.

@ObibiKenowan : si le message que j'ai écris plus haut t'a choqué / heurté / ... désolé, ce n'était pas le but. Peut-être le style de mon message était défaillant reste que sur le contenu, je ne dirai pas autre chose.

C'est tellement simple d'incriminer "C'est la faute à ...".

Je n'insinue pas que tu ais ajouté ces lignes et je ne nie pas le hack; je réfute juste "C'est la faute à Joomla" parce que cela pourrait, peut-être, pourquoi pas être la faute à Voltaire aussi.

Si Celeonet a trouvé une faille dans Joomla dernière version (tu ne dis pas si tu es en J1.5 dernière version, 2.5 ou 3.4.8) et si c'est 1.5/2.5 tu ne dis pas non plus si tu as mis à jour le fichier session.php publié le 24 décembre.

Donc, si Celeonet a trouvé une faille dans Joomla 3.4.8, si l'hébergeur peut isoler la faille, alors les utilisateurs de Joomla lui seront reconnaissant de prendre contact avec l'équipe adhoc https://developer.joomla.org/contact-security-team.html

Pour ton problème Obibi Kenowan : soit tu as une bestiole ailleurs sur ton site qui a causé l'injection de code d'où ma proposition de remonter un site qui était propre soit, on peut encore imaginer "C'est la faute à Celeonet" qui n'isolerait pas des sites hébergés sur le même serveur. On pourrait aussi l'imaginer non? puisque, comme par hasard, ils ont constaté ce hack sur plusieurs sites sur leur propre serveur. Points communs ? Joomla et ... Celeonet.

[EDIT] Je me relis et je préfère préciser que, ci-dessus, c'était plus un clin d'oeil qu'autre chose : en principe, un hébergeur isole, strictement, chaque client et donc, le site du client A ne peut pas aller contaminer ceux du client B. [/EDIT]

Je ne veux pas être agressif; ne vois pas ma réaction comme cela.

Je te souhaite que ton site est maintenant sain et qu'il ne connaîtra plus d'injection de code.

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour

J'ai 3 sites chez Celeonet, je n'ai rien reçu (pour l'instant).

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour,

Comme les autres, utilisant Joomla! depuis longtemps, je n'ai jamais eu ce genre d'intrusion (ni avec J!3.4.8, ni avec les précédentes).

Par contre, il faut savoir que TOUTES les versions de PHP avant PHP 5.4.45, 5.5.29, 5.6.13 ont une faille grave dans les méthodes de sérialiasation/désérialisation. https://bugs.php.net/bug.php?id=70219

La version de Joomla!3.4.8 a justement modifié sa gestion de sessions pour être moins sensible à ce bug. Mais, en environnement mutualisé, avec une version de PHP antérieure à celles citées, il suffit d'une intrusion via un autre site hébergé, pas nécessairement Joomla! (ou alors un Joomla! pas à jour), mais WordPress, Coppermine, ou tout autre CMS ou applicatif utilisant la gestion native des sessions PHP, pour qu'un simple script injecté en session puisse altérer de manière aléatoire d'autres sites.

La faille ne provient pas de Joomla! lui-même, mais soit d'une extension tierce pas à jour, soit d'une version de PHP non mise à jour.

Re : piratage joomla suite faille dans fichier includes/framework.php.

Oui, c'est pour cela que je parlais d'isolation des utilisateurs et des sites. J'ai quand même des doutes qu'aujourd'hui, avec des hébergeurs sérieux, cela puisse encore être le cas càd qu'un site d'un utilisateur A puis venir contaminer le site d'un autre utilisateur.

Mais oui, le site 1 de l'utilisateur A peut venir contaminer le site 2 du même utilisateur, ça, c'est bien plus courant et bien plus aisé à faire en php.

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour.

Déjà pour situer. En local j'utilise WampServer Version 2.5 (Apache : 2.4.9 MySQL : 5.6.17 PHP : 5.5.12 PHPMyAdmin : 4.1.14 SqlBuddy : 1.3.3 XDebug : 2.2.5)
mon site en local est en joomla 3.4.8.

Quand je lance mon site en local j'ai le message
----------------
( ! ) Notice: Undefined index: HTTP_X_FORWARDED_FOR in C:\wamp\www\ap1602\includes\framework.php on line 13
Call Stack
# Time Memory Function Location
1 0.0000 138976 {main}( ) ..\index.php:0
2 0.0010 155744 require_once( 'C:\wamp\www\ap1602\includes\framework.php' ) ..\index.php:36
---------------
la ligne 13 est la suivante

if(preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_USER_AGENT']) || preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_X_FORWARDED_FOR'])) die();

Je signale ce message car il concerne le fameux fichier /include/framework qui faisait planter mon site hier à cause de lignes insérées à la fin.

Je répète je ne connais rien à la programmation et donc les infos que je remonte n'ont peut-être aucun rapport avec le problème. c'est juste pour aider au cas où .

Re : piratage joomla suite faille dans fichier includes/framework.php.

Ton fichier local a été piraté : sur le fichier standard, la ligne 13 est vide.

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour.

exact. je viens de récupérer un joomla 3.4.8 et cette ligne n'existe pas.

sur la bonne version on a:

defined('_JEXEC') or die;

// Joomla system checks.
@ini_set('magic_quotes_runtime', 0);


sur la version piraté on a
defined('_JEXEC') or die;



if(preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_USER_AGENT']) || preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_X_FORWARDED_FOR'])) die();

// Joomla system checks.
@ini_set('magic_quotes_runtime', 0);

Ce site local est une sauvegarde de mon site en ligne.
J'ai donc récupéré ce fichier framework piraté (que se soit d'une faiblesse joomla ou pas ) se trouvant sur le serveur celeonet.

J'ai écrasé mon fichier framework par celui de joomla est tout est ok

Pour information:
Dans le repertoire includes de joomla il y a également le fichier defines.php
Dans celui récupéré du serveur j'ai également des lignes en plus en ligne 26/27

//Warning: CVE-2015-8562 security fix https://docs.joomla.org/Security_hot...a_EOL_versions
if(strpos(@implode($_SERVER),"O:")){die("Hacking attempt!");}

si cela vous dit quelque chose .....

Re : piratage joomla suite faille dans fichier includes/framework.php.

Bonjour

Ton site local est-il la copie d ton site distant ? Est-ce cette version que tu as transféré en local ou le contraire ?
Si ton site local a été piraté, ça vaut dire qu'il est accessible de l'extérieur ou que tu utilises une extensions vérolée.
- Est-ce que tu as mis un mot de passe à l’utilisateur "root" ?
- Est-ce que Wampserver est interdit au connexions entrante ?