Re : Site hacké: injection de code dans les articles

Bonjour

As-tu vérifié si tu as des admins qui te sont inconnus et qui auraient donc profité d'une récente faille, avant que tu ne passes en 3.6.5 ?

De mon expérience, 99% des hacks sont dans les fichiers de Joomla et (jamais) rarement au niveau des articles. Si cela t'est arrivé, je suspecte donc un admin qui est donc un pirate. Cela étant, il ne faut pas avoir un compte admin pour pirater la base de données puisque toutes les infos de connexion sont disponible au niveau des fichiers.

Dans ton cas, vu que la DB est touchée, il te faut obligatoirement remonter un backup récent et sain et protéger ton site.

Si tu n'as pas de backup sain, il faudra nettoyer la base de données. Cela peut être fait p.ex. en téléchargeant la base de données au format .sql et en nettoyant la saleté à coup d'expressions régulières.

Le plus simple étant donc le restore.

Re : Site hacké: injection de code dans les articles

Bonjour,

Nous sommes une petite structure, nous avons 2 comptes Super Utilisateur (l'administrateur réseau et moi même) ainsi qu'un compte pour le service communication qui gère l'intégralité des articles. (tous les droits sauf super Utilisateur).
J'avais déjà au préalable remarqué des injections d'utilisateurs et j'ai fait en sorte de supprimer l'accès au formulaire d'inscription et de passer les nouveaux utilisateurs en inactif, mais depuis 6 mois je n'ai plus eu de problème d'utilisateurs créent à la sauvage.
Donc je ne pense pas que cela puisse venir d'un utilisateur interne frauduleux.


Nous avons remarqué un fichier suspect dont une adresse russe y accède depuis l'extérieur, il se nomme : "javascript.php"
Il se situe dans le "modules/mod_wrapper" et dans le dossier "images", son contenu est plus que suspect, et on soupçonne que l'origine de notre hack soit en parti dû à lui. Apparemment crée le 22/12/2016 pour le premier et le 28/11/2016 pour le second.
Impossible d'afficher le contenu via un bloc note / N++ etc... Mon administrateur réseau à pu l'ouvrir et on comprend bien que c'est une source polluante.
Dans le fichier "Images", j'ai un second fichier "nordwest.php" avec du code scripté et j'ai pu trouvé ce lien qui en parle : http://security.stackexchange.com/qu...cript-analysis


Notre enquête avance mais je ne comprend pas ce qu'est ce mod_wrapper, sauf erreur de ma part je n'ai rien installé de la sorte. Sachant qu'on a refait le site en 2015 et en partant sur une version 3 propre :/

Peux-tu me dire ce qu'est un "p.ex" , j'ai pas vraiment compris ce point ?

Merci encore !

Re : Site hacké: injection de code dans les articles

Abbréviation pour "par exemple", tout simplement.

Sinon avant de remonter une sauvegarde teste la en local. Ça te permettra d'être sûr de sa qualité.

Re : Site hacké: injection de code dans les articles

mouarf ! Merci

Oui on a 2 autres serveurs (QUAL et TEST) sur lesquels on va travailler avant de monter en production...

Re : Site hacké: injection de code dans les articles

Que le hack soit dans le dossier mod_wrapper n'a aucune espère d'importance... Les fichiers php vérolés (ayant été ajouté ou ayant été modifié) sont dans des dossiers "au petit bonheur la chance". L'emplacement exact est vraiment non significatif.

Quand les fichiers sont dans /images ou /media, une parade serait d'interdire l'exécution de code .php dans ces dossiers-là. Cela peut se faire avec un fichier nommé .htaccess. Les logiciels de sécurité mettent en place de telles protections.

Quand le hack survient dans un fichier ailleurs (p.ex. /templates/tontemplate/index.php); là c'est impossible de le bloquer avec ces mêmes techniques.

Il faut donc nettoyer le site et voilà, tu as confirmé que tu avais aussi des fichiers vérolés => reprend un backup qui était sain et sécurise ton site ensuite.

Bonne journée.

Re : Site hacké: injection de code dans les articles

Bonjour,

Ok j'ai compris, ce qui est dommage c'est que l'on va devoir remonter une version antérieure à cette attaque mais aussi devoir comprendre comment cela a été possible. On a l'impression qu'un site entier a été déposé sur notre serveur c'est fou. il y a même des fichiers .htaccess qui ont été déposés dans certains endroit et quand on lis le code, il implique des référence à WORDPRESS.


Quel point d'entrée aurait été susceptible de rendre cela possible? Joomla? un module? Est-ce que c'était dormant ou pas ? Je vais devoir faire un check up entier des fichiers pour vérifier qu'il n'y a plus de code malicieux. Quel boulot !

Le seul outil intégré à notre site dont nous n'avons pas fait le dev est celui des candidatures en ligne. Il dispose d'un formulaire qui permet de joindre 2 fichiers à un poids max de 4mo et aux extensions limitées. (word, pdf, texte)
On pense déjà séparé cet outil de Joomla (serveur fichier et serveur mysql), ainsi si une faille est ouverte dans cet outil il n'affectera pas le site entièrement.

Je sens que notre semaine va être longue, et j'entend déjà les utilisateurs râler si on rollback d'une semaine !

Re : Site hacké: injection de code dans les articles

Bonjour

Si tu suis sans aucun délai (ne pas attendre dix jours avant d'installer la dernière version de Joomla), tu peux raisonnablement écarter la faille du CMS. Joomla!® est nativement fort sécurisé reste; je le souligne, il ne faut pas rester p.ex. en 3.6.1 si la 3.6.5 est là.

Dès qu'une annonce de sécurité est relâchée; zéro délai : on installe la mise-à-jour

Pour ton hack, tu soulèves plusieurs points : oui, le hack pouvait être dormant, oui ton développement custom pourrait s'il n'a pas été correctement sécurisé (p.ex. (par exemple ;-) ) autoriser l'upload d'un script), ...

Si le hack était seulement au niveau des fichiers; la résolution peut être aisée : il "suffit" de les nettoyer.
Plus compliqué le hack au niveau de la DB car il te faut reprendre son contenu (je proposerai alors de l'exporter en .sql) et de le nettoyer => virer les ajouts qui ont été fait; les expressions régulières peuvent être utiles mais c'est fastidieux à réaliser.

Pour les références à WP, c'est ... normal. Les virus sont déposés par des bots, ils se moquent de savoir sur quel CMS ils sont du moment que le hack a été fait. En outre, ces scripts sont fonctionnels sur les deux systèmes. Tu vas donc trouver des "SI Joomla ALORS... SI WP ALORS ..." dans plusieurs d'entres eux.

Bon nettoyage.

Re : Site hacké: injection de code dans les articles

Bonjour,

Juste pour compléter, nous étions à jour sur le CMS et les autres extensions qui sont utilisées.

Nous avons fait un rollback d'une semaine (fichiers + bdd), mais malheureusement il y avait déjà 6 fichiers intrusifs.
On a fait un différentiel et un clean de chaque fichiers présent sur le serveur, accentué des restrictions d'accès.
Quand au développement interne, il s'appuie sur des fichiers xml, csv et ne donne pas d'accès à la bdd.
Le seul outil qui permet l'upload de documents c'est celui de candidature en ligne, nous avons fait un travail dessus.

La, je supprime via l'administration de Joomla des articles / modules / Templates que l'on n'utilise plus et j'ai deux extensions qui me posent problème.

Le composant FieldsAttachment, j'ai pu le supprimer dans le back office et n'apparait plus dans la gestion des extensions mais il est toujours sur le serveur.

La gestion des bannières, j'ai également fait du ménage et supprimé plusieurs éléments mais dans la table "_banners", je retrouve toujours les enregistrements.

Si vous avez des conseils, des articles, je suis preneuse !

Merci à vous !

Re : Site hacké: injection de code dans les articles

Bonjour,

Il peut arriver que les extensions bien que désinstallées restent dans les répertoires.

Dans ce cas, il suffit de supprimer les répertoires. Par exemple, phocapdf ne peut pas supprimer tous ses répertoires, donc, il donne la procédure à suivre: http://www.phoca.cz/phocagallery/16-...ystem-manually

Au niveau des bannières, vous avez supprimé les bannières, mais avez-vous vidé la corbeille ? en effet, la procédure de suppression pour les articles, bannières, ... est de mettre en corbeille les éléments supprimés. Donc, dans l'affichage des bannières, il faut aller dans "outils de recherche" (gros bouton bleu) et sélectionner un statut à "Dans la corbeille", puis sélectionner le contenu de la corbeille et cliquer sur supprimer.

Pascal