Robots/User-Agent contenant une chaîne: possibilité d'injection

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    [RÉGLÉ] Robots/User-Agent contenant une chaîne: possibilité d'injection

    Bonjour,

    Je vous souhaite bonne fin d'année...
    Sur un site Joomla 3.9.13 et VM 3.6.10 hebergé chez OVH, je reçois depuis deux jours : Date Range: 12/29/2019 et 12/30/2019 (super les fêtes !!!) deux robots contenant le même code:

    Je metterai à votre disposition QUE le début et la fin de la chaîne (le reste étant remplaçé par des ***) car je ne sais pas encore si ce code serait vulnérable ou pas:

    Robot Content - }__test O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSi mplepieFactory":0:{}****************************** ********************************{}s:8:"feed_url";s :46:"eval|}__test|

    Robots/User-Agent/Files
    O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSi mplepieFactory":0:{}s:21:"\\0\\0\\0disconnectHandl ers";a:1:**************************************** * ************************************}s:13:"\\0\\0\ \0connection";b:1;}\xf0\x9d\x8c\x86|

    Est ce que quelqu'un aurait remarqué la même chose ?? il faut regardé du côté des logs ou encore voir l'activité des robots.

    Je vous remercie d'avance d'être très réactifs car cela peut être une sorte d'injection malvaillante pouvant affecté un bug dans joomla.
    Dernière édition par pmleconte à 31/12/2019, 18h58
    Tags: Aucun
  • #2
    Bonjour,

    Il s'agit d'une vieille faille Joomla, corrigée en version 3.4.6 : https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

    Les hackeurs sont toujours à la recherche des sites qui ne sont pas à jour, mais, dans votre cas, il ne devrait pas y avoir de souci.

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire

    • #3
      Rebonjour
      En réponse à la première interrogation (bug ou pas??) Pour l'instant je n'ai pas remarqué d'incident sur le site concerné.
      en ce qui concerne le deuxième post (veille faille) j'aimerai vous dire que ce n'est pas le même code testé. C'est pour cette raison que je vous demande d'être attentifs et de me signaler toute attaque de ce genre. Pour les personnes qui sont intéressées par le code complet je peux le communiquer en message privé bien sûr, à condition d'avoir une autorisation d'un administrateur confirmé. Je compte sur vous et votre vigilance. Surveillez bien les robots.

      Commentaire

      • #4
        Bonjour

        D'accord avec Pascal qui t'a de plus communiqué l'information adéquate. Il s'agit d'une ancienne tentative d'attaque non liée à joomla mais à php qui faisait un eval () du code. Ce bug est résolu depuis longtemps.

        Si tu souhaites suivre les annonces de sécurité sur joomla, tu peux trouver un lien vers une newsletters sur le site joomla.org.

        Bonne journée.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire

        • #5
          Les codes fournis par Sucuri sont des exemples. II fallait à l'époque (dans les années 2016), chercher O: ou JDatabaseDriverMysqli dans les logs et vos messages contiennent bien ces messages.

          Donc, le robot hackeur teste les anciennes failles connues, corrigées depuis plusieurs années.

          De mon côté, il y en a un qui cherche à accéder à mon ficher etc/passwd, un autre qui teste les failles wordpress connues (pas de chance) et les composants qui ne seraient pas à jour ou connus pour avoir des failles (facegallery, jtagmembersdirectory, joomanager, macgallery, hdflvplayer,b2jcontact)....

          C'est la raison pour laquelle on répète, on re-répète et on rata-répète de mettre à jour Joomla et ses extensions.

          Bonnes fêtes de fin d'année,

          Pascal
          If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

          Commentaire

          • #6
            Ok. C'est très bien. Je vous remercie.
            je vous souhaite bonne nouvelle année.

            Commentaire

            • #7
              Bonsoir,

              J'ai mis ce sujet sur "Réglé".

              Naturellement, si cette manip. ne vous convient pas, merci de nous le dire.

              Pascal
              If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

              Commentaire

              • #8
                Parfait.

                Commentaire

                Précédent template Suivant

                Annonce

                Réduire
                Aucune annonce pour le moment.

                Partenaire de l'association

                Réduire
                Hébergeur Web PlanetHoster
                Travaille ...
                X