Plus possible de se connecter au panneau d'administration, hack possible?

Réduire
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    [Problème] Plus possible de se connecter au panneau d'administration, hack possible?

    Bonjour à tous,

    Depuis hier, impossible de me connecter au panneau d'administration, j'obtiens l'erreur suivante :
    Code:
    warning you do not have access to the administrator section of this site.
    Le login passe, mais l'authentification non...(si je test avec un mauvais password, j'ai une erreur de mauvais password, logique!)

    Lorsque je m'en suis aperçu, ma collègue était connectée (avec son login), elle s'est déconnectée pour que j'essaye avec le sien...et même erreur ! Elle non plus ainsi que les 2 autres Super users ne peuvent plus se connecter.

    J'ai fais beaucoup de recherches sur les différents forum et tester un peu toutes les "solutions", mais rien n'y fait :
    • Vider les sessions et le cache (bdd & ftp)
    • Reset les passwords
    • Changer les logins de groupe (admin au lieu de superuser), effacer cache/session, idem
    • Vérifier les tables "Assets", les groupes...etc
    • Créér un nouvel user...le passé admin puis superadmin...


    En regardant dans mes logs, j'ai pu cependant apercevoir ceci :
    Code:
    [Wed Sep 09 07:25:01.920906 2015] [fcgid:warn] [pid 22122] [client 41.56.58.3:50188] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/application/web.php on line 863, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:01.920941 2015] [fcgid:warn] [pid 22122] [client 41.56.58.3:50188] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/uri/uri.php on line 85, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:01.920944 2015] [fcgid:warn] [pid 22122] [client 41.56.58.3:50188] mod_fcgid: stderr: PHP Notice:  Undefined property: stdClass::$order in /var/www/vhosts/dedibox/httpdocs/components/com_tz_portfolio/views/timeline/tmpl/default_categories.php on line 26, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:01.920947 2015] [fcgid:warn] [pid 22122] [client 41.56.58.3:50188] mod_fcgid: stderr: PHP Notice:  Undefined property: stdClass::$order in /var/www/vhosts/dedibox/httpdocs/components/com_tz_portfolio/views/timeline/tmpl/default_categories.php on line 26, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:01.920949 2015] [fcgid:warn] [pid 22122] [client 41.56.58.3:50188] mod_fcgid: stderr: PHP Notice:  Undefined property: stdClass::$order in /var/www/vhosts/dedibox/httpdocs/components/com_tz_portfolio/views/timeline/tmpl/default_categories.php on line 26, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:01.920951 2015] [fcgid:warn] [pid 22122] [client 41.56.58.3:50188] mod_fcgid: stderr: PHP Notice:  Undefined property: stdClass::$order in /var/www/vhosts/dedibox/httpdocs/components/com_tz_portfolio/views/timeline/tmpl/default_categories.php on line 26, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:01.920954 2015] [fcgid:warn] [pid 22122] [client 41.56.58.3:50188] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/modules/mod_acymailing/mod_acymailing.php on line 41, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:02.664004 2015] [fcgid:warn] [pid 34583] [client 41.56.58.3:50189] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/application/web.php on line 863
[Wed Sep 09 07:25:02.664021 2015] [fcgid:warn] [pid 34583] [client 41.56.58.3:50189] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/uri/uri.php on line 85
[Wed Sep 09 07:25:04.593602 2015] [fcgid:warn] [pid 35292] [client 41.56.58.3:50190] mod_fcgid: stderr: PHP Notice:  Undefined property: stdClass::$order in /var/www/vhosts/dedibox/httpdocs/components/com_tz_portfolio/views/timeline/tmpl/default_categories.php on line 26, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:04.593627 2015] [fcgid:warn] [pid 35292] [client 41.56.58.3:50190] mod_fcgid: stderr: PHP Notice:  Undefined property: stdClass::$order in /var/www/vhosts/dedibox/httpdocs/components/com_tz_portfolio/views/timeline/tmpl/default_categories.php on line 26, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:04.593630 2015] [fcgid:warn] [pid 35292] [client 41.56.58.3:50190] mod_fcgid: stderr: PHP Notice:  Undefined property: stdClass::$order in /var/www/vhosts/dedibox/httpdocs/components/com_tz_portfolio/views/timeline/tmpl/default_categories.php on line 26, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:04.593632 2015] [fcgid:warn] [pid 35292] [client 41.56.58.3:50190] mod_fcgid: stderr: PHP Notice:  Undefined property: stdClass::$order in /var/www/vhosts/dedibox/httpdocs/components/com_tz_portfolio/views/timeline/tmpl/default_categories.php on line 26, referer: http://google.com/search?q=2+guys+1+horse
[Wed Sep 09 07:25:05.215806 2015] [fcgid:warn] [pid 35277] [client 41.56.58.3:50191] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/application/web.php on line 863
[Wed Sep 09 07:25:05.215824 2015] [fcgid:warn] [pid 35277] [client 41.56.58.3:50191] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/uri/uri.php on line 85
[Wed Sep 09 07:25:05.843617 2015] [fcgid:warn] [pid 34366] [client 41.56.58.3:50192] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/application/web.php on line 863
[Wed Sep 09 07:25:05.843636 2015] [fcgid:warn] [pid 34366] [client 41.56.58.3:50192] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/uri/uri.php on line 85
[Wed Sep 09 07:25:06.450901 2015] [fcgid:warn] [pid 36300] [client 41.56.58.3:50193] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/application/web.php on line 863
[Wed Sep 09 07:25:06.450918 2015] [fcgid:warn] [pid 36300] [client 41.56.58.3:50193] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/uri/uri.php on line 85
[Wed Sep 09 07:25:07.132274 2015] [fcgid:warn] [pid 34583] [client 41.56.58.3:50194] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/application/web.php on line 863
[Wed Sep 09 07:25:07.132292 2015] [fcgid:warn] [pid 34583] [client 41.56.58.3:50194] mod_fcgid: stderr: PHP Notice:  Undefined index: HTTP_HOST in /var/www/vhosts/dedibox/httpdocs/libraries/joomla/uri/uri.php on line 85
    ("dedibox" a été volontairement remplacé dans le code, il s'agit de l'adresse de mon dédié)
    En regardant ça de plus près, c'était déjà arrivé le 13 et 16 juillet, et surtout d'après mes recherches, il s'agit d'une attaque...L'heure de l'attaque ne correspond pas vraiment (7h16, ma collègue s'est connectée vers 10h et a bosser toute la journée), mais se pourrait-il qu'une page vulnérable ai permise aux hackeurs de faire des modifications plus tard dans la journée ?
    La coïncidence entre l'attaque et cet énorme bug me parait très peu probable.

    Si vous avez des pistes ou d'éventuelles solutions pour regagner l'accès...je suis preneur ! C'est pour le site d'un client et c'est donc très urgent!
    Merci
    Tags: Aucun
  • #2
    Re : Plus possible de se connecter au panneau d'administration, hack possible?

    Bonjour

    J'ai bien rigolé à la lecture de ton log (désolé; le sujet ne s'y prête pas pourtant).

    Comment se fait-ce qu'une recherche sur "2 guys 1 horse" arrive sur ton site ? Tu as un drôle de site ? :-D (désolé, esprit très mal tourné)

    Blague à part; je ne vois que des PHP Notice dans ce log; rien d'alarmant donc.
    Les noms des fichiers me semblent OK et ne semblent pas démontrer une activité d'un hackeur (je parle bien des lignes que tu as copie/collé ci-dessus).

    Pour ton problème, je ne vois pas. Si tu as créé un nouveau super admin; ce dernier devrait avoir la possibilité de se connecter. Le message "warning you do not have access to the administrator section of this site." apparaît après avoir mis ton login / password ? As-tu vérifié si le plugin d'authentification de Joomla est bien actif et s'il est le premier ? Passe par phpMyAdmin pour cela.

    Dans la continuité : as-tu été voir ta table des utilisateurs pour voir si tu avais des super-admin que tu ne connais pas et qui prouverait le hack ?

    Bonne chance.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire

    • #3
      Re : Plus possible de se connecter au panneau d'administration, hack possible?

      Envoyé par cavo789 Voir le message
      Bonjour

      J'ai bien rigolé à la lecture de ton log (désolé; le sujet ne s'y prête pas pourtant).

      Comment se fait-ce qu'une recherche sur "2 guys 1 horse" arrive sur ton site ? Tu as un drôle de site ? :-D (désolé, esprit très mal tourné)
      Je me suis posé la même question...surtout que le site est en développement, n'a pas de nom de domaine (mise à part l'alias de la dédibox sd-xxxx.dedibox.fr), et j'ai donc chercher sur google
      Code:
      http://www.spambotsecurity.com/forum/viewtopic.php?f=7&t=3439
http://www.skepticism.us/2015/05/new-in-your-face-malware-attacks-me-ringing-at-your-dorbell/
      Et en gros, il s'agirait d'une attaque, ne me demande pas pourquoi ils choisissent ce referer pour "signer" leur attaque

      Pas d'autres superusers dans ma database, mise à part, les 4 habituels..

      Ca vient bien de l'authentif oui, car le login/pass fonctionnent (si je met pas les bons, Joomla n'en veux pas, logique!). Comment vérifier ceci :
      As-tu vérifié si le plugin d'authentification de Joomla est bien actif et s'il est le premier ? Passe par phpMyAdmin pour cela.
      Merci pour ta réponse, ravi que ça ai fait rire quelqu'un

      Commentaire

      • #4
        Re : Plus possible de se connecter au panneau d'administration, hack possible?

        Je t'écris en "gros" car je n'ai pas l'occasion de vérifier en cet instant :

        phpMyAdmin -> table jos_extension -> filtre sur les "plugins" de type "authentification" et là, regarde ceux qui sont publiés (enabled=1). Il doit y avoir un champs tel que "order" pour définir l'ordre d'exécution. Vérifie que tu as donc bien le plugin d'authentifcation natif, qu'il est publié et en première position.

        Ceci est "juste" une piste; je ne sais pas si cela va être une bonne piste ou pas.

        Note : si ton site a été hacké, as-tu lancé un scanner ? Tu pourras en trouver un gratuit dans ma signature.

        Bonne chance
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire

        • #5
          Re : Plus possible de se connecter au panneau d'administration, hack possible?

          J'ai pas de plugin de type "authentification" :S
          J'ai component, file, language, library, module, plugin et template dans les "Type"
          J'ai trouvé ceci :
          Code:
          com_login (component) : client_id/enabled/access/protected tout à 1
mod_logged (module) : client_id/enabled/access tout à 1 , protected à 0
mod_login (module): client_id/enabled/access/protected tout à 1
mod_login (module) : client_id/enabled/access tout à 1 , protected à 0
com_admin (component) : client_id/enabled/access/protected tout à 1
          Je tente un scan avec ton lien

          Commentaire

          • #6
            Re : Plus possible de se connecter au panneau d'administration, hack possible?

            Type=plugin et tu n'as pas une colonne "subtype" ou un truc du genre (je ne sais plus). Pour sûr, tu as une colonne pour cette distinction-là.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire

            • #7
              Re : Plus possible de se connecter au panneau d'administration, hack possible?

              Alors dans la colonne folder, j'ai effectivement "authentification" ce qui me donne 4 résultats :

              Cliquez sur l'image pour l'afficher en taille normale Nom : joomla.jpg  Affichages : 1  Taille : 15,0 Ko  ID : 1805095

              J'ai essayer de désactivé "cookie", ça ne change rien, par contre désactiver "joomla" => il ne se passe plus rien lorsque j'essaye de me logger (logique, le module n'est plus la!). J'ai essayer de passer "protected" à 0 ou "client_id" à 1, mais idem (oui c'est du bricolage!)

              Commentaire

              • #8
                Re : Plus possible de se connecter au panneau d'administration, hack possible?

                Voici mes viewlevels (title/ordering/rules) :
                Code:
                Public 0 [1]
Registered 1 [6,2,8]
Special 2 [6,3,8]
Guest 0 [9]
Super Users 0 [8]
                Est-ce normal que mon super user n'est que ça ?

                Commentaire

                • #9
                  Re : Plus possible de se connecter au panneau d'administration, hack possible?

                  Bonjour,

                  J'ai essayer un scan du serveur qui n'a rien donné, réessayer pas mal de choses..et toujours le même point :
                  Code:
                  Warning
You do not have access to the Administrator section of this site.
                  Des idées ? Ou quelqu'un d'un peu plus expérimenté pourrait jeter un oeil à ma bdd ?

                  Merci

                  Commentaire

                  Précédent template Suivant

                  Annonce

                  Réduire
                  Aucune annonce pour le moment.

                  Partenaire de l'association

                  Réduire
                  Hébergeur Web PlanetHoster
                  Travaille ...
                  X