Une faille, à la limite ça peut encore arriver.
Mais à mon sens, pire que la faille c'est la (non-)communication de Acymailing qui est grave...
Le minimum c'est effectivement une newsletter immédiate à tous les utilisateurs (surtout que même si on a fait la mise à jour immédiatement, les sites étaient probablement déjà hackés depuis des mois...).

Ce n'est pas une image. L'astuce se base sur la double extension. Certains programmes vont isoler la dernière extension et donc croire que c'est une image alors que l'interpréteur php s'arrête à la première extension.

C'est une vieille technique, déjà utilisée à plusieurs reprises.

Note : du temps d'aeSecure, je déposais un fichier .htaccess dans les dossiers images et média (voir https://github.com/cavo789/htaccess, disable script execution).

Ce fichier interdit l'exécution d'un script php et donc, de fait, bloque les virus qui s'y trouveraient.


* * * * *

Disable script execution

Put these lines in f.i. /tmp/.htaccess to prevent execution of scripts in the /tmp folder.

# secure directory by disabling script execution AddHandler cgi-script .php .php.png .pl .py .jsp .asp .sh .cgi Options -ExecCGI ##Deny access to all CGI, Perl, PHP and Python Deny from all

Cela dépend de la configuration du serveur mais c'est possible si l'hébergeur n'a pas entièrement sécurisé ses serveurs. Il faut éviter d'essayer de lire ces fichiers par exemple via le gestionnaire de medias mais les supprimer en FTP.

Certains scripts sont capables d'adopter plusieurs techniques et j'ai pu constaté sur des sites vérolés que les attaques étaient en continus changeant régulièrement d'adresses ip de façon à profiter de la moindre faiblesse. Il faut nettoyer le site,mettre en place des solutions afin de bloquer toute tentative et effectuer les mises à jour nécessaires.

Bonjour,

J'utilise acymailing et j'ai constaté la présence de ces fichiers malicieux aussi bien sur les sites en prioduction que sur les copies locales sur mon ordinateur.

Suivant les conseils de l'éditeur, j'ai utilisé le script php_grep de Christpphe pour recharcher la chaîne de caractères suspecte ($_COOKIE​) et j'ai trouvé 16 occurrences avec cette chaîne de caractères dont 6 me semblent suspectes ...

Sur un site local j'ai aussi trouvé
​

Je supprime avec Filezilla , je change les mots de passe et j'attends de nouvelles directives ...

merci aux différents contributeurs pour cette alerte !

Bonjour

L'éditeur a suggéré mon script ??? Alors là j'en reste pantois. Aurais-tu le lien vers l'info ? Merci

(ce que je veux dire: à leur place, j'aurais vite fait développé un script utilitaire que j'aurais mis à disposition de mes utilisateurs. Ils auraient pû forker un script comme le mien et le mettre à leur sauce (en gardant partie du copyright). Histoire de montrer qu'ils sont réactifs et à l'écoute de leur base)

Bonjour,

Digital-peak (dp-calendar entre autre extensions) vient de communiquer sur le hacking de leur site à cause de AcyMailing :

Pascal

En principe, il ne devrait pas y avoir de fichier .php dans le répertoire media.

Cependant, akeeba backup, jchoptimize, visforms y mettent quelques fichiers php, donc, il est difficile de bloquer l'exécution des fichiers .php dans le répertoire media.

Par contre, au niveau du répertoire images, si vous trouvez des fichiers .php (autre que le fichier index.php vide habituel), il y a vraiment un problème.

Pascal

Au niveau des fichiers .php dans le répertoire media, après vérification, ils ne sont pas appelés directement (par l'explorateur), donc, la mise en place du .htaccess suggéré devrait fonctionner.

Pascal

salut pmleconte !

Oh, j'avais jamais vu que Akeeba mettait des fichier php dans /media
Effectivement je trouve
/media/akeeba_strapper/strapper.php
/media/akeeba_strapper/version.php
pour des sites en J3

Par contre, en J4 avec Admin Tools + Akeeba Backup, je ne trouve aucun fichier PHP lié à Akeeba.
[edit] ha si tiens : un fichier ici : /media/fef/script.fef.php

Mais je vois que d'autres extensions aussi mettent des PHP dans /media, comme ReReplacer, 4seo, 4ai, 4logs (pour le site que j'ai vite testé).

Bref, pas si évident que ça de bloquer PHP dans /media si ça a des effets de bord sur une série d'extensions (pour /images, pas de souci par contre j'ose espérer ).
Or dans le cas d'Acymailing, c'est bien dans /media que le hack initial allait se loger (avant de créer des petits ailleurs) : /media/com_acym/images/thumbnails/thumbnail_*.php

Bonjour Christophe
Je n'ai pas vu passer de lien vers un script qui balaye tous les répertoires.
Est-ce possible d'avoir une url d'accès à ce script ?

Pour infos, je viens de recevoir un mail d'acymailing qui s'excuse mai sen fournit pas de script.
J'ai moi même demandé un script qui scanne, voire élimine les fichiers infectés https://forum.acymailing.com/d/5720-...-vulnerability
@+

Il s'agit d'un petit outil de localisation de fichiers sur base de leur contenu : https://github.com/cavo789/php_grep.

Il ne s'agit pas d'un scanner de virus mais, peut-être, aeSecure QuickScan pourrait en trouver quelques-uns (voir ma signature ci-dessous, aussi sur mon github.com)

Pour ceux qui ont installé Admin Tools Pro sur leur site, voici la réponse de Nicholas Dionysopoulos à un client qui avait été infecté et se demandait (comme moi-même) si les fichiers uploadés pouvaient avoir été lancé (maintenant que je sais, grâce à cavo789 que c'est possible) :

"Admin Tools' DFIShield and .htaccess Maker prevent attacks which use relative directories (../ in the filename). This limits the attacker to uploading arbitrary files in AcyMailing's media subfolder. This limits the scope of the attack.

Admin Tools' .htaccess Maker prevents direct access of .php files beyond Joomla's index.php files (root, api directory, administrator directory) and the administrator/components/com_joomlaupdate/extract.php file used for Joomla! upgrades (this has its own very tight security; I contributed it myself). Therefore, the files uploaded to media/com_acym/images/thumbnails-folder cannot be executed. This neuters the effects of the attack.

Finally, if you are using Admin Tools' PHP File Change Scanner it will detect the .png.php files being uploaded and report them to you, so you know you've got to clean 'em up.

So, yes. The attacker could only upload those files, but they were blocked from using them. An apt analogy would be that you got shot in the chest, but the bullet was stopped by your bullet-proof vest.​"

Traduction :
"Le bouclier DFI et le gestionnaire de .htaccess d'Admin Tools empêche les attaques qui utilisent des répertoires relatifs (../ dans le nom du fichier) : ceci limite la possibilité d'uploader des fichier arbitraires dans le sous-dossier d'Acymailing. Ceci limte l'ampleur de l'attaque.

Le gestionnaire de .htaccess d'Admin Tools empêche l'accès direct à des fichiers .php au-delà des fichiers index.php de Joomla! (racine, répertoire api, répertoire administrator) et du fichier administrator/components/com_joomlaupdate/extract.php utilisé pour les mises à jour de Joomla! (qui possède sa propre sécurité renforcée; j'y ai contribué moi-même). Par conséquent, les fichiers uploadés dans le dossier media/com_acym/images/thumbnails ne peuvent pas être exécutés. Ceci neutralise les effets de l'attaque.

Finalement, si vous utilisez le PHP File Change Scanner d'Admin Tools, il détectera les fichiers php.png uploadés et vous le signalera pour que vous puissiez les nettoyer (Note personnelle : j'ai effectué ce scan mais il n'a pas signalé les fichiers - j'ai suggéré à Nicolas d'ajouter l'extension "php.png" à la liste des fichiers à scanner).

Donc, oui, l'attaquant a pu seulement uploader ces fichiers mais leur utilisation a été bloquée. Une analogie serait qu'on vous a tiré dessus dans la poitrine mais que la balle a été arrêtée par vote gilet pare-balles."

Pour ceux qui voudrait autoriser l'accès à certains fichiers PHP dans le dossier /media (il ne devrait pas y en avoir : ce dossier est seulement pour des... media, donc images, css et js - c'est vrai que jchoptimize a des fichiers PHP, mais ils sont protégés par un .htaccess dans le répertoire), on peut ajouter des règles dans le fichier .htaccess à la racine du site pour ouvrir des accès spécifiques.

Bonjour ... je découvre avec stupeur !
Moi qui voulait installer cette extension sur un petit site qui m'en a fait la demande ... je vais retarder

A part Acymailing, il y a quoi comme alternative pour une "petite" gestion de newsletter qui serait RGPD évidemment

Bonsoir,

Je dois débarquer de la planète Mars...
Fervent utilisateur d'Acymailing, je découvre ce post avec beaucoup d'intérêt...

Je scanne tous mes sites, un par un.... Jusqu'à présent, aucun ne semble infecté... A suivre...