hack

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

hack

Messagepar tituch » 04 Août 2010 08:17

Bonjour à tous, un petit avertissement sur la sécurité sur sme 7.5.1, quelqu'un à réussi à déposer de fichier de hacking dans joomla, même si l'accès ftp était ouvert que depuis le réseau local.Demande aux experts,comment je peux faire pour savoir ou est la faille.(messages, logs a vérifier).
tituch
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 10 Sep 2008 07:24

Messagepar ccnet » 04 Août 2010 09:09

Une première chose que vous pouvez faire consiste à vérifier les alertes de sécurité concernant Joomla. Vous devrez éventuellement mettre à jour votre version ou appliquer un correctif de l'éditeur. Il est fort probable que le problème de sécurité concerne votre applicatif et non sme.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Muzo » 04 Août 2010 09:30

Bonjour,

Les failles actuelles sont surtout dans les applications tiers.
Pour suivre les failles: http://www.phpsecure.info/

Joomla y a au moins une faille par semaine ....

/Muzo
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Re: hack

Messagepar Jaz » 04 Août 2010 16:25

tituch a écrit:Bonjour à tous, un petit avertissement sur la sécurité sur sme 7.5.1, quelqu'un à réussi à déposer de fichier de hacking dans joomla, même si l'accès ftp était ouvert que depuis le réseau local.Demande aux experts,comment je peux faire pour savoir ou est la faille.(messages, logs a vérifier).


Bonjour,

quel genre de fichier hacking a été déposé ?

Mon réseau ftp n'est ouvert aussi que depuis le réseau local, donc ça m'intéresserai de savoir même si je n'utilise pas joomla, Merci ;)
Jaz
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 25 Mai 2009 00:26

Re: hack

Messagepar tituch » 04 Août 2010 19:17

Jaz a écrit:
tituch a écrit:Bonjour à tous, un petit avertissement sur la sécurité sur sme 7.5.1, quelqu'un à réussi à déposer de fichier de hacking dans joomla, même si l'accès ftp était ouvert que depuis le réseau local.Demande aux experts,comment je peux faire pour savoir ou est la faille.(messages, logs a vérifier).


Bonjour,

quel genre de fichier hacking a été déposé ?

Mon réseau ftp n'est ouvert aussi que depuis le réseau local, donc ça m'intéresserai de savoir même si je n'utilise pas joomla, Merci ;)


Bonjour, je suis désolé pour le retard mais je travaille la journée, le haker (je sais pas si le terme est approprié) a déposé un fichier zip sur le serveur dans le dossier /home/e-smith/files/ibays/Primary/html/components/com_media/helpers, le dossier s'appelle onlineverification.do, ensuite dezipée, l'adresse mail utilisée pour recevoir les informations du haking sont charles.dennis.dennis@gmail.com, barristerlauradibella1@rediffmail.com, barristerlauradibella2@rediffmail.com, donc comment se protéger, et quoi faire dans de telles situations.

Ma question est la suivante, il a pu déposer le fichiers sur le site en trouvant une faille sur joomla, ou par un accès au serveur ?

c'était du phishing pour une banque.
Dernière édition par tituch le 04 Août 2010 19:26, édité 1 fois au total.
tituch
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 10 Sep 2008 07:24

Messagepar Jaz » 04 Août 2010 19:23

Salut Tituch ;)

Dans les logs ou si tu as installé AWStats, tu devrais savoir quand a été déposé ce fichier et l'adresse IP de celui-ci ?

Après il est vrai que c'est étonnant qu'un fichier puisse être installé si tu n'as autorisé aucune connexion FTP en dehors de local ? m'enfin je suis pas un expert du hack :)
Jaz
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 25 Mai 2009 00:26

Messagepar tituch » 04 Août 2010 19:27

Jaz a écrit:Salut Tituch ;)

Dans les logs ou si tu as installé AWStats, tu devrais savoir quand a été déposé ce fichier et l'adresse IP de celui-ci ?

Après il est vrai que c'est étonnant qu'un fichier puisse être installé si tu n'as autorisé aucune connexion FTP en dehors de local ? m'enfin je suis pas un expert du hack :)



j'ai installe awstats, je vais essayé de comprendre ce qui c'est passé.
tituch
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 10 Sep 2008 07:24

Messagepar gemoussier » 04 Août 2010 19:39

Bonsoir,

Si le serveur FTP n'est pas à priori "ouvert" sur l'extérieur alors peut-être que :
- un utilisateur local n'est pas digne de confiance
- une machine dans le réseau local a servi de relai
- ftp n'est pas le seul moyen de déposer des fichiers (faille Joomla, SCP...)
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar ccnet » 04 Août 2010 19:41

il a pu déposer le fichiers sur le site en trouvant une faille sur joomla, ou par un accès au serveur ?

Les deux mon capitaine ! Une faille de Joomla lui donne accès au système disque. A moins que ce soit une erreur de configuration de votre part. Ce qui est toujours possible. Ceci dans le sens où certaines failles ne sont exploitables que sous certaines configurations.
Bref la lecture des avis de sécurité (certa, site joomla) vous en diront plus. Milw0rm (quand il est accessible) pourrait peut être aussi vous renseigner sur l'exploit utilisé. Il est fort probable que le code d'exploitation de la faille (si il en faut un) soit disponible sur internet.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Jaz » 04 Août 2010 19:45

Si le serveur FTP n'est pas à priori "ouvert" sur l'extérieur


Bah il est ouvert ou pas ?

un utilisateur local n'est pas digne de confiance


C'est une possibilité en vérifiant les accès

une machine dans le réseau local a servi de relai


Possible mais il faufdrait que tu détails l'architecture de ton réseau pour avoir une réponse.

ftp n'est pas le seul moyen de déposer des fichiers (faille Joomla, SCP...)


Là faudrait regarder dans les failles, hack sur joomla, personnellement je n'ai jamais réussi à déposer quoique ce soit sur mon serveur en dehors de local, mais j'hack pas donc...
Jaz
Second Maître
Second Maître
 
Messages: 29
Inscrit le: 25 Mai 2009 00:26

Messagepar tituch » 04 Août 2010 20:48

FTP fermé à l'extérieur
serveur en mode "serveur et passerelle" donc machines derrière la sme
utilisateur local moi seul
tituch
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 10 Sep 2008 07:24

Messagepar HP77 » 05 Août 2010 04:02

Bonjour,
tituch a écrit:FTP fermé à l'extérieur
serveur en mode "serveur et passerelle" donc machines derrière la sme
utilisateur local moi seul


Question bête, peut-être, qu'y a-t-il d'autre d'installé sur ce serveur SME ?
- Joomla
- AWstats
- ??

Es-t ce que le mot de passe du compte admin n'est pas trop simple à "casser" via la méthode "force brute" ??
Je dis ça car si je ne me trompe pas, seul le compte admin, par défaut, a le droit d'accéder à l'i-bay Primary.


Personnellement, la Primary, je la laisse telle qu'elle est et ne m'en sert pas du tout.

Je préfère créer une i-bay dédiée à chaque besoin (site ou partage de fichiers) et, dans ce cas, je paramètre un domaine virtuel pour rediriger, par exemple, MonSiteWeb.DynamiqueDNS.xyz vers l'i-bay appropriée.


Maintenant, à chacun ses (dé)goûts... :wink:

Cordialement,
HP
Ma config perso : ATGC3-I (=Atom 330) + 1x 2GB RAM DDR2 + 2x HDD SATA 500 GB en RAID 1 logiciel
--> Mini-Serveur à la maison (derrière une "Box")
--> configuration réseau
A lire : The SME Server Developer's Guide (EN)
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Messagepar tituch » 05 Août 2010 06:30

Bonjour, les attaques viens du 94.23.215.207, serveur dedie chez OVH, serveur compromis ou non ?
tituch
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 10 Sep 2008 07:24

Messagepar unnilennium » 09 Août 2010 21:40

1/ porte plainte auprés d'ovh en envoyant une copie de ton log. la réponse sera rapide : neutralisation du serveur

2/ je vote aussi pour une faille joomla qui aurait permis au hacker de faire écrire le fichier par php dans le dossier. c'est en effet le plus probable. solution : empecher l'ecriture par www dans tous les dossiers accessibles depuis joomla : au risque de perdre 90% des focntions de joomla... ou desinstaller .
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité