Aller au contenu

cms et sécurité


Adrian

Sujets conseillés

Bonjour;

Je viens de parcourirs les differentes catégories de ce forum et voudrai faire part d'une experience sur la sécurité. Je suis hébergé chez 1and1 avec deux gigas et 10 bases de donées... Plutôt pratique j'installe régulièrement des cms pour en faire des test et ne me suis jamais trop soucié de la sécurité.

Seulement voilà; hiers je reçoit un appel de la lloyd bank (en allemagne) qui m'informe qu'une attaque de fishing à été envoyé depuis mon serveur... Effectivement sur mon site se trouve deux repertoires (caché au fin fon d'un repertoire test oublié depuis longtemps...) ; un pour la lloyd bank et un pour hsbc contenant un index.html ( le site de l'agence ) et un formmail.php...

J'ai tout de suite retiré ces fichier mais je me sent vulnérable; bien sur j'ai modifié mes codes ftp mais je ne suis pas sur que cela ne peut pas recommencer. Par ailleurs j'ai actuellement 3 dotclear d'installés ( dont 1 en version beta 2) 2 punbb 1 oscommerce; 1 beespip... un xoop...

Quelqu'un as t'il déjà eu le problème? Et comment le solutionner ( je vais porter plainte ce matin)...

Lien vers le commentaire
Partager sur d’autres sites

Déjà, tu devras porter plainte contre X, et je doute que ça aboutisse à quelque chose de probant.

Ce qui a du se passer, c'est que le malveillant en question a du profiter d'une faille de l'un des CMS que tu testes, pour placer ses fichiers. Le souci, c'est que comme tu as une pléthore de CMS, il sera difficile de savoir duquel provient la faille.

Lien vers le commentaire
Partager sur d’autres sites

Et tu n'as rien trouvé dans les logs ? Avec un peu de chance, si le pirate a utilisé une faille comme celle des urls trafiquées (genre index.php?task=je mets mon code ici pour pirater) tu le verras dans les logs.

Regardes également dans tes cms la date de ta dernière connexion et véfifie que c'est la bonne, peut-être que tu sauras comme çà lequel pose problème.

Bon courage

Nico

Lien vers le commentaire
Partager sur d’autres sites

Et tu n'as rien trouvé dans les logs?

Effectivement j'ai commencé à fouiner mais j'ai à peu près 10 000 pages vues par mois.... Donc pas évident pour la recherche.

Déjà, tu devras porter plainte contre X, et je doute que ça aboutisse à quelque chose de probant.

Pour la plainte je voulais y aller ce matin mais je n'ai pas eu le temps donc ce serra cet après midi. J'ai appellé les brigades spécialisé et j'ai l'impression qu'ils s'en foutent un peu... Pendant qu'on légifère pour DAVSI lorsqu'il y a des vrais pirates on s'en fou il n'y a pas de lobyings assez puissants pour creer des brigades spécialisées.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Si tu as installé etomite ancienne génération, c'est une bonne piste, je viens de me faire hacker à cause d'une faille de sécurité dans ce cms qui permet à une personne malveillante d'installer des utilitaires sur le serveur en mode root !!

Ensuite il a une page web pour faire ce qu'il veut depuis le serveur et depuis n'importe quel site hébergé dessus. J'ai eu de la chance de constater une lenteur curieuse sur mon serveur lors d'opérations de routine et quand on a mis le nez dans le moteur, on a constaté des exécutables modifiés !! tout passait probablement chez lui avant de revenir chez nous comme si de rien n'était ! C'est en fouillant les logs qu'on a trouvé le site du client responsable malgré lui d'avoir utilisé une version ancienne d'etomite.

Amicalement

Pat

Lien vers le commentaire
Partager sur d’autres sites

Non je ne connais pas etomite et je ne l'ai pas installé; cependant hez 1and1 on m'informe de grosses failles avec joomla qui pose des problèmes fréquents. Il peut aussi s'aggir d'un cms tout a fait propre mais dont l'un des plugins serait une brèche ou même d'un de ces scripts qui sous couvert de référencement nous delande de coller un code qui execute un javascript externe.

Je continue à rechercher... Surement plus d'infos cet après midi.

Lien vers le commentaire
Partager sur d’autres sites

... ou même d'un de ces scripts qui sous couvert de référencement nous delande de coller un code qui execute un javascript externe.
Non, car le javascript s'exécute côté client et non serveur. Il faut que ce soit soit du php, soit du cgi.
Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...