[Réglé] HACKER sur le composent EXPOSE4
Moderator: sarki
Forum rules
Règles du forum
Règles du forum
-
- Joomla! Apprentice
- Posts: 9
- Joined: Mon Aug 11, 2008 9:11 pm
[Réglé] HACKER sur le composent EXPOSE4
Bonjour,
Depuis quelques mois je subissait des attaques du Hacker RuSTLer (Contact:CasPer).
Je ne sais pas si vous le connaissez. Si c'est le cas vous ne serez pas surpris de l'écran noir qu'il laisse derrière lui avec comme fond musical une musique sournoise.
Au début, je me contentais simplement de supprimer la page index.php qu'il remplaçait à la racine du site et de remettre le bon fichier à la place (celui du pack Jommla 1.0.15) jusqu'à que mon hébergeur me signale qu'il bloque ma messagerie car elle diffusait des spams avec un taux d'erreurs supérieurs à 5 %.
Là, je ne suis pas content et je demande à mon hébergeur comment trouver la faille.
En lisant le fichier log correspondant à la dernière attaque j'ai remarqué qu'il utilisait le script ixir2.php compris dans le composent EXPOSE4 (Galerie Photo très agréable que j'ai installé sur le site).
Ce script lance une application connue des hackers C99Shell v. 1.0. Avec ce script, on contrôle l'intégralité du site : C'EST IMPRESSIONNANT.
On peux même aller jusqu'à changer les droits voir remonter jusqu'au shell du serveur.
J'ai supprimé ce fichier et placé un fichier INDEX.HTML (qui affiche une page blanche de sécurité) dans tous les répertoires des composants de Jommla.
Pensez-vous que ces actions suffisent pour arrêter ces attaques ?
C'est la première fois que cela m'arrive et je fais appel à vos expériences pour augmenter la sécurité sur le site.
Merci de votre contribution.
Depuis quelques mois je subissait des attaques du Hacker RuSTLer (Contact:CasPer).
Je ne sais pas si vous le connaissez. Si c'est le cas vous ne serez pas surpris de l'écran noir qu'il laisse derrière lui avec comme fond musical une musique sournoise.
Au début, je me contentais simplement de supprimer la page index.php qu'il remplaçait à la racine du site et de remettre le bon fichier à la place (celui du pack Jommla 1.0.15) jusqu'à que mon hébergeur me signale qu'il bloque ma messagerie car elle diffusait des spams avec un taux d'erreurs supérieurs à 5 %.
Là, je ne suis pas content et je demande à mon hébergeur comment trouver la faille.
En lisant le fichier log correspondant à la dernière attaque j'ai remarqué qu'il utilisait le script ixir2.php compris dans le composent EXPOSE4 (Galerie Photo très agréable que j'ai installé sur le site).
Ce script lance une application connue des hackers C99Shell v. 1.0. Avec ce script, on contrôle l'intégralité du site : C'EST IMPRESSIONNANT.
On peux même aller jusqu'à changer les droits voir remonter jusqu'au shell du serveur.
J'ai supprimé ce fichier et placé un fichier INDEX.HTML (qui affiche une page blanche de sécurité) dans tous les répertoires des composants de Jommla.
Pensez-vous que ces actions suffisent pour arrêter ces attaques ?
C'est la première fois que cela m'arrive et je fais appel à vos expériences pour augmenter la sécurité sur le site.
Merci de votre contribution.
You do not have the required permissions to view the files attached to this post.
Last edited by MacBee on Tue Aug 12, 2008 5:46 pm, edited 1 time in total.
MacBee
- sebiseb
- Joomla! Guru
- Posts: 706
- Joined: Fri Aug 19, 2005 1:04 pm
- Location: IdF - Centre
- Contact:
Re: HACKER sur le composent EXPOSE4
Fait au moins remonter la faille au concepteur !
Joomla 3.9.15 - template basé sur Protostar 1.0
outils d'administration : Akeeba Backup Core 7.0.2 - Admin Tools Core 5.5.0
extensions : JCE Editor Pro 2.8.9 - Creative Contact Form 4.6.2 - kunena « Oberon » 5.1.15
outils d'administration : Akeeba Backup Core 7.0.2 - Admin Tools Core 5.5.0
extensions : JCE Editor Pro 2.8.9 - Creative Contact Form 4.6.2 - kunena « Oberon » 5.1.15
- mejean
- Joomla! Hero
- Posts: 2714
- Joined: Thu Aug 18, 2005 12:28 pm
- Location: viewforum.php?f=19
- Contact:
Re: HACKER sur le composent EXPOSE4
Quelle version d'Expose4 ?
Lors d'un hack d'un site Joomla! mieux vaut faire une réinstallation complète !
Lors d'un hack d'un site Joomla! mieux vaut faire une réinstallation complète !
Jérôme Bussière - simple utilisateur
www.cardabelle.net
www.cardabelle.net
-
- Joomla! Apprentice
- Posts: 9
- Joined: Mon Aug 11, 2008 9:11 pm
Re: HACKER sur le composent EXPOSE4
Merci pour vos réponses.
Je me sentais un peu seul
Il s'agit de la version Jommla 1.0.15 et Expose4 1.02
Le concepteur Ivan Dramaliev d'EXPOSE4 n'est pour rien : J'ai téléchargé son code et utilise peu de script php. Toute sa galerie fonctionne sur des actions Flash.
En fait la faille vient de l'adaptation de ce composent pour Jommla. Plus exactement des fichiers /administrator/components/com_expose/uploadimg.php et administrator/components/com_expose/uploadimage.php qui permettent de télécharger n'importe quel fichier notamment des scripts php (en théorie ces fichiers sont sensés télécharger les images dans la galerie).
Ensuite c'est un jeu d'enfant pour le hacker de prendre la main sur le site.
Pour le moment j'ai supprimé ces fichiers du site. Bien entendu la galerie ne fonctionne plus du moins pour le téléchargement des images.
Je recherche donc à présent l'équipe de codeurs qui ont adapté ce composent pour Jommla et voir avec eux la solution à envisager pour supprimer cette faille.
Avez vous une idée où je peux trouver l'équipe de codeur ?
MERCI
Je me sentais un peu seul
Il s'agit de la version Jommla 1.0.15 et Expose4 1.02
Le concepteur Ivan Dramaliev d'EXPOSE4 n'est pour rien : J'ai téléchargé son code et utilise peu de script php. Toute sa galerie fonctionne sur des actions Flash.
En fait la faille vient de l'adaptation de ce composent pour Jommla. Plus exactement des fichiers /administrator/components/com_expose/uploadimg.php et administrator/components/com_expose/uploadimage.php qui permettent de télécharger n'importe quel fichier notamment des scripts php (en théorie ces fichiers sont sensés télécharger les images dans la galerie).
Ensuite c'est un jeu d'enfant pour le hacker de prendre la main sur le site.
Pour le moment j'ai supprimé ces fichiers du site. Bien entendu la galerie ne fonctionne plus du moins pour le téléchargement des images.
Je recherche donc à présent l'équipe de codeurs qui ont adapté ce composent pour Jommla et voir avec eux la solution à envisager pour supprimer cette faille.
Avez vous une idée où je peux trouver l'équipe de codeur ?
MERCI
MacBee
-
- Joomla! Apprentice
- Posts: 9
- Joined: Mon Aug 11, 2008 9:11 pm
Re: HACKER sur le composent EXPOSE4
J'ai trouvé le lieu où je peux télécharger la dernière version d'EXPOSE 4
Je l'installe et vous tient au courant sur la faille
Je l'installe et vous tient au courant sur la faille
MacBee
- mejean
- Joomla! Hero
- Posts: 2714
- Joined: Thu Aug 18, 2005 12:28 pm
- Location: viewforum.php?f=19
- Contact:
Re: HACKER sur le composent EXPOSE4
Le site d'Expose4 pour Joomla! est http://gotgtek.net/15/
La dernière version du composant est la version 4.6.2
EDIT--
La faille est ancienne en fait et liée à une vielle version du composant pour Joomla! voir ce topic : http://forum.joomla.org/viewtopic.php?t=192172
EDIT MODO--
Pensez à faire les mises à jours de vos composants les failles sont le plus souvent du à des composants tiers qu'à Joomla! lui-même. Vous trouverez liste des composants connus ayant une faille ici: http://docs.joomla.org/Vulnerable_Extensions_List
La dernière version du composant est la version 4.6.2
EDIT--
La faille est ancienne en fait et liée à une vielle version du composant pour Joomla! voir ce topic : http://forum.joomla.org/viewtopic.php?t=192172
EDIT MODO--
Pensez à faire les mises à jours de vos composants les failles sont le plus souvent du à des composants tiers qu'à Joomla! lui-même. Vous trouverez liste des composants connus ayant une faille ici: http://docs.joomla.org/Vulnerable_Extensions_List
Jérôme Bussière - simple utilisateur
www.cardabelle.net
www.cardabelle.net
-
- Joomla! Apprentice
- Posts: 9
- Joined: Mon Aug 11, 2008 9:11 pm
Re: HACKER sur le composent EXPOSE4
Merci Mejean et Modo.
J'ai découvert en même temps que j'installais la dernière version que la faille est ancienne et connu.
Il est clair qu'il est nécessaire de mettre à jour les composants.
Pour ma part, j'ai installé cette galerie en début d'année (25/02/2008). J'ai du à l'époque téléchargé une vielle version que je pensais être la dernière. Dans mon esprit, je ne pensais pas être en défaut de ce coté.
Je découvre en fait cette faille et l'erreur d'installation de l'époque.
Comme il s'agit de ma première attaque d'un hacker, le temps que j'ai passé pour connaitre sa méthode et trouver la faille me sert de leçon : je sais maintenant qu'il ne faut pas croire qu'il s'agit d'un gentil mais prendre le problème au sérieux dès le début. Cela m'aurait éviter être une victime et surtout que le site soit considéré comme l'origine d'envoi de spam
Je vous remercie pour votre participation.
A+
J'ai découvert en même temps que j'installais la dernière version que la faille est ancienne et connu.
Il est clair qu'il est nécessaire de mettre à jour les composants.
Pour ma part, j'ai installé cette galerie en début d'année (25/02/2008). J'ai du à l'époque téléchargé une vielle version que je pensais être la dernière. Dans mon esprit, je ne pensais pas être en défaut de ce coté.
Je découvre en fait cette faille et l'erreur d'installation de l'époque.
Comme il s'agit de ma première attaque d'un hacker, le temps que j'ai passé pour connaitre sa méthode et trouver la faille me sert de leçon : je sais maintenant qu'il ne faut pas croire qu'il s'agit d'un gentil mais prendre le problème au sérieux dès le début. Cela m'aurait éviter être une victime et surtout que le site soit considéré comme l'origine d'envoi de spam
Je vous remercie pour votre participation.
A+
MacBee
- sebiseb
- Joomla! Guru
- Posts: 706
- Joined: Fri Aug 19, 2005 1:04 pm
- Location: IdF - Centre
- Contact:
Re: [Réglé] HACKER sur le composent EXPOSE4
Durant l'été 2006 j'ai été attaqué de nombreuses fois par le script en question via je ne sais plus quel composant installé qui ne servait même plus.. Bref, je crois que ce genre de truc permet surtout d'être plus précautionneux par la suite
Joomla 3.9.15 - template basé sur Protostar 1.0
outils d'administration : Akeeba Backup Core 7.0.2 - Admin Tools Core 5.5.0
extensions : JCE Editor Pro 2.8.9 - Creative Contact Form 4.6.2 - kunena « Oberon » 5.1.15
outils d'administration : Akeeba Backup Core 7.0.2 - Admin Tools Core 5.5.0
extensions : JCE Editor Pro 2.8.9 - Creative Contact Form 4.6.2 - kunena « Oberon » 5.1.15
-
- Joomla! Apprentice
- Posts: 9
- Joined: Mon Aug 11, 2008 9:11 pm
Re: [Réglé] HACKER sur le composent EXPOSE4
Je rejoins tout à fait ton avis.sebiseb wrote:Durant l'été 2006 j'ai été attaqué de nombreuses fois par le script en question via je ne sais plus quel composant installé qui ne servait même plus.. Bref, je crois que ce genre de truc permet surtout d'être plus précautionneux par la suite
Je reste vigilant car je ne suis pas sûr d'avoir supprimé tous les fichiers que le hacker ait pu mettre sur le site, notamment pour l'envoi de mail a mon insu.
MacBee
- yatoula
- Joomla! Enthusiast
- Posts: 224
- Joined: Thu Feb 23, 2006 12:35 am
- Location: Metz France
- Contact:
Re: [Réglé] HACKER sur le composent EXPOSE4
et je peux en mettre des pleines lignes.
A titre d'info, c'est plus une faille mais c'est un gouffre.
Donc pour résumer :
- 2 serveurs plantés en 1 mois d'intervalle
- Des frais exorbitant de récupération des données clients ( suite à la percé des hackers tous les index.php, html et htm ont été remplacés)
- une perte de X clients et des procès sur le dos ( remboursements, dommages et intérêts.. et j'en passe.
- Le tout à cause d'une faille d'un composant
Je me pose tout de même la question, que faire ?
A l'époque mon serveur était chez X, Linux avec Débian, utilisation de Plesk avec et le tout à jour (enfin pour moi car ce fournisseur n'effectuait aucune mise à jour, c'est moi à la mano )
Résultat ma boite coule et je sais même pas si je vais tenir debout. Dur de se relever. Je viens de me rendre compte de la faille en essayant de transférer les comptes de mes clients sur mon PC, au moment du transfert de l'un de mes serveurs hacké sur mon Pc, mon antivirus s'est affolé. En effectuant une recherche la faille venait de là.
Alors je vous conseille, tant que le créateur à pas mis à jour, de supprimer tout ça...
A bon entendeur.. Donnez moi une corde avant que tout arbres de la planète ne soit crevé.
A titre d'info, c'est plus une faille mais c'est un gouffre.
Donc pour résumer :
- 2 serveurs plantés en 1 mois d'intervalle
- Des frais exorbitant de récupération des données clients ( suite à la percé des hackers tous les index.php, html et htm ont été remplacés)
- une perte de X clients et des procès sur le dos ( remboursements, dommages et intérêts.. et j'en passe.
- Le tout à cause d'une faille d'un composant
Je me pose tout de même la question, que faire ?
A l'époque mon serveur était chez X, Linux avec Débian, utilisation de Plesk avec et le tout à jour (enfin pour moi car ce fournisseur n'effectuait aucune mise à jour, c'est moi à la mano )
Résultat ma boite coule et je sais même pas si je vais tenir debout. Dur de se relever. Je viens de me rendre compte de la faille en essayant de transférer les comptes de mes clients sur mon PC, au moment du transfert de l'un de mes serveurs hacké sur mon Pc, mon antivirus s'est affolé. En effectuant une recherche la faille venait de là.
et les 2 fois infecté par des hackers différents, mais par la même faille...TrojanHorse PHP / BackDorr.C99Shell
Alors je vous conseille, tant que le créateur à pas mis à jour, de supprimer tout ça...
A bon entendeur.. Donnez moi une corde avant que tout arbres de la planète ne soit crevé.
- mejean
- Joomla! Hero
- Posts: 2714
- Joined: Thu Aug 18, 2005 12:28 pm
- Location: viewforum.php?f=19
- Contact:
Re: [Réglé] HACKER sur le composent EXPOSE4
Je compatis sincèrement à tes problèmes, yatoula !
La sécurité est un point majeur pour la mise en ligne de site Internet surtout à l'aide d'outils open source accessible à tout le monde et dont la plupart des utilisateurs recherchent l'hébergement le moins cher possible (voire gratuit).
Non spécialiste, je croise les doigts. Je n'ai été hacké qu'une seule fois et cela n'a pas recommencé ! Il me semble avoir fait un bon choix pour l'hébergement également. Il n'est pas des moins chers, mais le service technique est réactif et les serveurs mis à jour ou carrément remplacés quand ils sont défectueux.
Et pour continuer, lisez ce sujet à propos des hébergeurs (et de la directive PHP register globals) : http://community.joomla.org/core-team-b ... -time.html (en anglais)
La sécurité est un point majeur pour la mise en ligne de site Internet surtout à l'aide d'outils open source accessible à tout le monde et dont la plupart des utilisateurs recherchent l'hébergement le moins cher possible (voire gratuit).
Non spécialiste, je croise les doigts. Je n'ai été hacké qu'une seule fois et cela n'a pas recommencé ! Il me semble avoir fait un bon choix pour l'hébergement également. Il n'est pas des moins chers, mais le service technique est réactif et les serveurs mis à jour ou carrément remplacés quand ils sont défectueux.
Et pour continuer, lisez ce sujet à propos des hébergeurs (et de la directive PHP register globals) : http://community.joomla.org/core-team-b ... -time.html (en anglais)
Jérôme Bussière - simple utilisateur
www.cardabelle.net
www.cardabelle.net
- yatoula
- Joomla! Enthusiast
- Posts: 224
- Joined: Thu Feb 23, 2006 12:35 am
- Location: Metz France
- Contact:
Re: [Réglé] HACKER sur le composent EXPOSE4
petite question, des nouvelles du composant ? Il a été mis à jour ?
Merci
Merci
-
- Joomla! Fledgling
- Posts: 1
- Joined: Tue Sep 14, 2010 11:31 am
Re: [Réglé] HACKER sur le composent EXPOSE4
Le composant expose4 version 4.6.3 a été hacké sur un de mes sites...
Attention !
Attention !