[Réglé] HACKER sur le composent EXPOSE4

Informations concernant la sécurité de son site Joomla! 1.0.x

Moderators: Aidan38, sarki

Forum rules
Règles du forum
Locked
MacBee
Joomla! Apprentice
Joomla! Apprentice
Posts: 9
Joined: Mon Aug 11, 2008 9:11 pm

[Réglé] HACKER sur le composent EXPOSE4

Post by MacBee » Mon Aug 11, 2008 9:35 pm

Bonjour,

Depuis quelques mois je subissait des attaques du Hacker RuSTLer (Contact:CasPer).
Je ne sais pas si vous le connaissez. Si c'est le cas vous ne serez pas surpris de l'écran noir qu'il laisse derrière lui avec comme fond musical une musique sournoise.

Au début, je me contentais simplement de supprimer la page index.php qu'il remplaçait à la racine du site et de remettre le bon fichier à la place (celui du pack Jommla 1.0.15) jusqu'à que mon hébergeur me signale qu'il bloque ma messagerie car elle diffusait des spams avec un taux d'erreurs supérieurs à 5 %.

Là, je ne suis pas content et je demande à mon hébergeur comment trouver la faille.
En lisant le fichier log correspondant à la dernière attaque j'ai remarqué qu'il utilisait le script ixir2.php compris dans le composent EXPOSE4 (Galerie Photo très agréable que j'ai installé sur le site).

Ce script lance une application connue des hackers C99Shell v. 1.0.
C99Shell.JPG
Avec ce script, on contrôle l'intégralité du site : C'EST IMPRESSIONNANT.
On peux même aller jusqu'à changer les droits voir remonter jusqu'au shell du serveur.

J'ai supprimé ce fichier et placé un fichier INDEX.HTML (qui affiche une page blanche de sécurité) dans tous les répertoires des composants de Jommla.

Pensez-vous que ces actions suffisent pour arrêter ces attaques ?
C'est la première fois que cela m'arrive et je fais appel à vos expériences pour augmenter la sécurité sur le site.

Merci de votre contribution.
You do not have the required permissions to view the files attached to this post.
Last edited by MacBee on Tue Aug 12, 2008 5:46 pm, edited 1 time in total.
MacBee

User avatar
sebiseb
Joomla! Guru
Joomla! Guru
Posts: 700
Joined: Fri Aug 19, 2005 1:04 pm
Location: IdF - Centre
Contact:

Re: HACKER sur le composent EXPOSE4

Post by sebiseb » Tue Aug 12, 2008 1:41 pm

Fait au moins remonter la faille au concepteur !
Sébastien Pillias - french forum moderator

Vous êtes sur un forum d'entre aide : aidez les autres, les autres vous aideront !
Aidez-les à vous aidez en utilisant le fichier jtspost_fr.php : http://forum.joomla.org/viewtopic.php?t=272866 !

User avatar
mejean
Joomla! Hero
Joomla! Hero
Posts: 2716
Joined: Thu Aug 18, 2005 12:28 pm
Location: viewforum.php?f=19
Contact:

Re: HACKER sur le composent EXPOSE4

Post by mejean » Tue Aug 12, 2008 3:04 pm

Quelle version d'Expose4 ?

Lors d'un hack d'un site Joomla! mieux vaut faire une réinstallation complète !
Jérôme Bussière - simple utilisateur
www.cardabelle.net

MacBee
Joomla! Apprentice
Joomla! Apprentice
Posts: 9
Joined: Mon Aug 11, 2008 9:11 pm

Re: HACKER sur le composent EXPOSE4

Post by MacBee » Tue Aug 12, 2008 4:04 pm

Merci pour vos réponses.

Je me sentais un peu seul ;)

Il s'agit de la version Jommla 1.0.15 et Expose4 1.02
Le concepteur Ivan Dramaliev d'EXPOSE4 n'est pour rien : J'ai téléchargé son code et utilise peu de script php. Toute sa galerie fonctionne sur des actions Flash.
En fait la faille vient de l'adaptation de ce composent pour Jommla. Plus exactement des fichiers /administrator/components/com_expose/uploadimg.php et administrator/components/com_expose/uploadimage.php qui permettent de télécharger n'importe quel fichier notamment des scripts php (en théorie ces fichiers sont sensés télécharger les images dans la galerie).
Ensuite c'est un jeu d'enfant pour le hacker de prendre la main sur le site.

Pour le moment j'ai supprimé ces fichiers du site. Bien entendu la galerie ne fonctionne plus du moins pour le téléchargement des images.

Je recherche donc à présent l'équipe de codeurs qui ont adapté ce composent pour Jommla et voir avec eux la solution à envisager pour supprimer cette faille.

Avez vous une idée où je peux trouver l'équipe de codeur ?

MERCI
MacBee

MacBee
Joomla! Apprentice
Joomla! Apprentice
Posts: 9
Joined: Mon Aug 11, 2008 9:11 pm

Re: HACKER sur le composent EXPOSE4

Post by MacBee » Tue Aug 12, 2008 4:24 pm

J'ai trouvé le lieu où je peux télécharger la dernière version d'EXPOSE 4

Je l'installe et vous tient au courant sur la faille ;)
MacBee

User avatar
mejean
Joomla! Hero
Joomla! Hero
Posts: 2716
Joined: Thu Aug 18, 2005 12:28 pm
Location: viewforum.php?f=19
Contact:

Re: HACKER sur le composent EXPOSE4

Post by mejean » Tue Aug 12, 2008 5:20 pm

Le site d'Expose4 pour Joomla! est http://gotgtek.net/15/
La dernière version du composant est la version 4.6.2

EDIT--
La faille est ancienne en fait et liée à une vielle version du composant pour Joomla! voir ce topic : http://forum.joomla.org/viewtopic.php?t=192172

EDIT MODO--
Pensez à faire les mises à jours de vos composants les failles sont le plus souvent du à des composants tiers qu'à Joomla! lui-même. Vous trouverez liste des composants connus ayant une faille ici: http://docs.joomla.org/Vulnerable_Extensions_List
Jérôme Bussière - simple utilisateur
www.cardabelle.net

MacBee
Joomla! Apprentice
Joomla! Apprentice
Posts: 9
Joined: Mon Aug 11, 2008 9:11 pm

Re: HACKER sur le composent EXPOSE4

Post by MacBee » Tue Aug 12, 2008 5:46 pm

Merci Mejean et Modo.

J'ai découvert en même temps que j'installais la dernière version que la faille est ancienne et connu.
Il est clair qu'il est nécessaire de mettre à jour les composants.

Pour ma part, j'ai installé cette galerie en début d'année (25/02/2008). J'ai du à l'époque téléchargé une vielle version que je pensais être la dernière. Dans mon esprit, je ne pensais pas être en défaut de ce coté.
Je découvre en fait cette faille et l'erreur d'installation de l'époque.

Comme il s'agit de ma première attaque d'un hacker, le temps que j'ai passé pour connaitre sa méthode et trouver la faille me sert de leçon : je sais maintenant qu'il ne faut pas croire qu'il s'agit d'un gentil mais prendre le problème au sérieux dès le début. Cela m'aurait éviter être une victime et surtout que le site soit considéré comme l'origine d'envoi de spam :)

Je vous remercie pour votre participation.
A+
MacBee

User avatar
sebiseb
Joomla! Guru
Joomla! Guru
Posts: 700
Joined: Fri Aug 19, 2005 1:04 pm
Location: IdF - Centre
Contact:

Re: [Réglé] HACKER sur le composent EXPOSE4

Post by sebiseb » Tue Aug 12, 2008 9:21 pm

Durant l'été 2006 j'ai été attaqué de nombreuses fois par le script en question via je ne sais plus quel composant installé qui ne servait même plus.. Bref, je crois que ce genre de truc permet surtout d'être plus précautionneux par la suite :)
Sébastien Pillias - french forum moderator

Vous êtes sur un forum d'entre aide : aidez les autres, les autres vous aideront !
Aidez-les à vous aidez en utilisant le fichier jtspost_fr.php : http://forum.joomla.org/viewtopic.php?t=272866 !

MacBee
Joomla! Apprentice
Joomla! Apprentice
Posts: 9
Joined: Mon Aug 11, 2008 9:11 pm

Re: [Réglé] HACKER sur le composent EXPOSE4

Post by MacBee » Tue Aug 12, 2008 10:19 pm

sebiseb wrote:Durant l'été 2006 j'ai été attaqué de nombreuses fois par le script en question via je ne sais plus quel composant installé qui ne servait même plus.. Bref, je crois que ce genre de truc permet surtout d'être plus précautionneux par la suite :)
Je rejoins tout à fait ton avis.

Je reste vigilant car je ne suis pas sûr d'avoir supprimé tous les fichiers que le hacker ait pu mettre sur le site, notamment pour l'envoi de mail a mon insu. ;)
MacBee

User avatar
yatoula
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 224
Joined: Thu Feb 23, 2006 12:35 am
Location: Metz France
Contact:

Re: [Réglé] HACKER sur le composent EXPOSE4

Post by yatoula » Thu Aug 21, 2008 2:57 am

:'( :'( :'( :'( :'( et je peux en mettre des pleines lignes.

A titre d'info, c'est plus une faille mais c'est un gouffre.

Donc pour résumer :
- 2 serveurs plantés en 1 mois d'intervalle
- Des frais exorbitant de récupération des données clients ( suite à la percé des hackers tous les index.php, html et htm ont été remplacés)
- une perte de X clients et des procès sur le dos ( remboursements, dommages et intérêts.. et j'en passe.
- Le tout à cause d'une faille d'un composant

Je me pose tout de même la question, que faire ?
A l'époque mon serveur était chez X, Linux avec Débian, utilisation de Plesk avec et le tout à jour (enfin pour moi car ce fournisseur n'effectuait aucune mise à jour, c'est moi à la mano )

Résultat ma boite coule et je sais même pas si je vais tenir debout. Dur de se relever. Je viens de me rendre compte de la faille en essayant de transférer les comptes de mes clients sur mon PC, au moment du transfert de l'un de mes serveurs hacké sur mon Pc, mon antivirus s'est affolé. En effectuant une recherche la faille venait de là.
TrojanHorse PHP / BackDorr.C99Shell
>:( et les 2 fois infecté par des hackers différents, mais par la même faille...

Alors je vous conseille, tant que le créateur à pas mis à jour, de supprimer tout ça...

A bon entendeur.. Donnez moi une corde avant que tout arbres de la planète ne soit crevé.

User avatar
mejean
Joomla! Hero
Joomla! Hero
Posts: 2716
Joined: Thu Aug 18, 2005 12:28 pm
Location: viewforum.php?f=19
Contact:

Re: [Réglé] HACKER sur le composent EXPOSE4

Post by mejean » Thu Aug 21, 2008 6:40 am

Je compatis sincèrement à tes problèmes, yatoula !

La sécurité est un point majeur pour la mise en ligne de site Internet surtout à l'aide d'outils open source accessible à tout le monde et dont la plupart des utilisateurs recherchent l'hébergement le moins cher possible (voire gratuit).

Non spécialiste, je croise les doigts. Je n'ai été hacké qu'une seule fois et cela n'a pas recommencé ! Il me semble avoir fait un bon choix pour l'hébergement également. Il n'est pas des moins chers, mais le service technique est réactif et les serveurs mis à jour ou carrément remplacés quand ils sont défectueux.

Et pour continuer, lisez ce sujet à propos des hébergeurs (et de la directive PHP register globals) : http://community.joomla.org/core-team-b ... -time.html (en anglais)
Jérôme Bussière - simple utilisateur
www.cardabelle.net

User avatar
yatoula
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 224
Joined: Thu Feb 23, 2006 12:35 am
Location: Metz France
Contact:

Re: [Réglé] HACKER sur le composent EXPOSE4

Post by yatoula » Tue Aug 26, 2008 8:16 pm

petite question, des nouvelles du composant ? Il a été mis à jour ?
Merci

victor-mathilde
Joomla! Fledgling
Joomla! Fledgling
Posts: 1
Joined: Tue Sep 14, 2010 11:31 am

Re: [Réglé] HACKER sur le composent EXPOSE4

Post by victor-mathilde » Tue Sep 14, 2010 12:25 pm

Le composant expose4 version 4.6.3 a été hacké sur un de mes sites...

Attention !


Locked

Return to “1.0 - Sécurité”