[Réglé] HACKER sur le composent EXPOSE4

[MacBee]

Bonjour,

Depuis quelques mois je subissait des attaques du Hacker RuSTLer (Contact:CasPer).
Je ne sais pas si vous le connaissez. Si c'est le cas vous ne serez pas surpris de l'écran noir qu'il laisse derrière lui avec comme fond musical une musique sournoise.

Au début, je me contentais simplement de supprimer la page index.php qu'il remplaçait à la racine du site et de remettre le bon fichier à la place (celui du pack Jommla 1.0.15) jusqu'à que mon hébergeur me signale qu'il bloque ma messagerie car elle diffusait des spams avec un taux d'erreurs supérieurs à 5 %.

Là, je ne suis pas content et je demande à mon hébergeur comment trouver la faille.
En lisant le fichier log correspondant à la dernière attaque j'ai remarqué qu'il utilisait le script ixir2.php compris dans le composent EXPOSE4 (Galerie Photo très agréable que j'ai installé sur le site).

Ce script lance une application connue des hackers C99Shell v. 1.0.

C99Shell.JPG

Avec ce script, on contrôle l'intégralité du site : C'EST IMPRESSIONNANT.
On peux même aller jusqu'à changer les droits voir remonter jusqu'au shell du serveur.

J'ai supprimé ce fichier et placé un fichier INDEX.HTML (qui affiche une page blanche de sécurité) dans tous les répertoires des composants de Jommla.

Pensez-vous que ces actions suffisent pour arrêter ces attaques ?
C'est la première fois que cela m'arrive et je fais appel à vos expériences pour augmenter la sécurité sur le site.

Merci de votre contribution.

[sebiseb]

Fait au moins remonter la faille au concepteur !

[mejean]

Quelle version d'Expose4 ?

Lors d'un hack d'un site Joomla! mieux vaut faire une réinstallation complète !

[MacBee]

Merci pour vos réponses.

Je me sentais un peu seul

Il s'agit de la version Jommla 1.0.15 et Expose4 1.02
Le concepteur Ivan Dramaliev d'EXPOSE4 n'est pour rien : J'ai téléchargé son code et utilise peu de script php. Toute sa galerie fonctionne sur des actions Flash.
En fait la faille vient de l'adaptation de ce composent pour Jommla. Plus exactement des fichiers /administrator/components/com_expose/uploadimg.php et administrator/components/com_expose/uploadimage.php qui permettent de télécharger n'importe quel fichier notamment des scripts php (en théorie ces fichiers sont sensés télécharger les images dans la galerie).
Ensuite c'est un jeu d'enfant pour le hacker de prendre la main sur le site.

Pour le moment j'ai supprimé ces fichiers du site. Bien entendu la galerie ne fonctionne plus du moins pour le téléchargement des images.

Je recherche donc à présent l'équipe de codeurs qui ont adapté ce composent pour Jommla et voir avec eux la solution à envisager pour supprimer cette faille.

Avez vous une idée où je peux trouver l'équipe de codeur ?

MERCI

[MacBee]

J'ai trouvé le lieu où je peux télécharger la dernière version d'EXPOSE 4

Je l'installe et vous tient au courant sur la faille

[mejean]

Le site d'Expose4 pour Joomla! est http://gotgtek.net/15/
La dernière version du composant est la version 4.6.2

EDIT--
La faille est ancienne en fait et liée à une vielle version du composant pour Joomla! voir ce topic : http://forum.joomla.org/viewtopic.php?t=192172

EDIT MODO--
Pensez à faire les mises à jours de vos composants les failles sont le plus souvent du à des composants tiers qu'à Joomla! lui-même. Vous trouverez liste des composants connus ayant une faille ici: http://docs.joomla.org/Vulnerable_Extensions_List

[MacBee]

Merci Mejean et Modo.

J'ai découvert en même temps que j'installais la dernière version que la faille est ancienne et connu.
Il est clair qu'il est nécessaire de mettre à jour les composants.

Pour ma part, j'ai installé cette galerie en début d'année (25/02/2008). J'ai du à l'époque téléchargé une vielle version que je pensais être la dernière. Dans mon esprit, je ne pensais pas être en défaut de ce coté.
Je découvre en fait cette faille et l'erreur d'installation de l'époque.

Comme il s'agit de ma première attaque d'un hacker, le temps que j'ai passé pour connaitre sa méthode et trouver la faille me sert de leçon : je sais maintenant qu'il ne faut pas croire qu'il s'agit d'un gentil mais prendre le problème au sérieux dès le début. Cela m'aurait éviter être une victime et surtout que le site soit considéré comme l'origine d'envoi de spam

Je vous remercie pour votre participation.
A+

[sebiseb]

Durant l'été 2006 j'ai été attaqué de nombreuses fois par le script en question via je ne sais plus quel composant installé qui ne servait même plus.. Bref, je crois que ce genre de truc permet surtout d'être plus précautionneux par la suite

[MacBee]

Durant l'été 2006 j'ai été attaqué de nombreuses fois par le script en question via je ne sais plus quel composant installé qui ne servait même plus.. Bref, je crois que ce genre de truc permet surtout d'être plus précautionneux par la suite

Je rejoins tout à fait ton avis.

Je reste vigilant car je ne suis pas sûr d'avoir supprimé tous les fichiers que le hacker ait pu mettre sur le site, notamment pour l'envoi de mail a mon insu.

[yatoula]

et je peux en mettre des pleines lignes.

A titre d'info, c'est plus une faille mais c'est un gouffre.

Donc pour résumer :
- 2 serveurs plantés en 1 mois d'intervalle
- Des frais exorbitant de récupération des données clients ( suite à la percé des hackers tous les index.php, html et htm ont été remplacés)
- une perte de X clients et des procès sur le dos ( remboursements, dommages et intérêts.. et j'en passe.
- Le tout à cause d'une faille d'un composant

Je me pose tout de même la question, que faire ?
A l'époque mon serveur était chez X, Linux avec Débian, utilisation de Plesk avec et le tout à jour (enfin pour moi car ce fournisseur n'effectuait aucune mise à jour, c'est moi à la mano )

Résultat ma boite coule et je sais même pas si je vais tenir debout. Dur de se relever. Je viens de me rendre compte de la faille en essayant de transférer les comptes de mes clients sur mon PC, au moment du transfert de l'un de mes serveurs hacké sur mon Pc, mon antivirus s'est affolé. En effectuant une recherche la faille venait de là.

TrojanHorse PHP / BackDorr.C99Shell

et les 2 fois infecté par des hackers différents, mais par la même faille...

Alors je vous conseille, tant que le créateur à pas mis à jour, de supprimer tout ça...

A bon entendeur.. Donnez moi une corde avant que tout arbres de la planète ne soit crevé.

[mejean]

Je compatis sincèrement à tes problèmes, yatoula !

La sécurité est un point majeur pour la mise en ligne de site Internet surtout à l'aide d'outils open source accessible à tout le monde et dont la plupart des utilisateurs recherchent l'hébergement le moins cher possible (voire gratuit).

Non spécialiste, je croise les doigts. Je n'ai été hacké qu'une seule fois et cela n'a pas recommencé ! Il me semble avoir fait un bon choix pour l'hébergement également. Il n'est pas des moins chers, mais le service technique est réactif et les serveurs mis à jour ou carrément remplacés quand ils sont défectueux.

Et pour continuer, lisez ce sujet à propos des hébergeurs (et de la directive PHP register globals) : http://community.joomla.org/core-team-b ... -time.html (en anglais)

[yatoula]

petite question, des nouvelles du composant ? Il a été mis à jour ?
Merci

[victor-mathilde]

Le composant expose4 version 4.6.3 a été hacké sur un de mes sites...

Attention !