Attaques en série

Informations concernant la sécurité, Support et assistance pour améliorer les performances de son site Joomla! 1.5.x

Moderators: sarki, Aidan38

Forum rules
Règles du forum
Locked
User avatar
dec
Joomla! Guru
Joomla! Guru
Posts: 502
Joined: Mon Apr 03, 2006 2:06 pm

Attaques en série

Post by dec » Wed May 26, 2010 8:08 am

Bonne surprise ce mardi matin avec non pas 1 mais une petite dizaine de mes sites attaqués et dont la page d'accueil affichait un simple:

Code: Select all

Parse error: syntax error, unexpected '<' in /.../.../.../index.php on line 90
.
Les deux fichiers du root de Joom index.php et index2.php étaient vérolés avec l'ajout d'un script en bas de page (la date de modif du 24/05 en référence).
Je rebalance donc les fichiers d'origine et là, base de données crashée.
Tiens, donc ?
Un simple "repair" avec mysql a suffit a refaire tourner l'ensemble.
Par contre, il a fallu vérifier l'intégralité des fichiers du serveurs car plusieurs, dont principalement les index.html, avaient été modifié dont également d'autres tels que .js Etc.
Travail long et fastidieux car mon ftp ne recherche pas par date de modification (si qqn connait un ftp qui fait cela...)
Je cherche la porte d'entrée de mon visiteur et... rien ! A croire qu'il était déjà dans la place...
Pas de logs curieux, pas d'alertes ni de blocage OVH...
J'étais tranquille jusqu'à maintenant car blindé en termes de sécurité (bon ok pas tous mais presque ;) )
Le gros soucis est de trouver la porte d'entrée.
Si quelqu'un a eu des échos...
Morphosys m'annonce un problème identique. je teste sa page d'accueil sauf que lui, le script fonctionne correctement et ça balance un gentil PDF.

edit: les sites concernés étaient tous en 1.5.16

morphosys
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Mon Mar 22, 2010 6:20 pm

Re: Attaques en série

Post by morphosys » Wed May 26, 2010 8:44 am

Bonjour,
Je confirme l'attaque
Pour moi, elle a eu le 24/05.
Sympa les gars. Ils peuvent pas attaquer des sites plus gros que nous...pfff
Je viens de remettre des nouveux fichiers index dans ma version v4
Je continue de chercher le pb avec mon gentil pdf....lol

User avatar
dec
Joomla! Guru
Joomla! Guru
Posts: 502
Joined: Mon Apr 03, 2006 2:06 pm

Re: Attaques en série

Post by dec » Wed May 26, 2010 8:57 am

Recherche TOUS les fichiers modifiés (pas seulement des index) le 24 (ds ton cas) et écrase les avec les originaux.

User avatar
dec
Joomla! Guru
Joomla! Guru
Posts: 502
Joined: Mon Apr 03, 2006 2:06 pm

Re: Attaques en série

Post by dec » Wed May 26, 2010 9:08 am

J'avance doucement.
Je confirme. A priori l'attaque ne concerne que des site en 1.5.16 et non antérieurs à cette version.

morphosys
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Mon Mar 22, 2010 6:20 pm

Re: Attaques en série

Post by morphosys » Wed May 26, 2010 2:23 pm

Je viens de modifié mon index pour ma page principale de mon site avec le pdf qui va bien....:)
Maintenant c ok. Je vous dit pas toutes les lignes qu'ils avaient rajouté.
Je continu ce soir ma recherche des fichiers infectés.

User avatar
dec
Joomla! Guru
Joomla! Guru
Posts: 502
Joined: Mon Apr 03, 2006 2:06 pm

Re: Attaques en série

Post by dec » Wed May 26, 2010 3:31 pm

non pas de bol un vieux site en 1.0.15 également...
Et le téléphone sonne du genre hey il est où mon site??
Si quelqu'un a une idée de la faille. 15 de mes sites sont touchés. Aucun n'a le même composant, aucune trace dans les logs... Et pas de récurrence au niveau de la version.
J'ai détecté une faille avant tout le monde ou quoi ?

morphosys
Joomla! Apprentice
Joomla! Apprentice
Posts: 10
Joined: Mon Mar 22, 2010 6:20 pm

Re: Attaques en série

Post by morphosys » Sat May 29, 2010 6:57 am

Dit voi Dec, est ce que tu peux me redonner le htaccess que tu m'avais fait par hazard ou pas.


Locked

Return to “1.5 - Sécurité et performances”