hack

[tituch]

Bonjour à tous, un petit avertissement sur la sécurité sur sme 7.5.1, quelqu'un à réussi à déposer de fichier de hacking dans joomla, même si l'accès ftp était ouvert que depuis le réseau local.Demande aux experts,comment je peux faire pour savoir ou est la faille.(messages, logs a vérifier).

[ccnet]

Une première chose que vous pouvez faire consiste à vérifier les alertes de sécurité concernant Joomla. Vous devrez éventuellement mettre à jour votre version ou appliquer un correctif de l'éditeur. Il est fort probable que le problème de sécurité concerne votre applicatif et non sme.

[Muzo]

Bonjour,

Les failles actuelles sont surtout dans les applications tiers.
Pour suivre les failles: http://www.phpsecure.info/

Joomla y a au moins une faille par semaine ....

/Muzo

[Jaz]

Bonjour à tous, un petit avertissement sur la sécurité sur sme 7.5.1, quelqu'un à réussi à déposer de fichier de hacking dans joomla, même si l'accès ftp était ouvert que depuis le réseau local.Demande aux experts,comment je peux faire pour savoir ou est la faille.(messages, logs a vérifier).

Bonjour,

quel genre de fichier hacking a été déposé ?

Mon réseau ftp n'est ouvert aussi que depuis le réseau local, donc ça m'intéresserai de savoir même si je n'utilise pas joomla, Merci

[tituch]

Bonjour à tous, un petit avertissement sur la sécurité sur sme 7.5.1, quelqu'un à réussi à déposer de fichier de hacking dans joomla, même si l'accès ftp était ouvert que depuis le réseau local.Demande aux experts,comment je peux faire pour savoir ou est la faille.(messages, logs a vérifier).

Bonjour,

quel genre de fichier hacking a été déposé ?

Mon réseau ftp n'est ouvert aussi que depuis le réseau local, donc ça m'intéresserai de savoir même si je n'utilise pas joomla, Merci

Bonjour, je suis désolé pour le retard mais je travaille la journée, le haker (je sais pas si le terme est approprié) a déposé un fichier zip sur le serveur dans le dossier /home/e-smith/files/ibays/Primary/html/components/com_media/helpers, le dossier s'appelle onlineverification.do, ensuite dezipée, l'adresse mail utilisée pour recevoir les informations du haking sont charles.dennis.dennis@gmail.com, barristerlauradibella1@rediffmail.com, barristerlauradibella2@rediffmail.com, donc comment se protéger, et quoi faire dans de telles situations.

Ma question est la suivante, il a pu déposer le fichiers sur le site en trouvant une faille sur joomla, ou par un accès au serveur ?

c'était du phishing pour une banque.

[Jaz]

Salut Tituch

Dans les logs ou si tu as installé AWStats, tu devrais savoir quand a été déposé ce fichier et l'adresse IP de celui-ci ?

Après il est vrai que c'est étonnant qu'un fichier puisse être installé si tu n'as autorisé aucune connexion FTP en dehors de local ? m'enfin je suis pas un expert du hack

[tituch]

Salut Tituch

Dans les logs ou si tu as installé AWStats, tu devrais savoir quand a été déposé ce fichier et l'adresse IP de celui-ci ?

Après il est vrai que c'est étonnant qu'un fichier puisse être installé si tu n'as autorisé aucune connexion FTP en dehors de local ? m'enfin je suis pas un expert du hack

j'ai installe awstats, je vais essayé de comprendre ce qui c'est passé.

[gemoussier]

Bonsoir,

Si le serveur FTP n'est pas à priori "ouvert" sur l'extérieur alors peut-être que :
- un utilisateur local n'est pas digne de confiance
- une machine dans le réseau local a servi de relai
- ftp n'est pas le seul moyen de déposer des fichiers (faille Joomla, SCP...)

[ccnet]

il a pu déposer le fichiers sur le site en trouvant une faille sur joomla, ou par un accès au serveur ?

Les deux mon capitaine ! Une faille de Joomla lui donne accès au système disque. A moins que ce soit une erreur de configuration de votre part. Ce qui est toujours possible. Ceci dans le sens où certaines failles ne sont exploitables que sous certaines configurations.
Bref la lecture des avis de sécurité (certa, site joomla) vous en diront plus. Milw0rm (quand il est accessible) pourrait peut être aussi vous renseigner sur l'exploit utilisé. Il est fort probable que le code d'exploitation de la faille (si il en faut un) soit disponible sur internet.

[Jaz]

Si le serveur FTP n'est pas à priori "ouvert" sur l'extérieur

Bah il est ouvert ou pas ?

un utilisateur local n'est pas digne de confiance

C'est une possibilité en vérifiant les accès

une machine dans le réseau local a servi de relai

Possible mais il faufdrait que tu détails l'architecture de ton réseau pour avoir une réponse.

ftp n'est pas le seul moyen de déposer des fichiers (faille Joomla, SCP...)

Là faudrait regarder dans les failles, hack sur joomla, personnellement je n'ai jamais réussi à déposer quoique ce soit sur mon serveur en dehors de local, mais j'hack pas donc...

[tituch]

FTP fermé à l'extérieur
serveur en mode "serveur et passerelle" donc machines derrière la sme
utilisateur local moi seul

[HP77]

Bonjour,

FTP fermé à l'extérieur
serveur en mode "serveur et passerelle" donc machines derrière la sme
utilisateur local moi seul

Question bête, peut-être, qu'y a-t-il d'autre d'installé sur ce serveur SME ?
- Joomla
- AWstats
- ??

Es-t ce que le mot de passe du compte admin n'est pas trop simple à "casser" via la méthode "force brute" ??
Je dis ça car si je ne me trompe pas, seul le compte admin, par défaut, a le droit d'accéder à l'i-bay Primary.


Personnellement, la Primary, je la laisse telle qu'elle est et ne m'en sert pas du tout.

Je préfère créer une i-bay dédiée à chaque besoin (site ou partage de fichiers) et, dans ce cas, je paramètre un domaine virtuel pour rediriger, par exemple, MonSiteWeb.DynamiqueDNS.xyz vers l'i-bay appropriée.


Maintenant, à chacun ses (dé)goûts...

Cordialement,
HP

[tituch]

Bonjour, les attaques viens du 94.23.215.207, serveur dedie chez OVH, serveur compromis ou non ?

[unnilennium]

1/ porte plainte auprés d'ovh en envoyant une copie de ton log. la réponse sera rapide : neutralisation du serveur

2/ je vote aussi pour une faille joomla qui aurait permis au hacker de faire écrire le fichier par php dans le dossier. c'est en effet le plus probable. solution : empecher l'ecriture par www dans tous les dossiers accessibles depuis joomla : au risque de perdre 90% des focntions de joomla... ou desinstaller .