[Résolu] Problème de piratage du CMS

[jce76350]

re,

dans le dossier lib, adodb_lite, tmp/templates_c 

protection .htacces oui ou non ?

config.php

est t-il protegé par .htacces du genre

order allow,deny
deny from all

[jce76350]

re,

@dede - ta réponse n'apparait pas encore à 10h, elle est visible seulement en mode "Répondre" (cela doit etre du au systeme antispam)

Peut etre que l'infection est due a un "trucware" qui a infesté le PC qui vous sert
Est-ce que les mots de passe serveur(FTP SQL ....) on été changé par sécurité
et surtout eviter de les mettre dans un fichier sur le PC si contamination PC il y a

Pour ce qui est de config.php... que veux-tu dire par est t-il protegé par .htacces ?

si un .htacces existe ajouter les lignes pour sécurisé le config.php

order allow,deny
deny from all


@ Bess (jce76350 plus rapide que moi) je me leve + tot

[bess]

j'ai plusieurs site sur le même serveur ,que les sites que j'ai les accees  enregistrés sur mon poste pour le ftp qui sont infectés

ca n'est pas de moi mais ça a le mérite de soulever une question intéressante : et si cétait ton PC qui était vérolé, les mots de passe enregistrés sont récupérés par trojans et la personne peux allègrement modifier les fichiers via l'accès FTP ?

Si c'est ca il suffit de tenter l'install sur les même serveur après avoir pris soin de changer le mot de passe du FTP, le tout à partir d'un PC tiers sans enregistrement de mot de passe évidement.

edit : jce76350 plus rapide que moi

[Pierre M.]

Bonjour tout le monde,

déjà, d'ac avec bess et Jean-Claude sur les pécés ouinedoze infectés de spyware auxquels les utilisateurs enregistrent leurs mots de passe ; il n'y a plus qu'à changer tous les mots de passe depuis un pécé sain et effacer toute la partition ouinedoze, voire y installer Debian Lenny.

@dede : si c'est un hébergement pour un client, personnellement je suis plus à l'aise avec un accès SSH et des "ls -al" qu'avec une interface clic-panel. D'autant qu'en un petit coup de "tar" et de sqldump/restore on peut faire une sauvegarde et remettre sur pied un site.

Dans /tmp/ j'ai :
 
    Order deny,allow
    Deny from All
 

On ne veut aucun accès direct depuis le web à /tmp ni aucun sous directory, n'est-ce pas ? Donc .htaccess dans /tmp avec :

Code: Select all

order deny,allow
deny from all

(inspiré de http://wiki.cmsmadesimple.org/index.php ... mall_Guide )

De même pour /lib à moins de nécessité d'une gestion plus fine par sous directory.

Dans /admin/ j'ai :
# To deny PHPs
                                                                             
  order deny,allow                                                                                                           
  deny from all                                                                                                               
 

Vous avez renommé /admin (bonne chose) donc ce dossier /admin n'existe plus ?
L'accès au nouveau peut être limité à vos IP et par mot de passe http (enregistré sur une feuille de papier, bien joué).

Et pour finir, dans la racine du serveur j'ai :

order allow,deny
allow from all

Je ne vois pas l'intérêt... possibilité de simplification ?

Quelle est la différence ?

Voyez plutôt un forum sur la sécurité et un forum sur Apache.
L'idée n'est pas d'essayer d'interdire au maximum en oubliant de colmater le trou de souris par lequel passera le pirate.
L'idée est d'autoriser au minimum : là où on ne veut aucun accès, on met juste une règle simple pour "aucun accès".
Si vous spécifiez "pas de .php" le pirate reste libre d'utiliser par exemple Perl avec "script.pl" que votre ".php" ne filtre pas.

Pour ce qui est de config.php... que veux-tu dire par est t-il protegé par .htacces ?

Dans la doc améliorable, au début des règles de filtrage :

Code: Select all

<Files "config.php">
    order allow,deny
    deny from all
</Files>

Inderdit d'accès par le web. Utiliser SSH.

Voici le bout de mon log du FTP.... de 18h28 à 18h30... 2 min pour tout foutre en lair !

C'est plutôt les logs http qui seraient utiles.

Pierre M.

[jce76350]

re,

@: Pierre M.
je serait curieux de savoir ce que nos développeurs en disent, mais vu mon niveau d'anglais , a moins qu'un l'un deux comprennent le français.
D'autant que cela fait 3 personnes attaquées, bien que je ne pense pas que CMSMS soit vulnérable, mais surtout pour des informations de sécurité.

[Pierre M.]

je serait curieux de savoir ce que nos développeurs en disent, mais vu mon niveau d'anglais

Je peux faire un peu de thème Anglais, mais il faut de la matière.
Or, en relisant le fil de discussion, je trouve fort peu d'informations sur les hébergements en cause et des postes admin windows-spyware. Tout juste lit-on qu'un semble sous windows (inetpub), qu'un réseau flanche (DNS de travers) et diverses petites choses. ça sent un peu l'hébergement gratuit et l'amateurisme.
Chers utilisateurs, détrompez-moi : parlez de votre hébergement (fournisseur, offre, paramétrages...), de vos tests (protections sur contenus statiques, mod_rewrite sur contenus statiques...) et enfin de votre procédure d'installation de CMSms vXYZ et de sa configuration (notamment en regard du petit guide de sécurisation). Sans ces informations, on ne peut mettre en cause le produit auprès de l'équipe de Dev.

Pierre M.

[jce76350]

re,

cette erreur via son anti-virus quand il va sur le site avec IE7

Et avec un autre navigateur genre Firefox ou Opéra ? ça dis quoi ?

Et Toi quand tu vas sur le site pas d'alerte ?

[jce76350]

re,

Donne le lien du site parce la c'est trés bizare

http://94.247.2.195 --> There is no site at this address!!

[jce76350]

re,

Voici l'adresse du site

Sous windows XP sp 3
- avec IE7 ,j'ai la demande d'activer un activeX  "Microsoft data acces"
- avec Opéra 9.64 OK
- avec Firefox 3.08 OK mais tu as un paquet de liens externes qui donne une page chargée en 10 secondes la première fois
de plus la validation W3C donne  Validation Output:  99 Errors sur acceuil
Et tu as un paquet d'erreurs js
JSLint Report for: intersthyacinthe
51 problems found.

[Solutic]

Euh, juste un truc, en regardant ce que je suppose être ton site (http://www.dededesign.net/) j'ai remarqué qu'il y avait là aussi un appel au fichier http://94.247.2.195/jquery.js (identifié comme virus par avast)
Le site n'a pas l'air d'être sous CMS MS, donc on dirait que le problème vient de ton hébergement...

EDIT: Le problème vient du fichier mootools.js, qui injecte dans le header les balises scripts...

[Pierre M.]

Anyway le problème semble règlé.. je nais plus de problème en mettant un .htaccess dans presque chaque dossier !

Etrange d'être piraté avec de telles précautions. Il contiennent bien juste "deny from all", ces .htaccess ?

Puisque votre site est infecté, il faut tout effacer (récursivement: le dossier d'installation) et réinstaller la dernière version officielle stable depuis une source fiable. Puis restaurer une sauvegarde saine de la base de données.

Que voyez-vous dans les http logS ?
Que dit l'hébergeur de tout cela ?

Pierre M.

[Pierre M.]

La j'ai du mal à vous suivre... si vous suivez l'évolution de la discutions depuis de début... j'ai déjà tout effacer mon hébergement, recréé une nouvelle base de données et refaite le site à zéro sans importer l'ancienne base de donnée puisqu'elle semblait être infecter.

Depuis cette réinstallation je nais plus de problème de piratage.

Effectivement, j'ai du mal à suivre tout depuis le début.
Donc "plus de problème de piratage" et les .htaccess vous protègent bien. Nickel. Bonne nouvelle.
Bon webmastering

Pierre M.

[jce76350]

re,

Je propose de fermer cette discussion "Problème de piratage du CMS"
@  dede Eventuellement ouvre une autre dicussion sur le problème soitt disant de virus