Annonce

Écrire une réponse

Veuillez écrire votre message et l'envoyer

Cliquez dans la zone sombre de l'image pour envoyer votre message.

Retour

Résumé de la discussion (messages les plus récents en premier)

plg
2012-01-04 14:41:50

Merci d'envoyer ce fichier de détails sur l'email "plg" du domaine "piwigo.org".

Carl
2012-01-04 14:34:18

Le hacker est revenu et sa méthode a été enregistrée avec détails !!!!

Bonjour,
nous avons réussi à enregistrer la trace du hacker

www était en lecture seule au moment des faits (droits 555) et le hacker a tout de même pu déposer son fichier. J'ai envoyé cela à O2switch car c'est assez étrange.

Ci-dessous à titre d'info le script généré par mon collègue afin d'enregistrer la méthode du hacker et surtout le contenu du "POST"
script ayant généré ce fichier log (ajouté au index.php)
ob_start();

var_export($_POST);
var_export($_GET);
var_export($_SERVER);

$tab_debug=ob_get_contents();
ob_end_clean();
------------------------------------------------------------------------
traces dans les logs
31.41.15.18 - - [04/Jan/2012:11:31:52 +0100] "POST /index.php?/category/photos_exemple_haute_definition HTTP/1.1" 200 1131 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.15.18 - - [04/Jan/2012:11:31:53 +0100] "GET /index.php?/category/w88396928t.php HTTP/1.1" 404 2064 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.15.18 - - [04/Jan/2012:11:51:46 +0100] "POST /index.php?/category/photos_exemple_haute_definition HTTP/1.1" 200 1131 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.15.18 - - [04/Jan/2012:11:51:47 +0100] "GET /w27827122w.php HTTP/1.1" 200 37050 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"

Ci-dessous en fichier attaché .txt (mis dans le champ image si cela passe ?)donnant le détail du POST montrant comment le hacker est passé à travers PIWIGO . Cela peut éventuellement indiquer une faille dans PIWIGO !? en analysant ce fichier
. A priori il utiliserait la variable showimg.....

Contactez moi directement par mail pour obtenir ce fichier log donnant le contenu du "POST" car je n'arrive pas à le placer dans ce message

flop25
2012-01-03 19:02:46

tout a fait normal

Carl
2012-01-03 17:49:23

Bonjour,
je recherche toujours des anomalies pouvant amener à résoudre ces pb d'intrusions.

Je remarque que PIWIGO génère automatiquement suivant la venue de visiteurs sur internet des scripts PHP  (exemple ci-dessous)

Fichiers ajoutés ce matin  (parfois plus de 50 par jours)
Rq: je n'étais pas connecté à ce moment là sur mon site internet studio-carl.com

est-ce normal ? 

de plus, ces fichiers ne sont pas supprimés et s'empilent donc dans l'espace du site !

/home/carl/www/_data/templates_c/1k4xi1d^%%B3^B35^B354EEAB%%tags.tpl.php
/home/carl/www/_data/templates_c/1k4xi1d^%%6D^6DB^6DB28CFA%%about.tpl.php
/home/carl/www/_data/templates_c/1k4xi1d^%%D0^D0B^D0BAFE5D%%search.tpl.php

plg
2012-01-03 12:52:06

flop25 a écrit:

de mon coté j'ai expurgé le PEM pour éviter toute tentation (j'ai 're'mis une version pour stripped <2.0), mais si cela vient de ce thème, il suffit de le mettre à jour...

parfait, merci flop25

flop25
2012-01-03 12:48:47

de mon coté j'ai expurgé le PEM pour éviter toute tentation (j'ai 're'mis une version pour stripped <2.0), mais si cela vient de ce thème, il suffit de le mettre à jour...

plg
2012-01-03 12:46:19

Mascarille a écrit:

Le risque est de faire bloquer le forum de Piwigo... et par ailleurs inutile de divulguer ce genre de truc !
Il est sans doute préférable de faire sauter ce code

Message édité, post:181467

flop25
2012-01-03 11:58:08

@carl merci de tes efforts et remarques mais on les connais déjà ces sites et les exploits associés à piwigo : on surveille ce genre de chose. Je t"ai demandé plutôt les extensions que tu avais installé et le détail des requêtes Post/Get associé à l'ip

tu parles de timthumb : stripped & columns utilisait avant le 12 aout et depuis le 10 juillet une version non sécurisée de ce script. Le 12 aout il a été mis a jour en même temps que tous les sites wordpress ou autre l'utilisant du fait de la découverte d'un exploit, quelques jours aupravant. Le 4 septembre je l'ai remplacé par un autre script plus mature.

Mascarille
2012-01-03 08:25:45

Bonjour,
attention certains antivirus comme AVAST bloquent cette page comme comportant un cheval de Troie... Le risque est de faire bloquer le forum de Piwigo... et par ailleurs inutile de divulguer ce genre de truc !
Il est sans doute préférable de faire sauter ce code
Bonne Journée
Emile

ddtddt
2012-01-02 22:55:23

Carl a écrit:

Ayant vu sur internet des utilisateurs avec des pb par rapport à cette version 2.3.2 j'avais demandé à O2switch de m'installer cette version plus ancienne.

N'hésite pas à nous donner des liens que l'on puisse apporter des réponses ;-)

ddtddt
2012-01-02 22:54:30

Carl a écrit:

On mentionne souvent comme point d'entrée très probable:
Les themes et plugins que l'on télécharge pour "customiser" Piwigo.

Je te dirais que si tu as des liens qui indique le nom d'un plugin ou un thème qui introduit une faille de sécurité merci de le donner pour qu'un correction soit apporté.

Il n'y a aucune faille de sécurité dans une extension connu à ce jours.

Toutes les failles qui ont existé ont été corrigé.

Carl
2012-01-02 22:20:58

Réponse par rapport à ma version précédente 2.2.5

Ayant vu sur internet des utilisateurs avec des pb par rapport à cette version 2.3.2 j'avais demandé à O2switch de m'installer cette version plus ancienne.

MAIS, depuis hier aprem j'ai effectué la mise à jour et suis actuellement à la version 2.3.2

Carl
2012-01-02 22:17:35

C'est vrai.

Par contre en surfant sur internet par rapport au fichier timthumb (backdoor filesman):

On mentionne souvent comme point d'entrée très probable:
Les themes et plugins que l'on télécharge pour "customiser" Piwigo.

De plus il  est indiqué de faire attention aux scripts java (ci-dessous extrait article)
lien: http://www.forbes.com/sites/davidcourse … s-in-2012/

If you’re not running Firefox with NoScript installed, you need to do so right now. As far as I can tell, it’s the only surefire method of preventing an accidental infection of a Windows PC by exploit-kitted Web pages. It all starts with a blob of heavily-obfuscated Javascript and ends within a few minutes with the victim’s PC pwned and the victim’s passwords in the hands of some Asian or eastern European goon squad.

It couldn’t get any more obvious that you need to act immediately. Update Flash, Acrobat, Office, and other vulnerable applications today, right now. Disable Javascript within PDF documents in your PDF reader’s preferences. And at least for the time being, the safest thing to do is to uninstall Java from any system you control, at least until a patch gets released to address CVE-2011-3544.

Question: pensez vous ces remarques justifiées.

grum
2012-01-02 22:10:19

Gotcha a écrit:

@Grum : Chez o2switch, la version proposée de Piwigo est la version v2.3.2

oui, mais Carl indique que c'est O2Switch qui lui installe son site. Du coup, c'est pour çà que je reposais la question : pourquoi est-il en 2.2.5 si via softaculous, c'est 2.3.2 qui est proposée.

@Carl : quand tu dis que c'est O2Switch qui t'installe Piwigo, tu peux être plus précis ?
Je suis un peu étonné que le support procède à l'installation d'un script disponible dans softaculous.

plg
2012-01-02 21:37:01

Ce ne sont pas les failles (corrigées depuis longtemps) listées sur ce site qui ont provoqué l'arrivée de ce fichier sur ton site.

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact