•  » Utilisation
  •  » Pb faille sécurité et effacement total site internet par hacker

#16 2012-01-02 12:04:44

Gotcha
Equipe Piwigo
Pierrelatte (26)
2007-03-14
13324

Re: Pb faille sécurité et effacement total site internet par hacker

flop25 a écrit:

et aussi s'il y avait d'autres script présent : un blog, forum ou autre ... et avec des extensions

+1

@Grum : Chez o2switch, la version proposée de Piwigo est la version v2.3.2


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

#17 2012-01-02 20:18:25

Carl
Membre
2011-12-22
45

Re: Pb faille sécurité et effacement total site internet par hacker

Je précise donc qu'il n'y avait aucun script rajoutés autres que ceux présents dans piwigo.

ci-dessous extrait du fichier log montrant les tentatives d'intrusion (adresse IP 31.41.8.187 est celle du hacker)

31.41.8.187 - - [01/Jan/2012:14:08:29 +0100] "POST /index.php?/category/photos_exemple_haute_definition HTTP/1.1" 200 1131 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.8.187 - - [01/Jan/2012:14:08:29 +0100] "GET /index.php?/category/w48025384w.php HTTP/1.1" 404 2112 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.8.187 - - [01/Jan/2012:14:17:39 +0100] "POST /index.php?/category/photos_exemple_haute_definition HTTP/1.1" 200 1131 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.8.187 - - [01/Jan/2012:14:17:39 +0100] "GET /index.php?/category/w41401836t.php HTTP/1.1" 404 2112 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.8.187 - - [01/Jan/2012:14:28:28 +0100] "POST /index.php?/category/photos_exemple_haute_definition HTTP/1.1" 200 1131 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.8.187 - - [01/Jan/2012:14:28:28 +0100] "GET /index.php?/category/w72126054t.php HTTP/1.1" 404 2112 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.8.187 - - [01/Jan/2012:14:40:41 +0100] "POST /tmp_1201744369471720.php?truecss=1&showimg=1&cookies=1 HTTP/1.1" 404 - "http://studio-carl.com/tmp_1201744369471720.php?truecss=1&showimg=1&cookies=1" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
31.41.8.187 - - [01/Jan/2012:14:42:07 +0100] "POST /tmp_7153654148565485.php?showimg=1&cookies=1 HTTP/1.1" 404 - "http://carl.o2switch.net/tmp_7153654148565485.php?showimg=1&cookies=1" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
31.41.8.187 - - [01/Jan/2012:15:11:54 +0100] "POST /tmp_1201744369471720.php?truecss=1&showimg=1&cookies=1 HTTP/1.1" 404 - "http://studio-carl.com/tmp_1201744369471720.php?truecss=1&showimg=1&cookies=1" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
31.41.8.187 - - [01/Jan/2012:15:51:19 +0100] "POST /tmp_7153654148565485.php?showimg=1&cookies=1 HTTP/1.1" 404 - "http://carl.o2switch.net/tmp_7153654148565485.php?showimg=1&cookies=1" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
31.41.8.187 - - [01/Jan/2012:21:47:23 +0100] "POST /index.php?/category/photos_exemple_haute_definition HTTP/1.1" 200 1131 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
31.41.8.187 - - [01/Jan/2012:21:47:23 +0100] "GET /index.php?/category/w33798393w.php HTTP/1.1" 404 2186 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"

Hors ligne

#18 2012-01-02 20:24:30

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12271

Re: Pb faille sécurité et effacement total site internet par hacker

Très utile. Maintenant que tu as l'adresse IP 31.41.8.187, cherche là dans tes logs du serveur web pour savoir si l'arrivée de ces scripts malveillants est dû à Piwigo ou pas.


Dernier billet du blog Piwigo.com (9 novembre 2018) Pourquoi Flickr (re)devient payant

Hors ligne

#19 2012-01-02 20:24:44

flop25
Équipe Piwigo
2006-07-06
6428

Re: Pb faille sécurité et effacement total site internet par hacker

intéressant tu as le détail des requêtes ? notamment post
et sinon tu avais quelles extensions sur piwigo ?

Dernière modification par flop25 (2012-01-02 20:32:58)

Hors ligne

#20 2012-01-02 21:33:19

Carl
Membre
2011-12-22
45

Re: Pb faille sécurité et effacement total site internet par hacker

Mon collègue vient de réussir à decrypter le fichier ajouté par le hacker !!!
ci-dessous ses commentaires sur les possibilités données par ce fichier et encore en dessous LE fichier complet décrypté.

edit de plg du 3 janvier 2012 à 12h43 : retrait des liens vers des sites d'exploitation de vulnérabilités et retrait du script de crack, pour éviter les éventuels bloquages par les navigateurs web et le blacklistage par les moteurs de recherche.

Hors ligne

#21 2012-01-02 21:37:01

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12271

Re: Pb faille sécurité et effacement total site internet par hacker

Ce ne sont pas les failles (corrigées depuis longtemps) listées sur ce site qui ont provoqué l'arrivée de ce fichier sur ton site.


Dernier billet du blog Piwigo.com (9 novembre 2018) Pourquoi Flickr (re)devient payant

Hors ligne

#22 2012-01-02 22:10:19

grum
Équipe Piwigo
50% Nantes - 50% Paris
2007-09-10
2502

Re: Pb faille sécurité et effacement total site internet par hacker

Gotcha a écrit:

@Grum : Chez o2switch, la version proposée de Piwigo est la version v2.3.2

oui, mais Carl indique que c'est O2Switch qui lui installe son site. Du coup, c'est pour çà que je reposais la question : pourquoi est-il en 2.2.5 si via softaculous, c'est 2.3.2 qui est proposée.

@Carl : quand tu dis que c'est O2Switch qui t'installe Piwigo, tu peux être plus précis ?
Je suis un peu étonné que le support procède à l'installation d'un script disponible dans softaculous.

Dernière modification par grum (2012-01-02 22:11:03)


Mes photos avec Piwigo évidemment !
[ www.grum.fr ] [ photos.grum.fr ]

Hors ligne

#23 2012-01-02 22:17:35

Carl
Membre
2011-12-22
45

Re: Pb faille sécurité et effacement total site internet par hacker

C'est vrai.

Par contre en surfant sur internet par rapport au fichier timthumb (backdoor filesman):

On mentionne souvent comme point d'entrée très probable:
Les themes et plugins que l'on télécharge pour "customiser" Piwigo.

De plus il  est indiqué de faire attention aux scripts java (ci-dessous extrait article)
lien: http://www.forbes.com/sites/davidcourse … s-in-2012/

If you’re not running Firefox with NoScript installed, you need to do so right now. As far as I can tell, it’s the only surefire method of preventing an accidental infection of a Windows PC by exploit-kitted Web pages. It all starts with a blob of heavily-obfuscated Javascript and ends within a few minutes with the victim’s PC pwned and the victim’s passwords in the hands of some Asian or eastern European goon squad.

It couldn’t get any more obvious that you need to act immediately. Update Flash, Acrobat, Office, and other vulnerable applications today, right now. Disable Javascript within PDF documents in your PDF reader’s preferences. And at least for the time being, the safest thing to do is to uninstall Java from any system you control, at least until a patch gets released to address CVE-2011-3544.

Question: pensez vous ces remarques justifiées.

Hors ligne

#24 2012-01-02 22:20:58

Carl
Membre
2011-12-22
45

Re: Pb faille sécurité et effacement total site internet par hacker

Réponse par rapport à ma version précédente 2.2.5

Ayant vu sur internet des utilisateurs avec des pb par rapport à cette version 2.3.2 j'avais demandé à O2switch de m'installer cette version plus ancienne.

MAIS, depuis hier aprem j'ai effectué la mise à jour et suis actuellement à la version 2.3.2

Hors ligne

#25 2012-01-02 22:54:30

ddtddt
Équipe Piwigo
Quetigny (21) - France
2007-07-27
14320

Re: Pb faille sécurité et effacement total site internet par hacker

Carl a écrit:

On mentionne souvent comme point d'entrée très probable:
Les themes et plugins que l'on télécharge pour "customiser" Piwigo.

Je te dirais que si tu as des liens qui indique le nom d'un plugin ou un thème qui introduit une faille de sécurité merci de le donner pour qu'un correction soit apporté.

Il n'y a aucune faille de sécurité dans une extension connu à ce jours.

Toutes les failles qui ont existé ont été corrigé.


Vous aimez Piwigo alors n'hésitez pas à participer avec nous, plus d'infos sur la page "Contribuer à Piwigo". Si vous n'avez pas beaucoup de temps et que vous souhaitez nous soutenir vous pouvez aussi le faire par un don.

Hors ligne

#26 2012-01-02 22:55:23

ddtddt
Équipe Piwigo
Quetigny (21) - France
2007-07-27
14320

Re: Pb faille sécurité et effacement total site internet par hacker

Carl a écrit:

Ayant vu sur internet des utilisateurs avec des pb par rapport à cette version 2.3.2 j'avais demandé à O2switch de m'installer cette version plus ancienne.

N'hésite pas à nous donner des liens que l'on puisse apporter des réponses ;-)


Vous aimez Piwigo alors n'hésitez pas à participer avec nous, plus d'infos sur la page "Contribuer à Piwigo". Si vous n'avez pas beaucoup de temps et que vous souhaitez nous soutenir vous pouvez aussi le faire par un don.

Hors ligne

#27 2012-01-03 08:25:45

Mascarille
Membre
Lyon Avignon
2009-12-21
778

Re: Pb faille sécurité et effacement total site internet par hacker

Bonjour,
attention certains antivirus comme AVAST bloquent cette page comme comportant un cheval de Troie... Le risque est de faire bloquer le forum de Piwigo... et par ailleurs inutile de divulguer ce genre de truc !
Il est sans doute préférable de faire sauter ce code
Bonne Journée
Emile

Hors ligne

#28 2012-01-03 11:58:08

flop25
Équipe Piwigo
2006-07-06
6428

Re: Pb faille sécurité et effacement total site internet par hacker

@carl merci de tes efforts et remarques mais on les connais déjà ces sites et les exploits associés à piwigo : on surveille ce genre de chose. Je t"ai demandé plutôt les extensions que tu avais installé et le détail des requêtes Post/Get associé à l'ip

tu parles de timthumb : stripped & columns utilisait avant le 12 aout et depuis le 10 juillet une version non sécurisée de ce script. Le 12 aout il a été mis a jour en même temps que tous les sites wordpress ou autre l'utilisant du fait de la découverte d'un exploit, quelques jours aupravant. Le 4 septembre je l'ai remplacé par un autre script plus mature.

Hors ligne

#29 2012-01-03 12:46:19

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12271

Re: Pb faille sécurité et effacement total site internet par hacker

Mascarille a écrit:

Le risque est de faire bloquer le forum de Piwigo... et par ailleurs inutile de divulguer ce genre de truc !
Il est sans doute préférable de faire sauter ce code

Message édité, [Forum, post 181467 by Carl in topic 21404] Pb faille sécurité et effacement total site internet par hacker


Dernier billet du blog Piwigo.com (9 novembre 2018) Pourquoi Flickr (re)devient payant

Hors ligne

#30 2012-01-03 12:48:47

flop25
Équipe Piwigo
2006-07-06
6428

Re: Pb faille sécurité et effacement total site internet par hacker

de mon coté j'ai expurgé le PEM pour éviter toute tentation (j'ai 're'mis une version pour stripped <2.0), mais si cela vient de ce thème, il suffit de le mettre à jour...

Hors ligne

  •  » Utilisation
  •  » Pb faille sécurité et effacement total site internet par hacker

Pied de page des forums

Propulsé par FluxBB

github twitter facebook newsletter Faire un don Piwigo.org © 2002-2019 · Contact