Annonce

#1 2014-10-09 10:57:19

oliverfr
Membre
2013-04-27
184

Un vilain hacker ?

Bonjour,

Là, c'est un post typiquement "par acquis de conscience", au cas où. Pas de panique, hein.

Le truc : j'ai un site qui se fait hacker la tête une ou deux fois par mois, de façon subtile.
Et ça a commencé deux semaines après que j'aie installé pour la première fois piwigo sur un site à moi, il y a un peu moins d'un an.

Corrélation n'est pas causalité, évidemment ! Il peut y avoir nombre d'autres causes (rien que sur le domaine qui a ce problème, j'ai trois CMS, qui ont leurs propres extensions et thèmes, bla bla bla), et je le sais fort bien, ne montez pas sur vos grands chevaux, je n'accuse pas Piwigo !

Je me suis simplement dit que, bah, peut-être, par acquis de conscience, autant le signaler, allez. En matière de sécurité, mieux vaut en faire un peu trop qu'un peu pas assez ;)

Version courte : regardez donc si dans ~/tmp il n'y a pas des paires de fichiers nommés "php######" où les dièses sont des lettres aléatoires, et qui contiennent du code caché.

S'il n'y a rien dedans, bonne nouvelle, ça n'était bel et bien pas piwigo :)

Version longue, bah, toujours au cas où :
- Une à deux fois par mois, sur l'un de mes sites, quelqu'un parvient à créer deux fichiers dans ~/tmp/ et ces fichiers, s'ils sont décodés (par défaut c'est en rot-13 et base64, ils débutent avec avec un "rassurant" eval(gzinflate(str_rot13(base64_decode qui nous dit tout de suite de ne pas nous en faire ^^), sont une "tour de contrôle" en php pour faire à peu près tout ce qu'on veut. Et comme il n'y a pas la moindre trace des noms des fichiers créés dans aucun log serveur ni dans les accès web, ça veut dire que le hacker est passé par un autre accès web à un autre fichier, qui lui a procuré un pseudo-shell par lequel il a pu créer ces fichiers dans le dossier tmp. Et, naturellement, impossible de trouver la source originelle.
- Chance, le hacker n'est pas un gros bourrin qui envoie du spam ou met le serveur à genoux, c'est plutôt apparemment que le serveur est gardé en réserve de façon discrète.
J'ai désactivé l'exécution depuis ce dossier-là, ce qui me couvre contre l'aspect purement botté, et je vérifie souvent le contenu du dossier. Mais si un vrai humain s'y met il n'a qu'à placer ses fichiers dans un autre dossier. L'un dans l'autre, ça aurait pu être pire, bah :-/
- J'ai confiance dans mon panel (webmin, virtualmin), dans les mots de passe des rares users, dans la sécurité des boîtes mail associées à ces comptes, et j'ai supprimé-réinstallé à partir de zéro les CMS une paire de fois. Donc, c'est une vulnérabilité exploitable dans l'un des morceaux de code "légitimes" que j'ai.
- Et comme piwigo fait partie des paquets de code installés, voilà, je passais au cas où pour dire, regardez si vous n'avez rien dans votre /tmp local :)

Bon, j'espère ne pas avoir causé ou panique ou énervement. Un coup d'oeil rapide à votre ~/tmp, rien, c'est pas piwigo, et puis on oublie.
Sur ce, retour au boulot. Bonne journée à tous !

Oli

Hors ligne

#2 2014-10-09 11:26:30

flop25
Équipe Piwigo
2006-07-06
6544

Re: Un vilain hacker ?

Bonjour
sur un serveur mutualisé, il se peut que ce ne soit pas vous mais quelqu'un d'autre qui ait introduit un vecteur d'attaque.
Aussi, si les permissions serverus sont bien gérées, c'est qu'il y a uns cript existant qui lui permet de créer ces fichiers et foutre la merde; ce n'est pas forcément un soucis de mdp ftp
Il est possible que ce soit un virus sur l'ordi d'un utilisateur ayant un accès ftp

Pour connaître le vecteur d'entrée, épuchelez les logs d'accès, corrélez les dates etc

Dernière modification par flop25 (2014-10-09 11:27:26)

Hors ligne

#3 2014-10-09 11:36:37

oliverfr
Membre
2013-04-27
184

Re: Un vilain hacker ?

Oui oui, flop25.
J'ai appris sur le tas en me faisant hacker la tête un nombre considérable de fois, en expérimentant dans tous les sens, en m'amusant à modifier et expérimenter, depuis mon premier hébergement mutualisé jusqu'à mon second dédié actuel. Je ne suis sûrement pas du niveau d'un développeur (sinon j'aurais déjà cherché si l'on ne peut rien faire pour faire autrement qu'avec des select disctinct, 2.7 est un peu plus rapide que 2.6 mais je parviens quand-même à mettre à genoux avec de simples uploads simultanés un monstrueux host-32 de OVH quand c'est un piwigo qui a plusieurs centaines de milliers d'images ^^ Faudrait que je teste avec un autre handler que fcgid je crois avoir vu une discu sur le forum à ce sujet-là)... Mais j'en sais assez pour avoir exclu les hypothèses d'explication d'intrusion les plus faciles, puis les plus tordues, pour me rabattre sur la vulnérabilité non-fixée dans un composant de CMS.

J'aurais peut-être dû préciser, je ne demande PAS d'aide. Je signalais l'éventualité d'un possible risque, en suggérant de vérifier au cas où chez vous.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact