[geogeo]

Salut a tous,

Il m'est arrivé un truc cette nuit : mon hebergeur me prévient qu'une tentative de hacking a eu lieu sur mon site internet. Je vais voir, et effectivement il y a un script qui a été uploadé dans le repertoir du composant exposure de Joomla. (heureusement sans autres dommages).
-> environ 50.000 lignes, nommé .sh.PHP, créé par un dénomé NIRVANA.

Son script, dont une partie est en arabe lui affiche une page a partir de laquelle il peut voir plein de truc, la config de mon serveur, et exécuter des lignes de commandes, il y a une fonction pour hacker un bot IRC d'après ce que j'ai compris....
Malheureusement, je ne sais pas l'utiliser. Mais je pense que ca peut interesser certains d'entre vous pour voir ce qu'il aurait pu faire, et de quelle manière s'en proteger à l'avenir.
En plus, j'ai remarqué qu'il a avait prévu une fonction pour supprimer le fichier derrière lui, ce qu'il n'a pas fait. Cela me fait dire qu'il contient forcément des infos qu'il n'avait pas envie de laisser.

Je me propose donc de faire passer ce script a ceux qui seraient interessés et sans mauvaises intentions bien sur.
Si au passage cette personne pourrait me dire comment il a pu s'y prendre pour uploader ce fichier sur mon site, ca serai royal. (par MP, je peut leur donner plus d'infos ...)

*** inutile de préciser que je laisse le soin aux modos de virer tout ou partie de ce post s'ils l'estimment contraire aux regles ... ***

[the lsd]

Moi je suis contre le fait de filer le script (surement une backdoor, a tout hasard, c99.php ?). Donc dans le doute, et sauf si un autre modo dis le contraire, tu ne donne pas ce script.

Par contre, ca peut etre intérressant de voir comment il a pu uploader le script.

Donc, il nous faut un peu de renseignements. Qu'y a t'il comme fonctions sur ton site ? de l'upload ? de l'include ? du SQL ?

Peu tetre que c'est une faille serveur aussi... Tu es sur quel serveur ?

Enjoy

The lsd

[geogeo]

OK, je file pas le script.
Par contre ce que tu me demande, je peux le répondre sur le forum sans problème ?

[_o_]

Par contre ce que tu me demande, je peux le repondre sur le forum sans problème ?

C'est toi qui voit, mais balancer publiquement les infos sur ton site, alors que tu sais pertinemment qu'il est troué vu que quelqu'un y est déjà passé, c'est un peu tendre le bâton. Tu filerais les clefs de ta voiture au premier type croisé dans la rue ? A qui fais-tu confiance sur NewbieContest ? Aux admins et/ou aux modos et/ou à n'importe quel membre ? Et pourquoi ?

[geogeo]

Bon, j'étale mon problème ... mais je dis pas mon domaine .... (ça va comme ça _o_ ? )

Fonctions de mon site :

_ Pas d’upload : juste des formulaires d’inscription clients.
_ Include :  c’est un joomla : dans les scripts PHP il y a des includes et des require, mais je ne crois pas que la faille include fonctionne sur mon site …
_ SQL : oui.
_ Mon serveur : je suis chez « 1 and 1 », serveur partagé linux, je n’ai pas l’option « SSL »

_ Je viens de voir que le type a uploadé 2 fois son fameux script.
Une fois dans le répertoire components/com_expose/expose/img/sh.PHP, c'est un composant pour faire défiler des photos (d'ailleurs ca me fait penser que dans l'admin de ce composant on peu uploader des images ... ça peu être ça non ? mais alors il a eu un acces admin ??)
et une fois dans mon repertoire « stats » , la ou est installé PHPMyVisits.

_ Dernière chose : Joomla m’averti en permanence que le paramètre « Register_globals » devrait être sur OFF, comment le changer ? c’est coté serveur ça non ?

[micka13]

Je suis pas un expert , mais joomla est une vrai passoire!
http://www.milw0rm.com/search.php tape joomla et regarde deja si tu trouve pas un de tes modules dans la liste.

[geogeo]

Bien joué Mika13 ! Il y avait bien une faille dans le composant Exposure qui permet de poster un fichier autre qu'un jpg !  j'y crois pas !

++ in : /com_expose/uploadimg.php                                  ++
++ =>  $target_path = "../../../components/com_expose/expose/img/";                     ++
++ if((strcasecmp(substr($userfile_name,-4),'.jpg'))){ echo "<script>alert('The file must be jpg');</script>";++
++ File Upload : <?php echo $target_path; ?>                                                                  ++
++ Attacker Got Permission Bypass and upload files     

Il est surement passé par la pour le premier fichier ! Et peut être que grace a son premier script qui etait uploadé, il a réussi a se le copier dans mon repertoir PHPMyVisits? non ?
J'ai désinstallé ce composant carrément ! je viens de retrouver encore une copie de son script a la noix a la racine du repertoire com_exposure

[micka13]

Ben si il a reussis a uploader un php , apres il fait ce qu'il veut  .

[the lsd]

rahhh mais laissez moi répondre bon sang !!! 2 fois que j'arrive 5 secondes trop tard !

Enjoy

The lsd

[geogeo]

C'est bien ce que je craignais .....


Merci A VOUS DEUX ! 

[geogeo]

J'ai désinstallé mon comopsant_passoire
Changé mes passwords d'accès à l'admin ... au cas ou.

Qu'est ce que je dois faire maintenant à votre avis ?
Comment je pourrais vérifier que j'ai bien trouvé et supprimé tous les scripts qu'il aurait pu copier ?

[the lsd]

si il avait une backdoor, il a pu tout copier, et meme laisser des petites surprises dans tes scripts deja tu devrais réup tous les scripts que tu as mis, ensuite utiliser ca : http://sh4ka.fr rubrique download pour éviter d'avoir des mauvaises surprises et faire des backup (bien sur tu vires les bacup, le xml et le php apres... j'en connais qui ce sont fait avoir !)

Et change aussi tes pass SQL, ftp, 'fin tous les pass quoi !

Enjoy

The lsd

[s3th]

moi si je devais upper une backdoor,
je la mettrai dans un rép joomla cachée parmi tous les fichiers joomla, avec un nom de composant joomla
donc hop réinstall ....

[geogeo]

Ouais ... la totale quoi !
J'ai déjà fais un backup complet cette aprem : scripts + BD.


Grand merci a tous en tous cas. Je vais suivre vos recommandations à la lettre ! 

[geogeo]

PUREE ... j'ai vraiment la galle aujourd'hui !
Je tourne pas en PHP 5 (seulement la  4.4.8 ) alors le script de ShAkA ne fonctionne pas !!

Si c'est pas abuser ... t'aurais pas sous la main un équivalent ? 

Edit : En attendant, j'ai fais une popotte "perso" : j'ai copié tout le contenu de mon site en local, renommé tous les fichiers en txt avec AntRenamer, et recherché les fichiers qui contenaient des fragments du fichier en question. J'en ai retrouvé aucun

s3Th : J'ai compris pourquoi il y avait un script dans mon répertoire Stats : il voulait en planquer un peu partout, du coup, pas la peine de chercher une faille de PHPMyVisits ! S'il avait fait comme tu disais (le planquer dans un composant) j'aurais surement eu plus de mal a le trouver !

Enfin .... je pense que je m'en tire bien. Le gars a été cool en fait, il aurait pu TOUT CASSER, mais il a rien touché. J'en suis quitte pour une bonne peur et au moins ça m'a fait prendre conscience du problème. Il faut une première a tout, ça c'est fait. Enfin.... pour l'instant !