Intrusion dans mon site

Vous avez un soucis de développement et ce n'est pas du ressort de notre support ? N'hésitez pas à soumettre vos petits soucis de développement et à vous entre aider par la même occasion.
Répondre
Inconnu
Cet utilisateur a supprimé son compte et n’existe plus.
Messages : 6340
Inscription : 29 décembre 2010 à 18:15

Bonjour, j'ai été victime cette nuit d'une intrusion sur mon site minecraft fonctionnant sous CraftMyCMS. Ils ont eu accès au panel d'administration sans pour autant être connecté sous l'un de nos comptes admins.
Il semblerait que ce soit une faille dans la base de données, mais je ne sais vraiment pas, j'aimerai que vous m'aidiez à résoudre ce problème, si vous avez des logs de connexion ou une faille connue de ce site ou autre, merci de m'en informer.
L'ip du hacker commence par 83.
Cordialement.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour,

Vous pouvez accéder aux journaux d'accès Web à cette adresse :
https://www.franceserv.fr/admin/log/web

Vous avec eu la visite de plusieurs adresses IP (peut être que c'est la même vu que c'est apparemment une adresse IP dynamique chez Wanadoo/Orange) dans un répertoire admin (qui n'existe plus à l'heure actuelle apparemment) sur les 2 plages horaires suivantes :

- Le 2 avril sur la plage horaire entre 12h à 13h
- ainsi qu'aujourd'hui 13 avril sur la plage horaire entre 0h à 1h

Ce qui a intéressé la personne, c'est : "console.php" comme vous pouvez voir dans les journaux, ainsi qu'un pseudo en particulier.

Aujourd'hui à 00:01:17, je vois un accès direct à l'adresse "consol.php" sans le "e" du mot console, la personne à reçu une page introuvable, il a ensuite réessayé à 00:04:51 en mettant bien cette fois-ci le "e" de console : ça signifie que la personne saisie l'adresse à la main pour accéder à cette ressource.

Une fois dans cette console, il passe un argument comme vous pouvez le voir dans vos journaux, puis il semble envoyer une commande via Jsonapi.

Je ne vois rien sur février/mars d'une IP 83. dans un quelconque répertoire admin.

Je vois également 2 POST qui sembles normaux d'une IP 83. à [09/Apr/2014:19:02:11] ainsi que le lendemain à [10/Apr/2014:21:08:29].
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Inconnu
Cet utilisateur a supprimé son compte et n’existe plus.
Messages : 6340
Inscription : 29 décembre 2010 à 18:15

Effectivement, je viens de voir ça, c'est le hackeur, il a exécuté des commandes par la console alors qu'ils faut normalement être connecté en tant qu'administrateur et lui n'était même pas connecté, sauriez vous m'expliquer comment il a fait et comment pallier à ce problème ?
Merci d'avance.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

alwayspvp a écrit :Effectivement, je viens de voir ça, c'est le hackeur, il a exécuté des commandes par la console alors qu'ils faut normalement être connecté en tant qu'administrateur et lui n'était même pas connecté, sauriez vous m'expliquer comment il a fait et comment pallier à ce problème ?
Il faudrait poser la question au développeur de ce fichier console.php, probablement à CraftMyCMS mais en privé (via ticket par exemple) dans un premier temps, afin de ne pas créer de polémique vu que la communauté de Minecraft est assez "jeune/réactive".

Communiquez lui la version que vous utilisez également.

Je déplace votre question dans la partie développement.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Inconnu
Cet utilisateur a supprimé son compte et n’existe plus.
Messages : 6340
Inscription : 29 décembre 2010 à 18:15

Mais avec les logs et vos compétences vous n'avez pas moyen de savoir comment ils ont fait ?
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

alwayspvp a écrit :Mais avec les logs et vos compétences vous n'avez pas moyen de savoir comment ils ont fait ?
Vous avez supprimé le fichier, alors je ne sais pas ce qu'il y a dedans et il y a certainement des liaisons avec d'autres fichiers, modules, etc ... vu que ce n'est pas moi qui le développe, je vais mettre plus de temps que son créateur à trouver le problème.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Inconnu
Cet utilisateur a supprimé son compte et n’existe plus.
Messages : 6340
Inscription : 29 décembre 2010 à 18:15

D'accord, dans tous les cas je supprime le panel d'administration pour être en sécurité, merci de votre aide.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

J'ai pu dialoguer avec le créateur de CraftMyCMS, il m'a dit avoir corrigé le problème ce matin et qu'il faut en gros 24 heures maximum pour que les CMS se mettent à jour automatiquement.

Source : https://twitter.com/CraftMyCMS/status/4 ... 4694318080
et https://twitter.com/CraftMyCMS/status/4 ... 4315013120
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Inconnu
Cet utilisateur a supprimé son compte et n’existe plus.
Messages : 6340
Inscription : 29 décembre 2010 à 18:15

Si besoin j'ai une solution , car on ma hack mon serveur moi aussi. Il suffit tout simplement de faire la Mise à jour craftmycms que Skybuilder à effectuer hier vers 15h00.


Elodie , esaillez de faire passer le message un max :)
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

nicolasdars a écrit :Si besoin j'ai une solution , car on ma hack mon serveur moi aussi. Il suffit tout simplement de faire la Mise à jour craftmycms que Skybuilder à effectuer hier vers 15h00.
Soit on effectue cette mise à jour manuellement, soit on ne fait rien et d'après SkyBuilder elle s'effectue automatiquement au bout de 24 heures maximum.

Il m'a dit avoir corrigé le problème hier après midi mais avoir appliqué le correctif dans le système de mise à jour automatique ce matin en urgence.
nicolasdars a écrit :Elodie , esaillez de faire passer le message un max :)
Le mal est présent, maintenant il faut éviter pendant cette vague de 24 heures de trop communiquer sur cette faille afin que d'autres ne l'utilisent pas pendant ce temps.
elodie sur Skype a écrit : [18:21:00] Élodie BOSSIER:est ce qu'il y aurai un twitte qui annonce la faille avec une info de MAJ ? je pourai ainsi la RT
[18:23:54] Élodie BOSSIER: je vois plusieurs twittes qui en parle mais je ne vois pas la quelle est "principale"
[18:24:29] CraftMyCMS (Sky): Oui, je pense écire "La faille est bien corrigé" avec un lien d'un communiquer pour expliquer un peu ce que j'ai du faire pour corriger ceci. Après j'ai pas envie de dire comment on fait pour la tester si il y a des CMS qui ont pas reçu le fix.
[18:24:49] Élodie BOSSIER: oui vrai
[18:25:57] CraftMyCMS (Sky): Mais les CMS sont doté d'un système de fix, donc quand il y a un problème, je mets à jour le fix, et il s'applique sur les CMS lorsqu'un nouveau client arrive (et qui est pas venu avant 24h), cependant, l'archive ne se mettait pas à jour... [...], et ça je l'ai su que ce matin malheureusement...
[18:26:13] Élodie BOSSIER: oki :)
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Répondre