Intrusion dans mon site
-
- Cet utilisateur a supprimé son compte et n’existe plus.
- Messages : 6340
- Inscription : 29 décembre 2010 à 18:15
Il semblerait que ce soit une faille dans la base de données, mais je ne sais vraiment pas, j'aimerai que vous m'aidiez à résoudre ce problème, si vous avez des logs de connexion ou une faille connue de ce site ou autre, merci de m'en informer.
L'ip du hacker commence par 83.
Cordialement.
Vous pouvez accéder aux journaux d'accès Web à cette adresse :
https://www.franceserv.fr/admin/log/web
Vous avec eu la visite de plusieurs adresses IP (peut être que c'est la même vu que c'est apparemment une adresse IP dynamique chez Wanadoo/Orange) dans un répertoire admin (qui n'existe plus à l'heure actuelle apparemment) sur les 2 plages horaires suivantes :
- Le 2 avril sur la plage horaire entre 12h à 13h
- ainsi qu'aujourd'hui 13 avril sur la plage horaire entre 0h à 1h
Ce qui a intéressé la personne, c'est : "console.php" comme vous pouvez voir dans les journaux, ainsi qu'un pseudo en particulier.
Aujourd'hui à 00:01:17, je vois un accès direct à l'adresse "consol.php" sans le "e" du mot console, la personne à reçu une page introuvable, il a ensuite réessayé à 00:04:51 en mettant bien cette fois-ci le "e" de console : ça signifie que la personne saisie l'adresse à la main pour accéder à cette ressource.
Une fois dans cette console, il passe un argument comme vous pouvez le voir dans vos journaux, puis il semble envoyer une commande via Jsonapi.
Je ne vois rien sur février/mars d'une IP 83. dans un quelconque répertoire admin.
Je vois également 2 POST qui sembles normaux d'une IP 83. à [09/Apr/2014:19:02:11] ainsi que le lendemain à [10/Apr/2014:21:08:29].
-
- Cet utilisateur a supprimé son compte et n’existe plus.
- Messages : 6340
- Inscription : 29 décembre 2010 à 18:15
Merci d'avance.
Il faudrait poser la question au développeur de ce fichier console.php, probablement à CraftMyCMS mais en privé (via ticket par exemple) dans un premier temps, afin de ne pas créer de polémique vu que la communauté de Minecraft est assez "jeune/réactive".alwayspvp a écrit :Effectivement, je viens de voir ça, c'est le hackeur, il a exécuté des commandes par la console alors qu'ils faut normalement être connecté en tant qu'administrateur et lui n'était même pas connecté, sauriez vous m'expliquer comment il a fait et comment pallier à ce problème ?
Communiquez lui la version que vous utilisez également.
Je déplace votre question dans la partie développement.
Vous avez supprimé le fichier, alors je ne sais pas ce qu'il y a dedans et il y a certainement des liaisons avec d'autres fichiers, modules, etc ... vu que ce n'est pas moi qui le développe, je vais mettre plus de temps que son créateur à trouver le problème.alwayspvp a écrit :Mais avec les logs et vos compétences vous n'avez pas moyen de savoir comment ils ont fait ?
Source : https://twitter.com/CraftMyCMS/status/4 ... 4694318080
et https://twitter.com/CraftMyCMS/status/4 ... 4315013120
-
- Cet utilisateur a supprimé son compte et n’existe plus.
- Messages : 6340
- Inscription : 29 décembre 2010 à 18:15
Elodie , esaillez de faire passer le message un max
Soit on effectue cette mise à jour manuellement, soit on ne fait rien et d'après SkyBuilder elle s'effectue automatiquement au bout de 24 heures maximum.nicolasdars a écrit :Si besoin j'ai une solution , car on ma hack mon serveur moi aussi. Il suffit tout simplement de faire la Mise à jour craftmycms que Skybuilder à effectuer hier vers 15h00.
Il m'a dit avoir corrigé le problème hier après midi mais avoir appliqué le correctif dans le système de mise à jour automatique ce matin en urgence.
Le mal est présent, maintenant il faut éviter pendant cette vague de 24 heures de trop communiquer sur cette faille afin que d'autres ne l'utilisent pas pendant ce temps.nicolasdars a écrit :Elodie , esaillez de faire passer le message un max
elodie sur Skype a écrit : [18:21:00] Élodie BOSSIER:est ce qu'il y aurai un twitte qui annonce la faille avec une info de MAJ ? je pourai ainsi la RT
[18:23:54] Élodie BOSSIER: je vois plusieurs twittes qui en parle mais je ne vois pas la quelle est "principale"
[18:24:29] CraftMyCMS (Sky): Oui, je pense écire "La faille est bien corrigé" avec un lien d'un communiquer pour expliquer un peu ce que j'ai du faire pour corriger ceci. Après j'ai pas envie de dire comment on fait pour la tester si il y a des CMS qui ont pas reçu le fix.
[18:24:49] Élodie BOSSIER: oui vrai
[18:25:57] CraftMyCMS (Sky): Mais les CMS sont doté d'un système de fix, donc quand il y a un problème, je mets à jour le fix, et il s'applique sur les CMS lorsqu'un nouveau client arrive (et qui est pas venu avant 24h), cependant, l'archive ne se mettait pas à jour... [...], et ça je l'ai su que ce matin malheureusement...
[18:26:13] Élodie BOSSIER: oki