Discussion :

[sebgoe]

Bonjour a tous

Voila mon entreprise a plusieurs sites web hébergé sur un serveur dédié chez un hébergeur.
Plusieurs de ces sites sont dev avec joomla, un utilise ZendFrameWork et le dernier fait en interne utilise PHP et jquery.
Le résultat des emails envoyés en masse apparemment depuis les sites en joomla.

Dans le site développé en interne nous avons retrouvé dans plusieurs sous-dossiers 5-6 fichiers : joomla.php, jm_rss.php, etc. Aucun fichier créer par nous ne semble avoir été modifié.

Ce que j'aimerais comprendre c'est comment les fichiers ont pu être créer sur un site ou les droits sont ceux ci aprés:

dr-xrwxr-x 8 www-data www-data 4096 Jan 11 18:18 xx.xx.fr

L'hébergeur nous indique que la source de l'attaque est ce site Web. Hors je ne vois pas comment il est possible de créer des fichiers sur un site sans avoir les droits.
Alors du coup est ce le site web qui c'est fait kacké, le serveur qui héberge ou ?
seul Root ou l'utilisateur FTP du site on les droits sur celui-ci. La présence des ces fichiers me fait penser qu'il faut les droits pour les créer et donc que l'on est plus sur un hack serveur mais je suis un novice en sécu et peut être est il possible de faire autrement via une faille apache, joomla, jquery??

Je me doute qu'avec si peu d’éléments il va être pour vous difficile de me donner l'origine de la faille mais avec votre expérience peut être me donnerez vous des pistes.

D'avance merci de votre aide

[cavo789]

Bonjour

Non avec si peu impossible de te répondre correctement.

Quelles versions des CMS utilisez-vous ? Les dernières versions de Joomla ou des anciennes? Quelles versions de PHP ? etc. Si vous utilisez p.ex. PHP 5.3, pour prendre cet exemple, cette version n'est plus développée depuis six ans et n'est plus du tout maintenue (pas de patch de sécurité p.ex.).

Toujours pour Joomla, pour répondre à ta question "Comment est-ce possible...", il suffit que p.ex. tu ais installé un composant avec un niveau de sécurité faible et que ce composant autorise l'upload (ex un composant de gestion de contact qui permettrait d'uploader un document). Le composant étant exécuté depuis une URL, il a les droits de ton utilisateur web càd lecture-écriture sur les fichiers (644) et déplacement dans les dossiers (755). A ce moment, oui, un hacking peut être réalisé. Il faut analyser au cas par cas pour identifier la faille.

Le plus pragmatique étant de nettoyer les sites (peut-être avez-vous des backups sains et récents); de sécuriser les sites (entre autre les isoler de telle manière que le site 1 ne puisse contaminer le site 2) et de tout mettre à jour (cms, extensions, templates, ...), de virer ce qui peut l'être (supprimer les sites de tests; démo, développement, supprimer les extensions qui ne sont plus utilisées, ...).

Puis, désolé, il faudra aussi examiner vos propres fichiers php. Je me permets cette réflexion car pas plus tard que hier soir alors que je nettoyais un enième site Joomla, le client avait codé lui-même quelques php à la racine du site et, OMG, il avait des trucs du style (juste pour illustration)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$variable=$_GET['id'];
$conn->query('SELECT FROM ... WHERE ID='.$variable);

càd zéro protection, zéro sanitisation, rien. Bonjour les attaques SQL dans ce cas.

Bonne journée, bon nettoyage et bonne chasse aux morpions.