Bonsoir,

J'avais beaucoup de doute quand à la possibilité de SPIP d'être hacké jusqu'à ce que oles d'OVH( voir réponse) nous accuse, quand pensez-vous?

C'est un site d'un asso que je connais, c'est ne pas moi le webmaster, mais je doute que spip y soit ma configurer.

Bonne soirée.

Réponse de OLES:
oles@ovh.net a écrit:

http://www.rphfm.org/

je t'ai remis le backup. kado

tu t'es fait hacké le SPIP. et donc les données dans la base
SQL sont pourri. la remise d'un backup ne change rien. il
faut nettoyer la base.

sur le site au bout 2 minutes de fonctionnement
# grep 'Hacker-By' * -r
tmp/cache/3/for----%20----%3Cin-pas--71a4629d: <form id='formulaire_login' method='post' action='-Hacker-By-Crypton-aND-GaLaxy-Owned,3-' enctype='multipart/form-data'>
[...]
#
le backup d'hier
# grep 'Hacker-By' * -r
#

A savoir que pas mal de site (cluster 14 OVH) sont déjà touché:

Mais le site de l'asso est malheuresement sur un autre cluster, donc d'autre cluster touché?

nikolas.villa@gmail.com a écrit :

Bonsoir,

J'avais beaucoup de doute quand à la possibilité de SPIP d'être hacké jusqu'à ce que oles d'OVH( voir réponse) nous accuse, quand pensez-vous?

C'est un site d'un asso que je connais, c'est ne pas moi le webmaster, mais je doute que spip y soit ma configurer.

Bonne soirée.

Réponse de OLES:
oles@ovh.net a écrit:

http://www.rphfm.org/

je t'ai remis le backup. kado

tu t'es fait hacké le SPIP. et donc les données dans la base
SQL sont pourri. la remise d'un backup ne change rien. il
faut nettoyer la base.

sur le site au bout 2 minutes de fonctionnement
# grep 'Hacker-By' * -r
tmp/cache/3/for----%20----%3Cin-pas--71a4629d: <form id='formulaire_login' method='post' action='-Hacker-By-Crypton-aND-GaLaxy-Owned,3-' enctype='multipart/form-data'>
[...]
#
le backup d'hier
# grep 'Hacker-By' * -r
#

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Ils en parlent ici aussi
http://forum.ovh.com/showthread.php?p=343936
Mais vu que ca semble toucher SPIP Joomla et wordpress cf un des post, j’obterais plus pour un soucis d’ovh que de SPIP.
Faudrait éplucher les logs serveurs dans les détails
Alexandra

Le 7 février 2010 00:48, nikolas.villa@gmail.com <nikolas.villa@gmail.com> a écrit :

A savoir que pas mal de site (cluster 14 OVH) sont déjà touché:
http://forum.ovh.com/showthread.php?t=56388

Mais le site de l’asso est malheuresement sur un autre cluster, donc d’autre cluster touché?

nikolas.villa@gmail.com a écrit :

Bonsoir,

J’avais beaucoup de doute quand à la possibilité de SPIP d’être hacké jusqu’à ce que oles d’OVH( voir réponse) nous accuse, quand pensez-vous?

C’est un site d’un asso que je connais, c’est ne pas moi le webmaster, mais je doute que spip y soit ma configurer.

Bonne soirée.

Réponse de OLES:
oles@ovh.net a écrit:

http://www.rphfm.org/

je t’ai remis le backup. kado

tu t’es fait hacké le SPIP. et donc les données dans la base
SQL sont pourri. la remise d’un backup ne change rien. il
faut nettoyer la base.

sur le site au bout 2 minutes de fonctionnement

grep ‹ Hacker-By › * -r

tmp/cache/3/for----%20----%3Cin-pas–71a4629d:
[…]

le backup d’hier

grep ‹ Hacker-By › * -r

---

liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
http://archives.rezo.net/spip.mbox/

Documentation de SPIP : http://www.spip.net/

Irc : de l’aide à toute heure : http://spip.net/irc

---

liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
http://archives.rezo.net/spip.mbox/

Documentation de SPIP : http://www.spip.net/

Irc : de l’aide à toute heure : http://spip.net/irc

Bonjour,

J’ai connu la même mésaventure il y a quelques mois chez Céléonet avec le même hacker turc.
De nombreux sites avaient été touchés.
Ce sont bien des failles au niveau des machines de l’hébergeur qui sont la cause de ces intrusions;
Il n’empêche que cela ne dispense pas de mettre à jour sa version de Spip et autres plugins et logiciels utilisés.

Bon dimanche,

TS

« Alexandra Guiderdoni » <alexandra.guiderdoni@gmail.com> a écrit dans le message de news:dac687b31002061554l6195bdc2i8fe5d2e26dd5b727@mail.gmail.com…
Ils en parlent ici aussi
http://forum.ovh.com/showthread.php?p=343936
Mais vu que ca semble toucher SPIP Joomla et wordpress cf un des post, j’obterais plus pour un soucis d’ovh que de SPIP.
Faudrait éplucher les logs serveurs dans les détails
Alexandra

Le 7 février 2010 00:48, nikolas.villa@gmail.com <nikolas.villa@gmail.com> a écrit :

A savoir que pas mal de site (cluster 14 OVH) sont déjà touché:
http://forum.ovh.com/showthread.php?t=56388

Mais le site de l’asso est malheuresement sur un autre cluster, donc d’autre cluster touché?

nikolas.villa@gmail.com a écrit :

Bonsoir,

J’avais beaucoup de doute quand à la possibilité de SPIP d’être hacké jusqu’à ce que oles d’OVH( voir réponse) nous accuse, quand pensez-vous?

C’est un site d’un asso que je connais, c’est ne pas moi le webmaster, mais je doute que spip y soit ma configurer.

Bonne soirée.

Réponse de OLES:
oles@ovh.net a écrit:

http://www.rphfm.org/

je t’ai remis le backup. kado

tu t’es fait hacké le SPIP. et donc les données dans la base
SQL sont pourri. la remise d’un backup ne change rien. il
faut nettoyer la base.

sur le site au bout 2 minutes de fonctionnement

grep ‹ Hacker-By › * -r

tmp/cache/3/for----%20----%3Cin-pas–71a4629d:
[…]

le backup d’hier

grep ‹ Hacker-By › * -r

---

liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
http://archives.rezo.net/spip.mbox/

Documentation de SPIP : http://www.spip.net/

Irc : de l’aide à toute heure : http://spip.net/irc

---

liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
http://archives.rezo.net/spip.mbox/

Documentation de SPIP : http://www.spip.net/

Irc : de l’aide à toute heure : http://spip.net/irc

---

Le 07/02/10 09:23, Les Sab a écrit :

Ce sont bien des failles au niveau des machines de l'hébergeur qui sont la cause de ces intrusions;
Il n'empêche que cela ne dispense pas de mettre à jour sa version de Spip et autres plugins et logiciels utilisés.

par défaut, spip ne possède (et n'utilise) aucun fichier index.html

pour pallier à l'ajout de fichiers index.html (b-a-ba du défaçage),
il faut interdire à apache de lire ces fichiers en ajoutant, dans
le .htaccess de la racine de spip (par exemple dans son bloc
### REGLAGES PERSONNALISES ###) :
   DirectoryIndex index.php

puis, pour éviter qu'un appel explicite à mon_site/index.html
soit possible, ajouter une redirection (toujours dans ce bloc) :
   RewriteRule index\.html$ index.php
ou encore :
   RewriteRule index\.html$ spip.php?page=404

attention : ceci n'est qu'un pis-aller (pour éviter l'affichage de
la page défacée) ; *ne protège pas* et ne dispense en rien de se tenir
à jour, vérifier ses logs, etc

Bonjour, je prends en route pour vous faire part de mon expérience en matière de sécurisation avec Spip.

S'il s'avère que, effectivement, Spip est particulièrement bien développé et n'offre pas, fondamentalement, de faille de sécurité (notamment pas ou peu d'injection possible), il reste deux 'failles' auxquelles on ne pense pas vraiment : le brut-forcing et l'arborescence du site ...

1. le brut-forcing : on sait que des robots sont capables de tester les formulaires de login longtemps et de manière répétitive pour tenter de découvrir les codes d'entrée, tentatives d'autant plus facilitées par la 'faiblesse' évoquée ci-dessous ... Ne serait-il pas bon de limiter les tentatives à un nombre restreints d'essais et de bloquer ensuite les entrées ? Ou tout au moins 'd'imposer' des mots de passes solides ? En intégrant, par exemple, à l'installation, un outil indiquant la force du mot de passe de l'admin id1 ?

2. l'arborescence du site. Spip est un logiciel libre, donc tout le monde - y compris les hackers - peuvent en connaître l'organisation interne, et surtout, l'existence et le rôle du répertoire tmp. En effet, suite à des tests effectués sur une plateforme que je croyais solide, accessible en https seulement, il a été super facile d'entrer dans le répertoire tmp, puisque l'on en connaît l'existence. A partir de là, récupérer les dump de la base (dans lequels il y a les login et les psw), lire simplement tous les logs de spip ... et y voir les informations concernant les admin, le nom des dumps faits, etc.
Bien sûr, il va falloir protéger mieux ce répertoire, (et l'idéal, semble-t-il, serait de le déplacer sur un autre serveur non accessible en http, mais réservé à ceux qui ont un dédié), mais c'est sûr que ceux qui ne sont pas trop développeurs - il y en a pas mal dans les utilisateurs spip - n'y pensent pas forcément ...

Voilà ma petite expérience, et les deux seules réelles "failles" que j'ai découvertes. N'étant pas du tout familier avec les .htaccess et autres expressions régulières, on pourrait peut-être attirer l'attention des utilisateurs dans ce domaine et leur proposer des solutions pratiques à mettre en oeuvre ...

Pour ma part, je vais travailler à mieux sécuriser la plateforme dont je parle plus haut - mais elle est sur un dédié, donc pas "standard" - mais je vais aussi tester cela sur des sites mutualisés : si je peux apporter à la communauté dans ce domaine, ce sera avec plaisir ...

Marc

Le 7 févr. 2010 à 10:46, denisb a écrit :

Le 07/02/10 09:23, Les Sab a écrit :

Ce sont bien des failles au niveau des machines de l'hébergeur qui sont la cause de ces intrusions;
Il n'empêche que cela ne dispense pas de mettre à jour sa version de Spip et autres plugins et logiciels utilisés.

par défaut, spip ne possède (et n'utilise) aucun fichier index.html

pour pallier à l'ajout de fichiers index.html (b-a-ba du défaçage),
il faut interdire à apache de lire ces fichiers en ajoutant, dans
le .htaccess de la racine de spip (par exemple dans son bloc
### REGLAGES PERSONNALISES ###) :
DirectoryIndex index.php

puis, pour éviter qu'un appel explicite à mon_site/index.html
soit possible, ajouter une redirection (toujours dans ce bloc) :
RewriteRule index\.html$ index.php
ou encore :
RewriteRule index\.html$ spip.php?page=404

attention : ceci n'est qu'un pis-aller (pour éviter l'affichage de
la page défacée) ; *ne protège pas* et ne dispense en rien de se tenir
à jour, vérifier ses logs, etc

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

denisb a écrit :

pour pallier à l'ajout de fichiers index.html (b-a-ba du défaçage

C'est plus fin que ça:

Je suis aller voir la base de donnée, il connaissait bien spip, créer 2 auteurs, modifier 4/5 rubriques, et créer des articles, ce qui est dommage c'est qu'OVH intervient sans dire si c'est ces clusters ou si ça vient de notre coté, pas évident pour trouver la faille car elle peut venir:
- faille phpmyadmin de l'hébergeur
- D'un des compte admin de SPIP/Wordpress.... vérolé
- d'un compte ftp corrompu
- D'un winscp / filezilla , echange de mail intercepter..
- ...

Quand le responsable de OVH intervient en pleine nuit pour poster sur le forum pour faire "des cadeaux" c'est tout de même bizarre, mais plutôt que de nous restaurer une base pourri, mieux vaut nous répondre si c'est de leur coté qu'il y a des failles ou du notre...

Bonne journée.

denisb a écrit :

Le 07/02/10 09:23, Les Sab a écrit :

Ce sont bien des failles au niveau des machines de l'hébergeur qui sont la cause de ces intrusions;
Il n'empêche que cela ne dispense pas de mettre à jour sa version de Spip et autres plugins et logiciels utilisés.

par défaut, spip ne possède (et n'utilise) aucun fichier index.html

pour pallier à l'ajout de fichiers index.html (b-a-ba du défaçage),
il faut interdire à apache de lire ces fichiers en ajoutant, dans
le .htaccess de la racine de spip (par exemple dans son bloc
### REGLAGES PERSONNALISES ###) :
  DirectoryIndex index.php

puis, pour éviter qu'un appel explicite à mon_site/index.html
soit possible, ajouter une redirection (toujours dans ce bloc) :
  RewriteRule index\.html$ index.php
ou encore :
  RewriteRule index\.html$ spip.php?page=404

attention : ceci n'est qu'un pis-aller (pour éviter l'affichage de
la page défacée) ; *ne protège pas* et ne dispense en rien de se tenir
à jour, vérifier ses logs, etc

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Salut,

Marc Valleteau de Moulliac a écrit :

Bonjour, je prends en route pour vous faire part de mon expérience en matière de sécurisation avec Spip.

S'il s'avère que, effectivement, Spip est particulièrement bien développé et n'offre pas, fondamentalement, de faille de sécurité (notamment pas ou peu d'injection possible), il reste deux 'failles' auxquelles on ne pense pas vraiment : le brut-forcing et l'arborescence du site ...

1. le brut-forcing : on sait que des robots sont capables de tester les formulaires de login longtemps et de manière répétitive pour tenter de découvrir les codes d'entrée, tentatives d'autant plus facilitées par la 'faiblesse' évoquée ci-dessous ... Ne serait-il pas bon de limiter les tentatives à un nombre restreints d'essais et de bloquer ensuite les entrées ? Ou tout au moins 'd'imposer' des mots de passes solides ? En intégrant, par exemple, à l'installation, un outil indiquant la force du mot de passe de l'admin id1 ?
  

les mots de passe sont suffisament longs (6 caractères mini de mémoire)

2. l'arborescence du site. Spip est un logiciel libre, donc tout le monde - y compris les hackers - peuvent en connaître l'organisation interne, et surtout, l'existence et le rôle du répertoire tmp. En effet, suite à des tests effectués sur une plateforme que je croyais solide, accessible en https seulement, il a été super facile d'entrer dans le répertoire tmp, puisque l'on en connaît l'existence. A partir de là, récupérer les dump de la base (dans lequels il y a les login et les psw), lire simplement tous les logs de spip ... et y voir les informations concernant les admin, le nom des dumps faits, etc.
Bien sûr, il va falloir protéger mieux ce répertoire, (et l'idéal, semble-t-il, serait de le déplacer sur un autre serveur non accessible en http, mais réservé à ceux qui ont un dédié), mais c'est sûr que ceux qui ne sont pas trop développeurs - il y en a pas mal dans les utilisateurs spip - n'y pensent pas forcément ...
  

avoir dans ton répertoire /tmp un .htaccess contenant ceci :

deny from all

ca suffit pour empécher l'accès en http

Bonjour,

Le problème c'est que ce n'est pas un turc mais un français je pense signature Jour-des-hacker.html sur un des sites, peut-être qui sait aussi utiliser google translate le bougre...

Il n'empêche que cela ne dispense pas de mettre à jour sa version de Spip

Le site a été refait récemment 2.0.10 avec des plugins installer récemment aussi dont j'ai vraiment des doutes sur SPIP à l'inverse d'octave d'OVH, en même temps il a pas tord sur ton SPIP est hacké mais techniquement j'aurais préféré qu'il soit plus précis, car un des webmaster qui 'occupe de ce SPIP s'occupe d'autre site qui sont aussi tombé mais on ne sait toujous pas si c'est ovh ou lui, car le fait d'avoir des identifiants admin, récupéré par brute force ou par ingénierie sociale,... n'a rein à voir... avec SPIP.

Bonne journée

Nicolas

http://www.linux-live-cd.org/

Apéro SPIP - Montpellier -
http://montpel-libre.fr/-Apero-SPIP-

Les Sab a écrit :

Bonjour,
J'ai connu la même mésaventure il y a quelques mois chez Céléonet avec le même hacker turc.
De nombreux sites avaient été touchés.
Ce sont bien des failles au niveau des machines de l'hébergeur qui sont la cause de ces intrusions;
Il n'empêche que cela ne dispense pas de mettre à jour sa version de Spip et autres plugins et logiciels utilisés.
Bon dimanche,
TS

    "Alexandra Guiderdoni" <alexandra.guiderdoni@gmail.com
    <mailto:alexandra.guiderdoni@gmail.com>> a écrit dans le message
    de news:dac687b31002061554l6195bdc2i8fe5d2e26dd5b727@mail.gmail.com...
    Ils en parlent ici aussi
    Page d'accueil de la communauté - Communauté
    Mais vu que ca semble toucher SPIP Joomla et wordpress cf un des
    post, j'obterais plus pour un soucis d'ovh que de SPIP.
    Faudrait éplucher les logs serveurs dans les détails
    Alexandra

    Le 7 février 2010 00:48, nikolas.villa@gmail.com
    <mailto:nikolas.villa@gmail.com> <nikolas.villa@gmail.com
    <mailto:nikolas.villa@gmail.com>> a écrit :

        A savoir que pas mal de site (cluster 14 OVH) sont déjà touché:
        Page d'accueil de la communauté - Communauté

        Mais le site de l'asso est malheuresement sur un autre
        cluster, donc d'autre cluster touché?

        nikolas.villa@gmail.com <mailto:nikolas.villa@gmail.com> a
        écrit :

            Bonsoir,

            J'avais beaucoup de doute quand à la possibilité de SPIP
            d'être hacké jusqu'à ce que oles d'OVH( voir réponse) nous
            accuse, quand pensez-vous?

            C'est un site d'un asso que je connais, c'est ne pas moi
            le webmaster, mais je doute que spip y soit ma configurer.

            Bonne soirée.

            Réponse de OLES:
            oles@ovh.net <mailto:oles@ovh.net> a écrit:

                    http://www.rphfm.org/

                je t'ai remis le backup. kado

            tu t'es fait hacké le SPIP. et donc les données dans la base
            SQL sont pourri. la remise d'un backup ne change rien. il
            faut nettoyer la base.

            sur le site au bout 2 minutes de fonctionnement
            # grep 'Hacker-By' * -r
            tmp/cache/3/for----%20----%3Cin-pas--71a4629d: <form
            id='formulaire_login' method='post'
            action='-Hacker-By-Crypton-aND-GaLaxy-Owned,3-'
            enctype='multipart/form-data'>
            [...]
            #
            le backup d'hier
            # grep 'Hacker-By' * -r
            #

            _______________________________________________
            liste spip
            spip@rezo.net <mailto:spip@rezo.net> - désabonnement :
            envoyer un mail à spip-off@rezo.net
            <mailto:spip-off@rezo.net>

            Infos et archives :
            http://listes.rezo.net/mailman/listinfo/spip
            Discuter chez rezo.net

            Documentation de SPIP : http://www.spip.net/

            Irc : de l'aide à toute heure : http://spip.net/irc

        _______________________________________________
        liste spip
        spip@rezo.net <mailto:spip@rezo.net> - désabonnement : envoyer
        un mail à spip-off@rezo.net <mailto:spip-off@rezo.net>

        Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
        Discuter chez rezo.net

        Documentation de SPIP : http://www.spip.net/

        Irc : de l'aide à toute heure : http://spip.net/irc

    ------------------------------------------------------------------------

------------------------------------------------------------------------

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Le 07/02/10 11:35, Marc Valleteau de Moulliac a écrit :

A partir de là, récupérer les dump de la base (dans lequels il y a les login et les psw)

ça va pas être simple de retrouver un mot de passe à partir de la
valeur du champ pass de la table spip_auteurs...

Bien sûr, il va falloir protéger mieux ce répertoire

comme dit plus tôt spip place un .htaccess sur ce répertoire
qui en interdit l'accès http

Voilà ma petite expérience, et les deux seules réelles "failles" que j'ai découvertes.

sur ces 2 exemples, je ne parlerais pas de faille.

Je suis bien d'accord avec toi marc pour le point un, un système qui empecher de se loguer à quelqu'un qui essai de se loguer par exemple plus e 5 fois ans succès d'attendre 10 minutes avant un prochain essai ne serait pas une mauvaise pour un utlisateur standard ( et me rassurant ) car il est très facile de trouvé un login(->auteur souvent sur la partie publique ou prenom du dirigeant si entreprise) après le mot de passe c'est moins évident mais je connais plus de personne qui mette des trucs tous cons que de personnes qui mettent des majuscules minuscule, chiffres et autres avec plus de 6 caractères.

Pour le point 2 c'est vrai que c'est plus un point d'admin système je dirais mais ça serait pas mal de se faire un mémento spécial sécurité SPIP ( pas supprimer les .htaccess des répertoires important, en ajouter la ou il y en manque ). En disant ça j'ai installé sur un site save_auto, et il me met tous à la racine du site, j'ai pas encore vérifié car c'est un site test, mais à mon avis on peut récupérer les bases, il faudra que je me penche dessus se problème, mais ça va bien que je me promème tous les jours sur mon serveur et observe, mais si madame ou monsieur michu installe le plugin, je pense que ça peut être quelqu'un d'autre qui s'en apercoive ou même cherche justement avant lui..

Bonne journée.

Nicolas

http://www.linux-live-cd.org/

Apéro SPIP - Montpellier -
http://montpel-libre.fr/-Apero-SPIP-

Marc Valleteau de Moulliac a écrit :

Bonjour, je prends en route pour vous faire part de mon expérience en matière de sécurisation avec Spip.

S'il s'avère que, effectivement, Spip est particulièrement bien développé et n'offre pas, fondamentalement, de faille de sécurité (notamment pas ou peu d'injection possible), il reste deux 'failles' auxquelles on ne pense pas vraiment : le brut-forcing et l'arborescence du site ...

1. le brut-forcing : on sait que des robots sont capables de tester les formulaires de login longtemps et de manière répétitive pour tenter de découvrir les codes d'entrée, tentatives d'autant plus facilitées par la 'faiblesse' évoquée ci-dessous ... Ne serait-il pas bon de limiter les tentatives à un nombre restreints d'essais et de bloquer ensuite les entrées ? Ou tout au moins 'd'imposer' des mots de passes solides ? En intégrant, par exemple, à l'installation, un outil indiquant la force du mot de passe de l'admin id1 ?

2. l'arborescence du site. Spip est un logiciel libre, donc tout le monde - y compris les hackers - peuvent en connaître l'organisation interne, et surtout, l'existence et le rôle du répertoire tmp. En effet, suite à des tests effectués sur une plateforme que je croyais solide, accessible en https seulement, il a été super facile d'entrer dans le répertoire tmp, puisque l'on en connaît l'existence. A partir de là, récupérer les dump de la base (dans lequels il y a les login et les psw), lire simplement tous les logs de spip ... et y voir les informations concernant les admin, le nom des dumps faits, etc.
Bien sûr, il va falloir protéger mieux ce répertoire, (et l'idéal, semble-t-il, serait de le déplacer sur un autre serveur non accessible en http, mais réservé à ceux qui ont un dédié), mais c'est sûr que ceux qui ne sont pas trop développeurs - il y en a pas mal dans les utilisateurs spip - n'y pensent pas forcément ...

Voilà ma petite expérience, et les deux seules réelles "failles" que j'ai découvertes. N'étant pas du tout familier avec les .htaccess et autres expressions régulières, on pourrait peut-être attirer l'attention des utilisateurs dans ce domaine et leur proposer des solutions pratiques à mettre en oeuvre ...

Pour ma part, je vais travailler à mieux sécuriser la plateforme dont je parle plus haut - mais elle est sur un dédié, donc pas "standard" - mais je vais aussi tester cela sur des sites mutualisés : si je peux apporter à la communauté dans ce domaine, ce sera avec plaisir ...

Marc

Le 7 févr. 2010 à 10:46, denisb a écrit :

Le 07/02/10 09:23, Les Sab a écrit :
    

Ce sont bien des failles au niveau des machines de l'hébergeur qui sont la cause de ces intrusions;
Il n'empêche que cela ne dispense pas de mettre à jour sa version de Spip et autres plugins et logiciels utilisés.
      

par défaut, spip ne possède (et n'utilise) aucun fichier index.html

pour pallier à l'ajout de fichiers index.html (b-a-ba du défaçage),
il faut interdire à apache de lire ces fichiers en ajoutant, dans
le .htaccess de la racine de spip (par exemple dans son bloc
### REGLAGES PERSONNALISES ###) :
DirectoryIndex index.php

puis, pour éviter qu'un appel explicite à mon_site/index.html
soit possible, ajouter une redirection (toujours dans ce bloc) :
RewriteRule index\.html$ index.php
ou encore :
RewriteRule index\.html$ spip.php?page=404

attention : ceci n'est qu'un pis-aller (pour éviter l'affichage de
la page défacée) ; *ne protège pas* et ne dispense en rien de se tenir
à jour, vérifier ses logs, etc

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc
    
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Le 7 févr. 2010 à 12:12, nikolas.villa@gmail.com a écrit :

Je suis bien d'accord avec toi marc pour le point un, un système qui empecher de se loguer à quelqu'un qui essai de se loguer par exemple plus e 5 fois ans succès d'attendre 10 minutes avant un prochain essai ne serait pas une mauvaise pour un utlisateur standard ( et me rassurant ) car il est très facile de trouvé un login(->auteur souvent sur la partie publique ou prenom du dirigeant si entreprise) après le mot de passe c'est moins évident mais je connais plus de personne qui mette des trucs tous cons que de personnes qui mettent des majuscules minuscule, chiffres et autres avec plus de 6 caractères.

Voilà pourquoi je pense qu'un système, dans la partie install de spip, qui indiquerai, au moment de mettre son mot de passe, si celui-ci est SOLIDE, ça pourrait sûrement aider (D'ailleurs il y a un plugin qui fait ça : Plugin Mot de Passe Compliqué - SPIP-Contrib )

Pour le point 2 c'est vrai que c'est plus un point d'admin système je dirais mais ça serait pas mal de se faire un mémento spécial sécurité SPIP ( pas supprimer les .htaccess des répertoires important, en ajouter la ou il y en manque ).

Ce n'est pas seulement un pb admin, car les fichiers de log de spip (spip_log et prive_spip_log) sont des mines d'or pour un hacker, qui y récupèrent tout ce qu'ils veulent, y compris les psw (cryptés, mais craquables). Voir, par ex, une persone qui se logue avec un id=1, le hacker le plus bête sait que c'est le webmestre du site, alors, il se concentre bien sur le psw en question, tu peux me croire !

En disant ça j'ai installé sur un site save_auto, et il me met tous à la racine du site, j'ai pas encore vérifié car c'est un site test, mais à mon avis on peut récupérer les bases, il faudra que je me penche dessus se problème, mais ça va bien que je me promème tous les jours sur mon serveur et observe, mais si madame ou monsieur michu installe le plugin, je pense que ça peut être quelqu'un d'autre qui s'en apercoive ou même cherche justement avant lui..

La solution proposée par mlyoann, de mettre un deny from all dans le .htaccess du rep tmp/ est sûrement efficace, à condition que ton hébergeur l'accepte (j'azi dû changer d'hébergeur, parce qu'il mettait lui-même des htaccess et interdisait les miens ...). Et puis, crois-tu que le "spipien" non développeur saura faire ça ?

Bon dimanche.

Marc

Marc Valleteau de Moulliac a écrit :

Bonjour, je prends en route pour vous faire part de mon expérience en matière de sécurisation avec Spip.

S'il s'avère que, effectivement, Spip est particulièrement bien développé et n'offre pas, fondamentalement, de faille de sécurité (notamment pas ou peu d'injection possible), il reste deux 'failles' auxquelles on ne pense pas vraiment : le brut-forcing et l'arborescence du site ...

1. le brut-forcing : on sait que des robots sont capables de tester les formulaires de login longtemps et de manière répétitive pour tenter de découvrir les codes d'entrée, tentatives d'autant plus facilitées par la 'faiblesse' évoquée ci-dessous ... Ne serait-il pas bon de limiter les tentatives à un nombre restreints d'essais et de bloquer ensuite les entrées ? Ou tout au moins 'd'imposer' des mots de passes solides ? En intégrant, par exemple, à l'installation, un outil indiquant la force du mot de passe de l'admin id1 ?

2. l'arborescence du site. Spip est un logiciel libre, donc tout le monde - y compris les hackers - peuvent en connaître l'organisation interne, et surtout, l'existence et le rôle du répertoire tmp. En effet, suite à des tests effectués sur une plateforme que je croyais solide, accessible en https seulement, il a été super facile d'entrer dans le répertoire tmp, puisque l'on en connaît l'existence. A partir de là, récupérer les dump de la base (dans lequels il y a les login et les psw), lire simplement tous les logs de spip ... et y voir les informations concernant les admin, le nom des dumps faits, etc.
Bien sûr, il va falloir protéger mieux ce répertoire, (et l'idéal, semble-t-il, serait de le déplacer sur un autre serveur non accessible en http, mais réservé à ceux qui ont un dédié), mais c'est sûr que ceux qui ne sont pas trop développeurs - il y en a pas mal dans les utilisateurs spip - n'y pensent pas forcément ...

Voilà ma petite expérience, et les deux seules réelles "failles" que j'ai découvertes. N'étant pas du tout familier avec les .htaccess et autres expressions régulières, on pourrait peut-être attirer l'attention des utilisateurs dans ce domaine et leur proposer des solutions pratiques à mettre en oeuvre ...

Pour ma part, je vais travailler à mieux sécuriser la plateforme dont je parle plus haut - mais elle est sur un dédié, donc pas "standard" - mais je vais aussi tester cela sur des sites mutualisés : si je peux apporter à la communauté dans ce domaine, ce sera avec plaisir ...

Marc

Le 7 févr. 2010 à 10:46, denisb a écrit :

Le 07/02/10 09:23, Les Sab a écrit :
   

Ce sont bien des failles au niveau des machines de l'hébergeur qui sont la cause de ces intrusions;
Il n'empêche que cela ne dispense pas de mettre à jour sa version de Spip et autres plugins et logiciels utilisés.
     

par défaut, spip ne possède (et n'utilise) aucun fichier index.html

pour pallier à l'ajout de fichiers index.html (b-a-ba du défaçage),
il faut interdire à apache de lire ces fichiers en ajoutant, dans
le .htaccess de la racine de spip (par exemple dans son bloc
### REGLAGES PERSONNALISES ###) :
DirectoryIndex index.php

puis, pour éviter qu'un appel explicite à mon_site/index.html
soit possible, ajouter une redirection (toujours dans ce bloc) :
RewriteRule index\.html$ index.php
ou encore :
RewriteRule index\.html$ spip.php?page=404

attention : ceci n'est qu'un pis-aller (pour éviter l'affichage de
la page défacée) ; *ne protège pas* et ne dispense en rien de se tenir
à jour, vérifier ses logs, etc

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc
   
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Le 7 févr. 2010 à 11:50, mlyoann@gmail.com a écrit :

Salut,

Marc Valleteau de Moulliac a écrit :

Bonjour, je prends en route pour vous faire part de mon expérience en matière de sécurisation avec Spip.

S'il s'avère que, effectivement, Spip est particulièrement bien développé et n'offre pas, fondamentalement, de faille de sécurité (notamment pas ou peu d'injection possible), il reste deux 'failles' auxquelles on ne pense pas vraiment : le brut-forcing et l'arborescence du site ...

1. le brut-forcing : on sait que des robots sont capables de tester les formulaires de login longtemps et de manière répétitive pour tenter de découvrir les codes d'entrée, tentatives d'autant plus facilitées par la 'faiblesse' évoquée ci-dessous ... Ne serait-il pas bon de limiter les tentatives à un nombre restreints d'essais et de bloquer ensuite les entrées ? Ou tout au moins 'd'imposer' des mots de passes solides ? En intégrant, par exemple, à l'installation, un outil indiquant la force du mot de passe de l'admin id1 ?

les mots de passe sont suffisament longs (6 caractères mini de mémoire)

C'est vrai, mais pas forcément safe (par ex. le date de naissance, le nom du chien ou prénom du conjoint ...) ...

2. l'arborescence du site. Spip est un logiciel libre, donc tout le monde - y compris les hackers - peuvent en connaître l'organisation interne, et surtout, l'existence et le rôle du répertoire tmp. En effet, suite à des tests effectués sur une plateforme que je croyais solide, accessible en https seulement, il a été super facile d'entrer dans le répertoire tmp, puisque l'on en connaît l'existence. A partir de là, récupérer les dump de la base (dans lequels il y a les login et les psw), lire simplement tous les logs de spip ... et y voir les informations concernant les admin, le nom des dumps faits, etc.
Bien sûr, il va falloir protéger mieux ce répertoire, (et l'idéal, semble-t-il, serait de le déplacer sur un autre serveur non accessible en http, mais réservé à ceux qui ont un dédié), mais c'est sûr que ceux qui ne sont pas trop développeurs - il y en a pas mal dans les utilisateurs spip - n'y pensent pas forcément ...

avoir dans ton répertoire /tmp un .htaccess contenant ceci :

deny from all

ca suffit pour empécher l'accès en http

Certes, dans le cas d'un dédié, mais tous les hébergeurs l'acceptent-ils ? Et peut-on installer cela avec spip_loader ? Si je ne sais pas faire du ftp, je suis bien embêté, là ...

Le 7 févr. 2010 à 12:04, denisb a écrit :

Le 07/02/10 11:35, Marc Valleteau de Moulliac a écrit :

A partir de là, récupérer les dump de la base (dans lequels il y a les login et les psw)

ça va pas être simple de retrouver un mot de passe à partir de la
valeur du champ pass de la table spip_auteurs...

Mon test m'a permis de craquer facilement 90% des mots de passe en question (sur 10 inscrits, il est vrai ...)

Bien sûr, il va falloir protéger mieux ce répertoire

comme dit plus tôt spip place un .htaccess sur ce répertoire
qui en interdit l'accès http

spip ne le fait pas (du moins automatiquement) : j'ai essayé sur tous mes sites (en 2.0.10) installés (soit seuls, soit mutualisés) et j'accède sans peine à n'importe que fichier de /tmp, notamment les logs, que je lis directement dans mon navigateur ...

Voilà ma petite expérience, et les deux seules réelles "failles" que j'ai découvertes.

sur ces 2 exemples, je ne parlerais pas de faille.

Oui, voilà pourquoi je l'ai mis entre guillemets ... mais c'est potentiellement dangereux, non ?

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Bien sûr, il va falloir protéger mieux ce répertoire

comme dit plus tôt spip place un .htaccess sur ce répertoire
qui en interdit l'accès http

Je viens de remarquer que tous les sites installé sur php4 on eu droit à leur .htaccess automatique dans /tmp, mais aucun des sites installé en php5.

Je ne sais pas si c'est le cas pour d'autres, mais c'est peut-être du aussi à une nouvelle version de 2.0.10 qui ne fait plus cela automatiquement ?

Tina

J'avais aussi était embêter une époque, un auteur du ite supprimer constamment des forum sur les articles, il est dur e savoir qui sait quand on débute et même allez faire des grep dans tmp/ c'est bien sur un édié mais quand c'est mutualié il faut à chaque fois downloader les logs, une console de login ( Console de suivi des logs - SPIP-Contrib ) couplé à une interface qui dit quel répertoire ne possède pas son .htaccess ou des droits trop lâche et peut-être mettre une extension autre pour les dump (soit dans du php? ou extension qui n'existerai pas pour apache avec .dump.gz....) empecherai de dévoiler le contenu, tous cela permettrai d'avoir plus facliement la main sur ce qui se passe.

Je pense même à une détection du mot hack et fuck... ou autres ( un peu à la manière couteau suisse pour les spam ) sur la page d'index du site et envoi un mail lorque ça se produit. Parce que s'en apercevoir des heures plus tard ou vérifier x sites c'est un peu contraignant

Comme marc je jetterai un coup d'oeil à tous ça, si jamais j'arrive à un début de plugin sentinelle, si ça existe pour le super CMS joomla

Bonne journée

Nicolas

http://www.linux-live-cd.org/

Apéro SPIP - Montpellier -
http://montpel-libre.fr/-Apero-SPIP-

Tina ENGELBERG a écrit :

Bien sûr, il va falloir protéger mieux ce répertoire

comme dit plus tôt spip place un .htaccess sur ce répertoire
qui en interdit l'accès http

Je viens de remarquer que tous les sites installé sur php4 on eu droit à leur .htaccess automatique dans /tmp, mais aucun des sites installé en php5.

Je ne sais pas si c'est le cas pour d'autres, mais c'est peut-être du aussi à une nouvelle version de 2.0.10 qui ne fait plus cela automatiquement ?

Tina

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Bonjour

Je ne comprends pas: un fichier .htaccess dans tmp/, voici le résultat:

"Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, root@laica.belvil.net and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log."

Bonne soirée !

Le 7 févr. 10 à 11:50, mlyoann@gmail.com a écrit :

avoir dans ton répertoire /tmp un .htaccess contenant ceci :

deny from all

ca suffit pour empécher l'accès en http

Le 07/02/10 12:54, Marc Valleteau de Moulliac a écrit :

Mon test m'a permis de craquer facilement 90% des mots de passe en question

???
nous sommes bien d'accord : à partir de cette ligne extraite d'un dump
   <pass>106329fb8933fbb2d092c90a9428754b</pass>
tu récupères le mot de passe en clair dans 90% des cas

c'est bien ça ?

Le 07/02/10 13:54, Tina ENGELBERG a écrit :

Je viens de remarquer que tous les sites installé sur php4 on eu droit à
leur .htaccess automatique dans /tmp, mais aucun des sites installé en
php5.

alors effectivement il y a un problème sur cet hébergement
(et ce n'est pas lié à la version de php).
non seulement spip crée le fichier htaccess dans tmp/
mais il s'assure régulièrement de sa présence avec la
fonction verifier_htaccess()

Le 07/02/10 16:05, Monique (AC ! Orne) a écrit :

Je ne comprends pas: un fichier .htaccess dans tmp/, voici le résultat:
"Internal Server Error The server encountered an internal error or

je parle bien d'un fichier .htaccess dans tmp/ qui ne contient que :

   deny from all