Welcome
Username:

Password:




Remember me

[ ]
[ ]
[ ]
Forums
eTalkers France - e107 :: Forums :: Général   << Sujet précédent | Sujet suivant >>
Sujet : Faille de sécurité dans certains plugin détectée
Modérateurs: Lolo Irie, Aldrin, banal
Auteur Message
banal
mar. 24 mai 2011, 14:41

Membre enregistré #388
Inscrit le: mar. 01 août 2006, 11:51
:
Messages: 526
Bonjour,

Comme vous avez pu le lire sur - lien - il y a une liste noire des plugins à supprimer de vos sites, jusqu'à mise à jour par leur auteurs ou une bonne âme charitable .


Voici la liste des plugins à éviter:
- lien -

La liste est non exhaustive, si vous connaissez d'autre plugin avec une faille, vous pouvez en informer la team e107. Ne jamais donner d'information sur les failles via les forums afin d'éviter toute propagation malveillante.

Bonne journée.

[ Édité mar. 31 mai 2011, 14:16 ]
Retour en haut
Pascal 57
jeu. 02 juin 2011, 01:10
Membre enregistré #98
Inscrit le: jeu. 01 juin 2006, 16:02
:
Messages: 329
Salut Banal

Merci pour cette info !

a+
Retour en haut
Laskov
dim. 12 juin 2011, 09:51
Laskov
Membre enregistré #479
Inscrit le: sam. 19 août 2006, 10:54
:
Messages: 128
Tiens j'en avait un de ces Pluggin heureusement il étais pas activer...

Hop poubelle en plus il sert à rien Reputation 1.1
Retour en haut
yoyo90
jeu. 23 juin 2011, 11:28
Membre enregistré #3510
Inscrit le: ven. 27 février 2009, 10:37
:
Messages: 63
Hello a vous

Moi j'ai ceci :
""""""""""""""""""""""""""""""""""""""""""""""""""""
message Kaspersky

22/06/2011 17:18:45 Firefox Détectés: HEUR:Trojan.Script.Generic

- lien -
"""""""""""""""""""""""""""""""""""""""""""""""""""

et nombre d'utilisateur de mon site me disent qu'ils ont des messages d'alerte virale ??????????

Retour en haut
Pascal 57
jeu. 23 juin 2011, 12:06
Membre enregistré #98
Inscrit le: jeu. 01 juin 2006, 16:02
:
Messages: 329
Salut à Tous,

Moi idem hier après midi j'ai reçu de nombreuses alertes de navigation sur mon site : url malveillante.

Ca s'est calmé aujourd'hui...

Alors ce fichier /e107_files/e107.js il est vérolé aussi ?

Merci
Retour en haut
banal
jeu. 23 juin 2011, 12:20

Membre enregistré #388
Inscrit le: mar. 01 août 2006, 11:51
:
Messages: 526
Bonjour,

Pour le savoir tu peux regarder sa date de modification via ton logiciel ftp.

Normalement il devrait avoir la date de la dernière fois ou tu as mis à jour ton site. Sinon il a été modifié par quelqu'un.

Tu peux le contrôler aussi en le comparant à l'original de ta version e107 avec un éditeur de texte comme pspad, pour le dernier exploit de e107.js, ils avaient ajouté une ligne en fin de fichier, mais plutôt que de supprimer cette ligne au risque d'avoir loupé un ajout, j'ai réuploader le fichier de ma version E107.

En plus de cela, tu vérifies les fichiers voir dossiers sur ton ftp, vires ceux que tu n'utilises pas (plugins, thèmes etc...).

Je ne sais pas sur qu'elle version tu as commencé ton site, mais il y a des fichiers qui ne sont plus utilisés depuis un moment que l'on peut supprimer. notamment le user.js dans le dossier e107_files.

J'ai également modifié l'appelation du fichier .js dans le header afin de voir si c'est un robot à la con qui tente de piraté e107.js via une requête ou alors si il sagit d'un frustré qui en veut à un site communautaire et donc prendra un grand soin à trouver ce fichier pour pouvoir y injecter de nouveau sa ligne de code.

Ayant fait plusieurs modifications d'un coup je ne pourrais pas dire laquelle à fait son effet puisqu'elles auront toutes été mise en application en même temps. (mis à part la modification du chmod qui elle n'a pas empêché le fichier d'être modifiée de nouveau avant réparation)
Retour en haut
Pascal 57
jeu. 23 juin 2011, 13:58
Membre enregistré #98
Inscrit le: jeu. 01 juin 2006, 16:02
:
Messages: 329

Ma version est : e107 Version 0.7.8

mon e107.js d'hièr pèse 13,5 Ko et l'original de ma sauvegarde est de 10,3 Ko

J'ai quand même mis le suspect de côté.

J'avais aussi de la même date et heure un fichier : ok.txt bizarre ce truc

Je me demande bien par où ca passe tout ca

Retour en haut
marj
jeu. 23 juin 2011, 14:56
jac.ouille
Membre enregistré #579
Inscrit le: sam. 02 septembre 2006, 12:02
:
Messages: 3409
Pascal 57 a écrit ...

Ma version est : e107 Version 0.7.8

mon e107.js d'hièr pèse 13,5 Ko et l'original de ma sauvegarde est de 10,3 Ko

J'ai quand même mis le suspect de côté.

J'avais aussi de la même date et heure un fichier : ok.txt bizarre ce truc

Je me demande bien par où ca passe tout ca

Hep, Pascal - lien - et - lien -
´ca sert @a quoi que banal y se décarcasse

avec une 7.8, pas étonnant que tu te fasses attaquer
Retour en haut
marj
jeu. 23 juin 2011, 15:01
jac.ouille
Membre enregistré #579
Inscrit le: sam. 02 septembre 2006, 12:02
:
Messages: 3409
quel daube windaube....

le clavier à fourché: ça sert à quoi ...
Retour en haut
banal
jeu. 23 juin 2011, 15:03

Membre enregistré #388
Inscrit le: mar. 01 août 2006, 11:51
:
Messages: 526
Oui ce fichier ok.txt va de père avec leur injection dans le .js à supprimer donc.

as tu essayé en local la dernière version de E107 pour ton site afin de mettre à jour un peu cela car depuis ta version il y a eu des failles qui ont été corrigées ?

Tu peux déjà tenter de renommer ton dossier E107_files et modifier son nom dans ton e107_config.php

Ce renommage de dossier permet de "cacher" l'utilisation de ce CMS, nous en parlons dans nos divers tutos pour améliorer la sécurité, mais nous ne l'avions pas mis en place ici car pour un site d'entraide de E107 cacher son utilisation n'est pas très "open source" et permet à tous ceux qui vienne regarder ici de voir les url comme il pourraient les avoir de base.

Cependant les dernières attaques et acharnements de certains "robots" nous obligent à modifier les noms des dossiers visés par ses attaques.

après il faut juste faire attention lorsque l'on fait une mise à jour tant au niveau core que traduction prise ici au noms des dossiers et les renommés selon vos choix.

Voili voilou
Retour en haut
Pascal 57
jeu. 23 juin 2011, 23:22
Membre enregistré #98
Inscrit le: jeu. 01 juin 2006, 16:02
:
Messages: 329
Merci Banal pour tes conseils !
Ah Marj tu as raison je suis pas raisonnable


Pour la liste des plugins à éviter j'ai encore Coppermine Version 1.3.5c
j'ai vu dans la liste : coppermine_menu VERSION UNKNOWN est-ce la même chose?

Retour en haut
marj
ven. 24 juin 2011, 07:10
jac.ouille
Membre enregistré #579
Inscrit le: sam. 02 septembre 2006, 12:02
:
Messages: 3409
Pascal 57 a écrit ...
Ah Marj tu as raison je suis pas raisonnable

dis moi quand j'ai tord....

Pascal 57 a écrit ...
Pour la liste des plugins à éviter j'ai encore Coppermine Version 1.3.5c
j'ai vu dans la liste : coppermine_menu VERSION UNKNOWN est-ce la même chose?

coppermine n'a jamais été fiable, et n'est plus mis à jour depuis des années. donc toutes versions!
Retour en haut
marj
ven. 24 juin 2011, 08:01
jac.ouille
Membre enregistré #579
Inscrit le: sam. 02 septembre 2006, 12:02
:
Messages: 3409
@yoyo90 ton e107.js contient un virus

en espérant que la bdd n'est pas infectée:
* Pour commencer, fais un backup complet!
* Supprime tous tes fichiers (d'où backup)
* Passe ton site en maintenance. Il te faut agir dans la bdd (d'où backup). Pour la méthodologie, faire une recherche dans le forum - lien -
* Upload un e107 tous neuf
* Vérifie ton e107_config et écrase celui par défaut

Vois en admin si ça cloche toujours, puis reviens nous en informer pour l'étape 2
Retour en haut
marj
sam. 25 juin 2011, 10:15
jac.ouille
Membre enregistré #579
Inscrit le: sam. 02 septembre 2006, 12:02
:
Messages: 3409
Discussion à suivre sur le sujet - lien -
Retour en haut
Pascal 57
lun. 27 juin 2011, 00:27
Membre enregistré #98
Inscrit le: jeu. 01 juin 2006, 16:02
:
Messages: 329
Merci Marj de nous prévenir !

Dommage que je ne connais pas l'anglais
J'ai essayé de comprendre par le traducteur google :
- lien - Mais je m'y perds un peu...

J'ai mis les dernière version sur mes 2 sites j'ai réussi
Sur le 3e site qui très grands je n'ai pas osé le faire tout seul j'attends de l'aide d'un ami co-administrateur de peur de faire des gaffes. En attendant j'ai renommé le lichier e107_files ca s'est calmé depuis mais je veille.

Je n'arrive pas à sauvegarder ce 3e site qui est très volumineux, si, la base de données mais pas les fichiers : j'ai des soucis avec un programme qui ne sauvegarde que les fichiers recents ou modifié j'ai un "erreur reset" quand je lance le mode backup ftp.

Merci
Retour en haut
marj
lun. 27 juin 2011, 06:34
jac.ouille
Membre enregistré #579
Inscrit le: sam. 02 septembre 2006, 12:02
:
Messages: 3409
Si tu as des problèmes avec ton FTP:
* change de programme! il y en à de très bons, open source et gratuits, genre FileZilla ou FireFTP (extension firefox)
* vois avec ton hébergeur. possiblement un problème de time out qu'ils devraient résoudre facilement

Backup BdD et fichiers:
* tout hébergeur digne de ce nom propose un service backup automatique
vois avec ton co-admin comment c'est fait chez vous

Pour l'anglais:
Désolé! Pas de solution miracle, faut apprendre.

En gros, ils sont en train de tracer comment les pirates s'y prennent. Vraisemblablement par fpw
Dans tes logs, tu cherches /ok.txt précédé quelque peu de /fpw.php
Tu notes les IP et tu les bloques

Note: il est possible que tu trouves aussi la mienne, d'adresse IP
Retour en haut
Pascal 57
dim. 10 juillet 2011, 22:16
Membre enregistré #98
Inscrit le: jeu. 01 juin 2006, 16:02
:
Messages: 329
Bonjour Marj

Hep, Pascal - lien - et - lien -
´ca sert @a quoi que banal y se décarcasse


Voilà mon grand site est à jour de la version 0.7.8 à la e107 Version 0.7.25.

Du coup comme j'ai perdu l'habitude de faire les mises à jour, j'ai une question : fallait il faire une mise à jour de la base suite à l'update ?
Je pose la question car je n'ai pas mis le fichier "install.php" j'ai seulement mis à jour tous les nouveaux fichiers sauf "e107_config.php"

Sinon le site fonctionne très bien.

Merci
Retour en haut
marj
lun. 11 juillet 2011, 08:20
jac.ouille
Membre enregistré #579
Inscrit le: sam. 02 septembre 2006, 12:02
:
Messages: 3409
Si tu as besoin d'une MAJ BdD, le système est censé te le dire.

install.php n'est à utiliser que pour une installation.
Il ne sert à rien lors d'une MAJ.
Il est conseiller de le supprimer dès que l'install est effectuée.

Pascal: c'est bien d'avoir mis à jour, il était temps!
Par contre, poser les questions après...

Enfin! L'essentiel est que ça se soit bien passé.
Retour en haut

Allez à :     Retour en haut

Powered by e107 Forum System
Site francophone d'eTalkers (http://etalkers.tuxfamily.org/), à destination de la communauté francophone du CMS e107

Le contenu éditorial du site est la propriété exclusive du site eTalkers France et de ses auteurs. Pour un usage sur tout autre site, veuillez faire une demande écrite...