Par Cyril Sécurité
Tags attaques sécurité evolution
Les attaques évoluant, la sécurité d'un site se doit d'être maintenue
Aujourd'hui je suis tombé sur un nouveau type d'attaque, tentatives d'attaques jusqu'alors inconnues de mes soins.
Rassurez vous car ce nouveau type d'attaque ne passe pas sur un Maximus d'origine.
Après analyse du pourquoi du comment, la solution fut toute trouvée ( merci les logs :) ).
Votre mise à jour sera très facile, car l'upload du seul fichier livré vous protègera efficacement et durablement.
Par Cyril Sécurité
Aucun tag associé
Une nouvelle alerte très importante est lancée !
Alerte de la plus grande importance vu les possibilités offertes !
Un patch vous est livré sur les forums, très simple d'installation.
Renseignements et correctif sur ce forum.
Bonne mise à jour.
Par Cyril Sécurité
Aucun tag associé
Il était une fois la sécurité de mon site :)
Là, j'ai tout dit et j'ai rien dit :(
Les temps changent, les compétences aussi et j'avoue moi même mettre fait clouer au pilori hier lors d'une réunion sécurité linux !
Cette réunion, aura eu un impact ( pour moi ) majeur dans ma vision de la sécurité des sites internet dans leur globalité et tout ça pour avoir approfondi la gestion des droits des fichiers vu par Linux !
Je pensais savoir des choses sur la sécurité, ben ... j'ose avouer que j'étais très loin de deviner ce que l'on pouvait faire avec juste un chmod 777 sur un fichier ou un dossier.
J'avais réussi après de très gros chantiers à comprendre comment écrire dans un dossier ou fichier distant en chmod 777, c'était dur, ça ne marchait pas tout le temps et le script pour parfaire était très lourd ...
C'était sans compter ce que j'ai pu apprendre hier :(
D'ailleurs ma vue va en être bouleversée pour l'avenir, et ma façon de développer aussi !
Maximus devra donc évoluer dans cette nouvelle direction, ou la sécurité n'a pas d'autre prix que de se l'imposer tel un fardeau .
Alors on peut avoir plusieurs visions:
- se dire qu'on sait tout
- se dire que tout va bien
- se dire qu'il ne m'est jamais rien arrivé
- se dire que ça n'arrive qu'aux autres
- ou encore ne rien comprendre et se référer à n'importe quoi ou qui
Enfin, en ce qui me concerne, ma vie et ma vue du développement PHP va changer de direction et de manière ferme et définitive.
J'ai ouvert un fil de dicussion vous relatant au mieux ce que j'ai pu apprendre et mettre en oeuvre, et ce qu'il va être recommandé dorénavant pour utiliser à tête reposée ( jusqu'à quand , dieu seul le sait ) ses sites internet.
Ne vous ruez pas dans la psychose même si ce type de post se veut alarmant, j'ose avouer que certainement très très peu de gens arriveront à reproduire ce que j'ai pu apprendre hier, mais dans tous les cas, sachant ce que l'on peut faire si l'on ne respecte pas les droits des fichiers et chmods avec un site internet, croyez moi que maintenant je vais redoubler de vigileance.
Ces informations visent Maximus, parce que nous sommes sur ce projet, mais tenez vous le pour dit: ceci est valable pour tous les cms ou scripts existants.
Ce type de faille n'est pas causée par le cms en place mais tout simplement par une méconnaissance des faits, moi même je recommandais il n'y a pas si longtemps de mettre les dossiers en chmod 777, maintenant que j'en connais le pour et le contre je peux vous assurez que ce matin j'ai passé ma matinée à faire le tour de mes sites :)
Allez un peu de lecture saine vous fera du bien :)
Si la sécurité de votre/vos site(s) vous préoccupe alors lisez ce fil de discussion, mais ne tremblez pas quand même :)
Comme quoi on n'est jamais assez pointu sur les points les plus sensibles ( marrant d'ailleurs zorteil il y a quelques jours d'ici se posait exactement ce type de question ... peut être en avait il déjà la réponse, le coquin :( )
Attention toutefois, certains hébergeurs ne tolèrerons pas les chmods recommandés, dans ce cas que faire ?
Par Cyril Sécurité
Aucun tag associé
Après l'article, Dans le CMS tout est bon ( c'est comme dans le cochon ), nous allons voir le coté obscur ( et que la force soit avec nous :) ).
Ce second tuto portera donc sur la gestion de la sécurité dans ses propres développements web sous Maximus CMS.
Extrêmement simple quand tout est bien assimilé, il faut reconnaitre que sans tuto bien solide il est toujours très difficile de s'intégrer à l'esprit d'un CMS, et c'est le plus gros reproche que l'on pourrait faire au monde du libre en général: on survole l'ensemble mais on appronfondit jamais les choses :(
C'est justement le but de ce type de tutos, très pointu, que certains nommeraient de type 007 extrêmement confidentiel quoi :) ( à faire palir de rage un éléphant , PHP quoi :) )
Bon passons un peu aux choses sérieuses, car depuis ce matin je n'ai même pas bu un jus pour parfaire ce truc qui finalement m'a pris un temps plus que conséquent, mais sera utile ( très très utile même ) à bien des utilisateurs de Maximus 2008.
Vous découvrirez ainsi point par point comment gérer sa sécurité, mais et aussi comment bien comprendre l'architecture même de Maximus !
Même si je pense que ce type de tuto demande un minimum de connaissances en PHP/MySQL, j'ose à penser qu'il est et restera extrêmement utile même aux béotiens en développement, car comme tout un chacun tout le monde à eu un jour à commencer et croyez moi que si j'avais eu de tels outils j'aurai moins mangé du clavier et des heures de lecture/apprentissage et autres ...
Dans tous les cas, si vous avez des compléments ou autres sur ce tuto n'hésitez pas à le repporter sur nos forums !
Ne sachant pas trop ou taper dans le lard quant aux futurs tutos à réaliser ( tellement il y en a déjà ), j'attend aussi un peu de vous une direction à suivre ( sinon j'en ferai qu'à ma tête na :) )...
Je ne peux que vous inviter à consulter cet article dédié à l'apprentissage du comment sécuriser ses développements vite et bien sur le wiki à cette adresse.
Vous souhaitant beaucoup de plaisir avec Maximus 2008.
Par Cyril Sécurité
Aucun tag associé
A l'aube de livrer Maximus 2008 qui va remplacer à merveille votre bon vieux Maximus BS ( qui commençait à dater ), une faille majeure vient d'être mise à jour et fixée.
Vous êtes donc invité à mettre à jour votre/vos site(s) via le patch qui va bien livré sur les forums.
Téléchargement correctif de sécurité maximus BS
@ très bientôt pour livraison de maximus version 2008 :)
Par Cyril Sécurité
Aucun tag associé
Bonjour à toutes et à tous,
Cette publication est de la plus haute importance pour tous les utilisateurs de Maximus !!!
Un membre de la communauté a connu des déboires dû à une faille maintenant bien cernée dans FCKeditor 2.4, hier et nous en tiens au courant ce jour !
Attention, cette faille est existante aussi dans la version de FCK 2.3 fournie avec les anciennes versions de Maximus !
Une seule chose à faire et d'urgence pour tout le monde :
- remplacer votre version actuelle de FCKeditor par la toute dernière mise à disposition il y a quelques minutes dans les ressources du site
Nous vous recommandons pour ceux qui ne le sauraient pas de suivre ces directives simples et primordiales:
- contrôlez que le fichier kernel/config.php soit bien dans le CHMOD le plus petit possible ( 444 par exemple en lecture seule )
- n'autorisez l'upload ( de quelque sorte que ce soit ) qu'à des administrateurs et ou membres identifiés et jamais aux visiteurs !!!
L'upload en règle général est la plus belle arme pour défacer et/ou prendre la main sur un site internet, tous les gens utilisant une version de coppermine pour phpnuke sont bel et bien visés par ce style d'attaque, tout comme MyUpload qui est une pure passoire, nous ne le redirons jamais assez l'upload est la meilleure arme pour se mettre une balle dans le pied !!!
La dernière version en date de coppermine pour phpnuke ( 1.31 de mémoire ) qui fonctionne donc dans maximus est aussi visée, tout est faisable avec très peu de connaissances et surtout sans laisser aucune trace nul part, soyez très prudent si vous utilisez coppermine en verrouillant l'upload aux administrateurs seulement !
Une version spéciale de Coppermine dédiée pour Maximus est en cours, elle devrait être remise à l'équipe dans la journée ou demain si tout se passe bien et avec celle ci nous n'aurons pas de tel soucis, alors les utilisateurs de version phpnuke vous serez priés d'upgrader votre version sans quoi nous ne pourons rien faire pour vous assurez la sécurité optimale de votre site
Vous retrouverez désormais dans les ressources :
- FCKEditor 2.4a patché
- Maximus BS livré nativement avec FCK Editor 2.4a patché
Tous les utilisateurs de Maximus sont visés sans exception, ceux qui n'upgradent pas leur version de FCKeditor s'exposent, maintenant que la faille est bien cernée, à un danger de hacking permanent !!!
Pensez que d'autres que nous peuvent maintenant trouver aussi la solution pour usurper l'upload de FCKeditor, alors soyez extrêmement prudent ...
Dernière chose, toute alarme et ou toute suspicion est bonne à nous reporter !
Nous portons la plus grande importance à la sécurité de Maximus et donc de la communauté, aussi un nouveau forum va être ouvert vous permettant de reporter tout doute et ou message d'alarme douteux en provenance de votre site, beaucoup d'alertes de sentinel sont des leurres, mais certaines d'entres elles peuvent nous faire découvrir des failles potentielles, ce qui est le cas d'une alarme remontée ce jour sur les forums ( rien d'alramant actuellement - mais une faille potentielle mérite le plus grand intérêt ).
Une participation accrue sur ce point serait la bienvenue de votre part, et aidant ainsi au maintien de la sécurité de nos projets communs :)
Merci à tous et à toutes de votre participation ...
Et que la sécurité reste notre meilleur allié :)
Par Cyril Sécurité
Aucun tag associé
Bonjour à tous
ce jour avec epsylon, nous nous sommes aperçu d'un problême lors de la syndication de nos sites Maximus.
Une fois quelques recherches effectuées, il s'avère que celà vient tout simplement de sentinel qui prend une syndication pour une attaque inconnue ( un comble ).
Une fois quelques tests effectués, nous vous livrons une version sentinel 2.5.03 upgradée qui permet de ne plus avoir ce problême,
la version complète de maximus contient aussi cette correction tout en conservant la version original 2.4.5 de sentinel ( du moins actuellement )
Nous vous rapellons qu'il n'est pas imposé d'upgrader vers la version 2.5.0 car elle n'apporte rien de plus au niveau sécurité ni vitesse de traitement , pas contre si vous avez un quelconque problême de syndication de votre site, sachez qu'il sera toujours mieux d'upgrader votre version, d'autant plus que nous vous avons facilité à 100% l'upgrade, plus facile c'est dur :)
@ Bientôt pour de nouvelles aventures sur Maximus CMS
Par Cyril Sécurité
Aucun tag associé
!!! Attention cette information est très importante pour tous les utilisateurs Paypal !!!
Pour information, ce jour je viens de recevoir un mail soit disant émanant de paypal, avec comme titre
Veuillez rétablir l'accès à votre compte et comme adresse email
service@paypal.fr.
Le contenu de ce mail bien évidemment sent l'arnaque à plein nez, en voici le contenu :
