fichier .ed_config.php.txt

elicend · Inscrit le: May 13, 2005 Messages: 31 Aucun point Lieu de résidence

Salut

lors de la mise à jour de mes bd, j'ai du changer les données du fichier config dans le répertoire kernel, et la surprise, un joli fichier .ed_config.php.txt présent, copie conforme de mon fichier config.

bon pas besoin de réfléchir longtemps pour comprendre qu'il y a eu une attaque réussie, bien que visiblement non exploitée mais savez vous d'ou elle vient, car google ne m'a pas appris grand chose sur ce fichier :'(

merci d'avance !!
bon WE !

Francis · Inscrit le: Feb 20, 2010 Messages: 177 Aucun point Lieu de résidence

As-tu édité ton config.php au travers de ton client FTP ?
Dans ce cas, il se pourrait que ce soit simplement une copie de sauvegarde générée automatiquement par l'éditeur...

elicend · Inscrit le: May 13, 2005 Messages: 31 Aucun point Lieu de résidence

nop

jamais édité, et fichier présent des l'ouverture du répertoire Sad

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

salut comme le dit francis il serait préférable que ce soit ça, sinon c'est vraiment pas terrible Sad

Première question à se poser: à qui appartient ce fichier 'apache' ou utilisateur FTP ?
Le dossier kernel est il libre en écriture ? ( ça ne doit pas être le cas )

Si ce n'est pas une copie de sauvegarde du fichier on pourrait en déduire un hack

dans ce cas, il faut déjà savoir si on a un module permettant l'upload ( non d'origine maximus ) qui permettrait d'uploader un fichier ?

perso ce que je ferai tout de suite si ce n'est pas l'éditeur:
1/ je vide complètement le FTP
2/ je remet un maximus entièrement neuf sur le serveur
3/ je connecte le maximus à la base
4/ je tri avec la plus grande attention tout ce qui pourrait avoir été uploadé sur le serveur et je regarde avec la plus grande attention tout fichier ou image suspect(e), un doute = je supprime
5/ je change tous les mots de passe, y compris FTP, utilisateur mysql, clef admin secure tout de chez tout
6/ je contrôle la table _authors pour voir si personne ne s'est créé un compte

question importante à se poser, ce maximus est il seul sur ce ftp car si ce n'est pas le cas, il faudra en faire de même avec les autres logiciel

encore une fois si ce n'est qu'une copie de sécurité c'est déjà très embêtant, mais si ce n'est pas ça il faudra prendre au sérieux cet avertissement

ce type de truc peuvent aussi apparaitre sur une faille apache ou du serveur ftp !

en toute franchise je trouve ça très très étrange ( ton maximus était il à jour ? est il bien seul sur le ftp ? )

elicend · Inscrit le: May 13, 2005 Messages: 31 Aucun point Lieu de résidence

salut

ce n'est pas un maximus pour le moment mais un phpnuke, avec sentinel notamment.
Je ne sais pas si je suis seul sur le serveur, il est sur un serveur mutualisé ovh.
en fait c'est la seule trace suspecte (bien que trés inquiétante je te l'accorde !)
il n'y a pas eu de modif des tables authors, aucune action de destruction sur le site... A priori, rien ne permet l'upload sur le site meme.

Francis · Inscrit le: Feb 20, 2010 Messages: 177 Aucun point Lieu de résidence

C'est vraiment curieux quand même Shocked

Cyril · Inscrit le: Apr 26, 2005 Messages: 15910 126494 points Lieu de résidence

+1 très curieux

quand je parlais de FTP, je ne parlais pas de serveur, je me doute que sur le serveur tu n'es pas tout seul ( en plus l'utilité d'un dédié pour en avoir eu longtemps est bien bien pauvre en rapport du temps a y consacrer et des risques engendrés ), mais ce qui est intéressant de contrôler c'est si sur ton compte ( où il y a donc un phpnuke et pas un maximus ) il n'y ait bien que ce cms d'installé

sinon, sans être défaitiste par avance mais pour avoir tellement lu, relu, décortiqué, le code de phpnuke pour le connaitre par coeur je peux que malheureusement te confirmer que même un phpnuke doté de sentinel est assez vulnérable ( y compris la version 8.1 puisque l'on a toujours les mêmes problèmes récurrents Sad

)

reste que phpnuke a été un très très bon logiciel malgré ce que nombre en disent, mais que malheureusement un logiciel non suivi de près est hors d'âge très très rapidement, dommage quand même

phpnuke aura eu une bonne chose, il aura fait naitre des cms ( beaucoup sont morts de leur belle mort parce que pas de tête au sommet en capacité à le maintenir, pas les compétences requises pour en sécuriser le binz, pas de créativité pour en assurer l'intérêt général, ou tout simplement pas envie de se faire c... à maintenir un truc gratuit qui ne rapportera jamais un moindre centime ... puis un cms c'est un peu comme une femme, on l'aime et il nous le rend bien ... si on regarde de près Smile

)

dans tous les cas, même avec un phpnuke, je ferai exactement ce que je t'ai décris car si un malin a réussi avec une faille ou une autre à te planter ( ou pire modifier ) un fichier quelque part ton cms est compromis ( à ce sujet je t'invite à zieuter un peu sur le web l'incidence que peut avoir une machine compromise - c'est exactement la même chose mais à une échelle moindre )

la compromission d'un cms est le plus beau hack qui puisse exister, nombre de gens s'imaginent que hacker un site internet, c'est le défacer, modifier les articles ou en changer la page d'accueil

ça ok, c'est bon pour le mec qui débute, il veut s'amuser et voir si il peut y parvenir et surtout si il est en capacité de recommencer l'opération X fois sur des sites différents, là il a passé la première étape
ensuite, et seulement ensuite vient la raison, l'intérêt réel d'un hacker c'est quoi ? c'est pas ça, c'est de compromettre le site qu'il a en vue puis de s'en garder une porte dérobée, malheureusement il est possible de laisser des traces , toute la créativité et l'ingéniosité du hacker se résume là : ne pas laisser de traces ni aucune suspections , un fois qu'on en est là je puis t'assurer que tu peux accéder à tout ce que tu veux ... mais ceci est un autre sujet

dans l'idée générale j'espère t'avoir éclairé sur ce qu'est un site compromis et que ce type de trace peut ( ou pourrait ) y laisser fortement penser Confused

elicend · Inscrit le: May 13, 2005 Messages: 31 Aucun point Lieu de résidence

yep, je connais tout ca, meme si c'est vrai que ca faisait un bon moment qu'a part les robots je n'étais plus trop inquiété !

mon nuke est bien vieux, c'est pour ca que je posais des questions sur la migration en maximus, avec uin nouveau cms tout propre Smile

est ce qu'une version 2010 est prévue dans les jours qui viennent ou est ce que je peux me lancer sur la 2009 release 11 ?