Fork me on GitHub






Attention au HACKER sur xoops.
Régulier
Inscrit: 22/10/2008 08:24
De FRANCE
Messages: 179
Bonjour,

Ce matin, j'ai été surpris de voir mon site en vrac à cause d'un hacker "Hacked By amir.av727" qui a tous simplement trouvé des failles sur Xoops.

J'ai pu rétablir mon site, et voir les fichiers qui on été modifié par ce hacker.

Cela pourra peut être aider la team pour voir s'il y a des modifications à faire dans notre Systême de sécurité de XOOPS.


Voici la liste des fichiers modifiés:
- Index.PHP
- modules\protector\index.css

A ceci s'ajoute une page nommé "face.html" donc vous trouverez le contenu ci-dessous dans plusieurs rubriques suivantes:

- uploads\multimenu\main\face.html
- themes\default\face.html
- modules\system\themes\default\face.html
- modules\system\images\icons\default\face.html
- modules\system\images\breadcrumb\default\deface.html
- modules\system\admin\maintenance\face.html
- modules\mymenus\skins\mainmenu\deface.html
- modules\mymenus\skins\breadcrumb\default\deface.html
- class\xoopseditor\tinymce\tiny_mce\themes\simple\skins\default\face.html
- class\xoopseditor\tinymce\tiny_mce\themes\advanced\skins\default\face.html

Pour résoudre le problème, j'ai réinjecter donc les deux premiers fichiers d'origine et supprimé touts les "face.html" mais aucun accès à l'administration.

J'ai du réuploader le module "Système", et la tout est redevenu normal.

Jusqu'à Quand???

Avez-vous une idée?

Cordialement.

Voici le code de la page "deface.html"

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<
html xmlns="http://www.w3.org/1999/xhtml">
<
head>
<
meta http-equiv="Content-Language" content="en-us" />
<
meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<
meta name="robots" content="index, follow">
<
meta name="rating" content="general">
<
meta http-equiv="reply-to" content="im_blackhat@yahoo.com">
<
title>Hacked By amir.av727</title>
<
meta content=”amir.av727,Hacked By amir.av727”name=”keywords”>
<
meta content=”HACKED By amir.av727 BLACK HAT”name=”description”>
<
style type="text/css">
.
newStyle1 {
background-color#000000;
font-family"Courier New"Couriermonospace;
font-sizelarge;
font-weightbold;
color#FFFFFF;
}
.
style1 {
text-aligncenter;
}
</
style>
</
head>
<
body class="newStyle1">
<
br><br>
<
strong>
<
div style="text-align: center;"><font size="6"><span style="color: rgb(0, 255, 102);"><strong><font face="arial,helvetica,sans-serif">HACKED By amir.av727 BLACK HAT</strong></font><br/><p>
</
p><br>
<
div style="text-align: center;"><font size="6"><span style="color: rgb(0, 255, 102);"><font face="arial,helvetica,sans-serif">sorry adminyour security is  very low</font><br/><p>
</
p><br>
<
div style="text-align: center;"><font size="6"><span style="color: rgb(0, 255, 102);"><font face="arial,helvetica,sans-serif">!Do not forget I'm black hat!</font><br /><p>
</p><br>
<div style="text-align: center;"><font size="5"><span style="color: rgb(0, 255, 102);"><font face="arial,helvetica,sans-serif">my id:im_blackhat@yahoo.com</font><br /><p>
</p><br>
<a href="http://www.zone-h.org/archive/notifier=amir.av727" target="_blank"><font size="5"><font face="arial,helvetica,sans-serif">my zone-h</a><br /><p>
</strong>
</p>
<script type="text/javascript" src="http://1abzar.ir/abzar/tools/no-rightclick.js"></script><div style="display:none">

Posté le : 02/09/2013 17:13

AG.SITE PUBLICITE - Espace publicitaire gratuit !
AG SITE INTERNET - Création de site internet !
XOOPS 2.5.6 - PHP:5.4.27 - MySql:5.5.32-cll
Partager Twitter Partagez cette article sur GG+
Re: Attention au HACKER sur xoops.
Admin Frxoops
Inscrit: 16/03/2009 16:40
De Tende (06)
Messages: 3134
Merci pour l'information.

Ce qui pourrait aider aussi, c'est de connaître ta version de Xoops et celle de tes modules.

Plus la version est récente, et plus les failles ont été corrigées.

Posté le : 02/09/2013 20:13

Open in new window

Xoopseuse Mai 2012 | Responsable équipe internationale | Recherche avancée en bas de page !
Partager Twitter Partagez cette article sur GG+
Re: Attention au HACKER sur xoops.
Semi pro
Inscrit: 13/02/2006 17:40
De Belgique
Messages: 812
Faut être vachement balaise pour passer à travers un Protector bien installé selon toutes les consignes de sécurité proposées. Pour ma part, rien que xoops_lib et xoops_data s'appellent:

dFg1tYad37MrNVs49SqwP5Eo69ma8lM_lib
6ai737MrNVs49SqwP5Eo69mdFg1tYgLqp_data

lol

Posté le : 03/09/2013 03:12
Partager Twitter Partagez cette article sur GG+
Re: Attention au HACKER sur xoops.
Régulier
Inscrit: 22/10/2008 08:24
De FRANCE
Messages: 179
Bonjour,
Alors pour infos:
Version de XOOPS : XOOPS 2.5.5
Module protector : 3,51
Mes dossiers xoops_lib et xoops_data on bien été modifier et son placé avant "public-html

Faut être bien fort effectivement.
Cordialement.

Posté le : 03/09/2013 10:23

AG.SITE PUBLICITE - Espace publicitaire gratuit !
AG SITE INTERNET - Création de site internet !
XOOPS 2.5.6 - PHP:5.4.27 - MySql:5.5.32-cll
Partager Twitter Partagez cette article sur GG+
Re: Attention au HACKER sur xoops.
Aspirant
Inscrit: 02/04/2008 15:00
Messages: 72
Cesag, can you please edit this message and translate it into French?

If you google for the name of the hacker, you could find out that he hacked tons of Websites. (or there were several hackers but using the same name):

http://www.zone-h.org/archive/notifier=amir.av727/page=1

I looked into two of them, and they were Joomla sites, and one Wordpress.

So I don't think that it has anything to do with XOOPS, but probably with the server.

-----------------------------------------------------


Si vous regardez sur Google le nom du hacker, vous pourriez découvrir qu'il a piraté des tonnes de sites (ou il y avait plusieurs pirates, mais qui utilisaient le même nom) :

http://www.zone-h.org/archive/notifier=amir.av727/page=1

J'ai regardé deux d'entre eux, et c'étaient des sites Joomla et un de Wordpress.

Donc, je ne pense pas que cela ait quelque chose à voir avec XOOPS, mais probablement avec le serveur.



EDIT Cesag : traduction à la demande de Mamba.

Posté le : 03/09/2013 13:04
Partager Twitter Partagez cette article sur GG+
Re: Attention au HACKER sur xoops.
Régulier
Inscrit: 19/08/2006 03:45
De Paris
Messages: 496
Perso je suis sous xoops depuis la version 2.13 j'essaye de faire les mises à jour dès que possible après la sortie des nouvelles & je croise les doigts mais je n'ai jamais eu de problème mon serveur est mutualisé donc je ne le gère pas moi même faute de moyen & de compétences en sécurité mais surtout désoler pour Xoops mais j'évite de crier sur tous les toits que mon site est basé sous Xoops à part aux personnes de confiance à qui je recommande & pour la simple raison que si y'as une faille de découvert éviter qu'il ne soit hacker & cela aurait été la même pour Joomla etc ... Et mes dossier xoops_lib et xoops_data ne sont pas accessible via une url dans mon navigateur uniquement par le FTP !

Maintenant une manière toute bète d'avoir des problèmes c'est un trojan sur votre machine j'ai déjà eu ce problème je retouchais un fichier templates puis l'envoyais sur mon serveur & quand je rafraichissait la page Oh surprise en Vrac j'ai mis du temps à comprendre mais c'était ça du moins pour mon antivirus ! Ensuite tout est rentré dans l'ordre.

Donc je continuerais à recommander Xoops !!!

Posté le : 03/09/2013 18:42

Version Xoops
2.5.8.1 final.
Partager Twitter Partagez cette article sur GG+
Re: Attention au HACKER sur xoops.
Admin Frxoops
Inscrit: 04/03/2011 09:10
De Lot
Messages: 2610
pour répondre a la remarque de johan01

Citation :

Faut être vachement balaise pour passer à travers un Protector bien installé selon toutes les consignes de sécurité proposées. Pour ma part, rien que xoops_lib et xoops_data s'appellent:

dFg1tYad37MrNVs49SqwP5Eo69ma8lM_lib
6ai737MrNVs49SqwP5Eo69mdFg1tYgLqp_data


il n'est pas si difficile que ça de connaître les nouveaux noms de "xoops_data" et "xoops_lib", si tu as accès a "mainfile.php" tu as les deux répertoires écrits en clairs.

Sans compter, que si ils sont passés par le FTP (a mon avis c'est ce qu'ils ont fait), tu as accès a toute l'arborescence.
N'oubliez pas qu'il existe des "sniffers" qui permettent aux hackers de récupérer les login/mdp qui circulent sur le net en clair. Donc pour se protéger un minimum, choisissez bien votre hébergeur, c'est le seul budget où il ne faut pas être radin si vous ne voulez pas de problème. Votre hébergeur doit au moins proposer un sFTP (sur le même principe que https) ou FTP sur SSL/TLS (chiffrement implicite ou explicite). cela limitera les problèmes.

Posté le : 13/10/2013 10:37
Partager Twitter Partagez cette article sur GG+

 Haut   Précédent   Suivant




Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

53 Personne(s) en ligne (43 Personne(s) connectée(s) sur Forum) | Utilisateur(s): 0 | Invité(s): 53 | Plus ...