Mon hébergeur me dit que le module xf-section v1.1 a un trou de sécurité qui permet à quelqu'un de spammer en envoyant des emails avec la fonction sendmail.
Depuis 2 jours, ils ont réussi à envoyer 30 000 emails via ce module.
Les auteurs sont situé au Brézil ou utilisent une passerelle située là-bas.
Voici une entrée dans mes logs :
cwd=/home/public_html/modules/xfsection 3 args: /usr/sbin/sendmail -t -i
Dans les logs du module Protector s'y trouve les entrées suivantes à plusieurs reprises depuis quelques jours à partie d'IPs situées au Brésil :
Attempt to upload jindou.php.
Attempt to upload cookie.php.
Attempt to upload SendTo.php.
Hier, je ne sais pas si c'est reliée, mais les permission en écriture des dossiers
uploads et
template_c avait été remis à 775 au lieu de 777. Évidemment, j'ai eu droit à la fameuse page blanche quelques heures le temps que je régle le problème.
Puis-je faire autrement que désactiver le module, il a t-il un patch ?
MON SITE A ÉTÉ VISITEZ PAR :
http://www.atrix-team.org/exploits.phpIls ont installé un script perl dans: .../modules/xfsection/html/
Le script ce nomme
Atrix.pl et possède 2 autres fichiers dépendant
user.db et
bnc.pid plus un répertoire nommé
Logs. Ça ma tout l'air d'un script de chat IRC au premier coup d'oeil. Le script est écrit en portugais ou espagnol.
Selon ce que j'ai trouvé dans le fichier README inclus dans ce fichier :
Ils peuvent apparamment s'emparer du mot de passe Administrateur et des utilisateurs qui visite le site et poste des articles ou commentaires. Le script peut "sniffer" les données qui circulent sur le serveur.