Bonjour,

J'aurais quelques questions concernant le defacing (ce n'est pas innoncent, j'ai du corriger tout les fichiers concernés il y a quelques heures)

1) Tous les index.php ont été défacés malgré la présence de Protector, j'ai vérifié tous les droits ils étaient en 644 [Passés en 444 pour plus de sureté]

2) Je viens d'activer la fonction anti-Hacking de Crawltrack, quelqu'un a des infos sur ce très bon script ?
[Si vous voulez un excellent stateur je vous le conseille fortement, attention uniquement Robots - indexation - visteurs envoyés - mots clefs utilisés]

3) Le défacing concerne également l'accès à phpmyadmin ( ? )
Cela veut il dire comme je le pense que ce n'est pas Xoops qui est défaillant, mais la protection globale serveur ?
[Tout le reste du Cpanel est opérationnel]

Par avance merci.
Pascal.

La bad news of the day : Visiblement, c'est bien Xoops qui a un problème de sécurité
Un autre site en construction a été touché aussi...
(Pas d'accès direct via Web, sauf en connaissant le dossier cible)
J'ai un script d'annuaire dont l'index.php n'a pas subit de dégâts.

Mes questions sont donc les suivantes :
- Comment peut-on modifier tous les fichiers index.php visiblement en une passe dans tous les sites xoopsés présents sur l'hébergement ?
- Comment éviter que ça ne se reproduise (et que ça n'arrive à d'autres) ?

Protector est installé, et paramètré sur la protection la plus hard.
Les fichiers sont tous en 644 (modifiés 444 depuis, mais je doute que ça ne change grand chose)

Seul petit doute : fckeditor
Pourquoi : le fichier browser.html servant à naviguer en mode insertion d'images avait disparu ( ? )
(Je dis petit doute, car fckeditor n'est pas installé sur le second site).

- Qu'en est-il de la 2.2.5 ? le niveau de sécurité est il supérieur (Malgré le niveau déjà plutôt pointu de la 2.0.x)
- La final release est elle pour bientôt ? (Auquel cas je reporte un peu la mise en ligne)

Pascal.
( ça fera un up )

Bonjour,

C'est pas forcément xoops qui a une faille, ca peut provenir aussi de modules installés qui eux, possèdent une faille.

Peux-tu nous donner la liste des moduels que tu as installé.

J'ai aussi remarqué dernièrement beaucoup de tentatives de piratages de sites xoops en provenance de tchequie sur le répertoire /install qui DOIT être supprimé après l'installation de xoops.

Faudrait aussi que tu regardes les logs apache pour trouver l'origine de l'attaque et la faille utilisée pour accéder à ton site

Enfin, chez quel hébergeur est-tu, car si tu es sur un hébergement mutualisé chez un hébergeur peu sérieux ou incompétent, ton attaque peut provenir d'un autre piratage d'un site hébergé sur le même serveur, et seul l'analyse des fichiers logs d'apache pourront te le dire.. Tu peux aussi contacter l'hébergeur pour avoir une réponse à ton piratage..

Bon courage dans tes recherches

Citation :

Bonjour,

Je confirme ces nombreuses tentatives sur le dossier /install et install/index.php

Philippe.

Citation :
Bonjour,

Le répertoire install est supprimé immédiatement après la fin de l'installation pour ma part, risque zéro de ce coté, la seule autorisation que je laisse le temps de configurer Protector est sur mainfile.php puisque protector a besoin de le modifier lors de son install, ensuite, il est en 404.
(J'ai déporté les infos SQL comme cité je ne sais plus où mais c'est fait aussi ça dans un dossier non accessible du Web)

Les modules sont des modules basiques, d'ailleurs le site en cours de montage, ne possedait pour sa part que System et Protector.

J'opte plus comme vous le dites pour une attaque globale serveur (mutualisé) l'hébergeur est seconde.fr (Pas trop mal, mais avec quelques lacunes sur certains points, mais je ne suis pas là pour les descendre, ils sont assez rapide quand même dans les réponses sur ouverture de ticket.
De toute manière ils n'ont pas démenti concernant une attaque serveur...
Surtout que même en plombant xoops, aller plomber l'accès phpmyadmin je ne pense pas que ce soit faisable.

Dommage pour les logs, "comme de par hasard" logs vierges...

Merci quand même pour vos réponses, je reste confiant envers Xoops qui après avoir testé 3 ou 4 autres CMS, reste celui qui m'offre le plus d'options spécifiques à mes besoins.
Ne serait-ce que la gestion bookmark personnels, et la possibilité du bloc personnalisé affiché juste pour certains types d'utilisateurs... rarement vu aussi bien et facile a gèrer ailleurs.

Pascal.
PS: Je ne sais plus ou c'est, mais j'avais trouvé un comparatif CMS, Xoops est l'un de ceux avec le plus de points positifs, dont la sécurité.