Piratage de SPIP2.1.2

bruno31

Septembre 2010

Bonjour

Depuis plusieurs semaines, mon site est victime d’attaques.

Le pirate arrive à s’introduire sur le serveur et à lancer l’exécution de scripts visant à cracker le mot de passe root (sucrack, cracklib).

Pour le moment, on a arrêté les tentatives à temps. Mais souvent, mon site est HS.

On sait que l’intrusion n’a pas été faite en FTP.

Mon hébergeur suspecte fortement une faille dans SPIP ou l’un des plugins.
Or je suis à jour avec les dernières versions.

Je suis désespéré. Je perds beaucoup de temps et j’ai tant de travail à côté. Cet enc... est en train de détruire mon job.

QUE PUIS-JE FAIRE ?

Résolu

Par note Par date Par date chronologique

Indiquez l’intérêt que vous portez à cette réponse

0

Elven

Septembre 2010

As-tu demandé à ton hébergeur un changement de mot de passe FTP ?
Indiquez l’intérêt que vous portez à cette réponse

0

bruno31

Septembre 2010

Apparemment, l’intrusion ne s’est pas faite en FTP.
Et puis, si l’indélicat a réussi à obtenir mon mot de passe une fois, il obtiendra le nouveau mot de passe une 2ème fois.

Mais je vais quand même le changer.

Avez-vous entendu parlé d’attaques de ce genre sur d’autres sites avec SPIP2.1.x ?
Indiquez l’intérêt que vous portez à cette réponse

0

ben

Septembre 2010

Non, ça ne correspond à rien de connu. Mais, si ton hébergeur soupçonne SPIP, j’imagine qu’il a des arguments, des logs ou autre qui permettraient d’identifier le problème ? C’est ça qu’il faut chercher, en tous cas.

Tiens-nous au courant dès que tu as des éléments, soit ici soit en écrivant à spip-team@rezo.net
Indiquez l’intérêt que vous portez à cette réponse

0

neofutur

Septembre 2010

attention il y a une grave faille phpmyadmin en ce moment , ca a de bonnes chances d etre le point d entree du pirate
Indiquez l’intérêt que vous portez à cette réponse

0

bruno31

Septembre 2010

Bonjour Fil

Merci pour ton aide.
Mon hébergeur n’a malheureusement pas beaucoup d’élément à me fournir. Il soupçonne c’est tout.
Il me propose une intervention d’un "spécialiste en sécurité". J’attends le devis mais je crains que cela soit au dessus de mes moyens.

C’est sûr, dés que j’ai plus d’éléments, je les transmets.
Indiquez l’intérêt que vous portez à cette réponse

0

bruno31

Septembre 2010

@ neofutur :
Avez-vous plus d’infos ? une url ?
Indiquez l’intérêt que vous portez à cette réponse

0

fred

Septembre 2010

http://www.phpmyadmin.net/home_page/security/

Tu as bien sûr vérifié que ça ne vient pas de ta machine ? Sans aucune info de la part de l’hébergeur on peut soupçonner n’importe quoi, hein... :-)
Indiquez l’intérêt que vous portez à cette réponse

0

bruno31

Septembre 2010

Je ne suis sûr de rien.

Pas d’infos de la part de l’hébergeur sauf qu’il semble sûr de lui quand il affirme que cela vient de SPIP ou d’un plugin.

J’avais posté ici en me disant que si il y a un pb de sécu dans spip, d’autres vont sûrement le signaler aussi.
Indiquez l’intérêt que vous portez à cette réponse

0

bruno31

Septembre 2010

En regardant dans le log d’accès de mon site, j’ai trouvé des choses bizarres venant d’une même adresse IP.
24.37.136.185 - - [22/Sep/2010:11:22:23 +0200] "GET /spip.php?page=informer_auteur&var_login=1&var_compteur=1285147298000 HTTP/1.1" 200 66 "http://www.xxxxxxx.info/" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.2.8) Gecko/20100723 Ubuntu/9.10 (karmic) Firefox/3.6.8"
En cherchant des renseignements sur "page=informer_auteur", je tombe sur : http://vigilance.fr/vulnerabilite/SPIP-Cross-Site-Scripting-de-informer-auteur-9798
N’y aurait-il pas eu tentative de XSS ?

Je continue mes recherches en me focalisant sur cet IP, et je trouve :
24.37.136.185 - - [22/Sep/2010:11:36:21 +0200] "GET /zbtBosPc.cgi+ HTTP/1.0" 404 301 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:22 +0200] "GET /zbtBosPc.iso2022-jp HTTP/1.0" 404 307 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:23 +0200] "GET /zbtBosPc.php+-d+\ HTTP/1.0" 404 305 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:23 +0200] "GET /zbtBosPc.en HTTP/1.0" 404 299 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:23 +0200] "GET /zbtBosPc.et HTTP/1.0" 404 299 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:23 +0200] "GET /zbtBosPc. HTTP/1.0" 404 297 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:24 +0200] "GET /zbtBosPc.shtml HTTP/1.0" 404 302 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:24 +0200] "GET /zbtBosPc.htaccess HTTP/1.0" 404 306 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:24 +0200] "GET /zbtBosPc.db HTTP/1.0" 404 299 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:25 +0200] "GET /zbtBosPc.it HTTP/1.0" 404 299 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:25 +0200] "GET /zbtBosPc.save HTTP/1.0" 404 301 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:25 +0200] "GET /zbtBosPc.cfm HTTP/1.0" 404 300 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:25 +0200] "GET /zbtBosPc.asa HTTP/1.0" 404 300 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:26 +0200] "GET /zbtBosPc HTTP/1.0" 404 28242 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:26 +0200] "GET /zbtBosPc.axd HTTP/1.0" 404 300 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:27 +0200] "GET /zbtBosPc.0 HTTP/1.0" 404 298 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:27 +0200] "GET /zbtBosPc.AP HTTP/1.0" 404 299 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:27 +0200] "GET /zbtBosPc.btr HTTP/1.0" 404 300 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:28 +0200] "GET /zbtBosPc.zip HTTP/1.0" 404 300 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:28 +0200] "GET /zbtBosPc.render_warning_screen HTTP/1.0" 404 318 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:28 +0200] "GET /zbtBosPc.TXT HTTP/1.0" 404 300 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:29 +0200] "GET /zbtBosPc.cp-1251 HTTP/1.0" 404 304 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:29 +0200] "GET /zbtBosPc.rdf+destype=cache+desformat=PDF HTTP/1.0" 404 328 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:29 +0200] "GET /zbtBosPc.listprint HTTP/1.0" 404 306 "-" "Mozilla/4.75 (Nikto/2.03 )"
24.37.136.185 - - [22/Sep/2010:11:36:30 +0200] "GET /zbtBosPc.TPF HTTP/1.0" 404 300 "-" "Mozilla/4.75 (Nikto/2.03 )"

Y’en a plein des comme ça.
Ne tiendrais-je pas là mon pirate ?
Indiquez l’intérêt que vous portez à cette réponse

0

ben

Septembre 2010

Ce que tu as trouvé ressemble plus à une vaine recherche de trou de sécurité qu’à un piratage couronné de succès.
Indiquez l’intérêt que vous portez à cette réponse

0

bruno31

Septembre 2010

Bonjour Fil

C’est vrai. Tout est retourné en erreur 404.

En fait, ces tentatives ont été lancées par un "gentil" hacker québécois qui a la gentillesse de m’aider à trouver où est la faille. C’est un regardant la provenance de son IP (Québec) que j’ai compris. Il me la confirmé.

Ce hacker m’a dit qu’il suspecte la fonction d’inclusion de document dans les forums.
Qu’en pensez-vous ?

De plus, il a été étonné que l’on puisse mettre du html dans les messages de forum.
Indiquez l’intérêt que vous portez à cette réponse

0

ben

Septembre 2010

Je dis qu’il ne suffit pas de suspecter : il faut trouver le trou, si tant est qu’il existe, et le boucher.
Indiquez l’intérêt que vous portez à cette réponse

0

fred

Septembre 2010

Et je dirais même plus, suspecter ne suffit pas. Ton hébergeur soupçonne SPIP, demande lui des précisions techniques, c’est le mieux placé et ça le concerne aussi — au passage, suggère perfidement que de tu soupçonnes le serveur (je plaisante).
Indiquez l’intérêt que vous portez à cette réponse

0

neofutur

Septembre 2010

et demande aussi a ton hebergeur quelle version de phpmyadmin il utilise au passage ;)
Indiquez l’intérêt que vous portez à cette réponse

0

bruno31

Septembre 2010

Je n’aurai pas plus d’infos de la part de l’hébergeur. C’est le problème.

phpmyadmin, effectivement, J’en touche un mot à mon hébergeur.

Je continue mes investigations et vous tiens au courant.

Merci pour votre aide.
Indiquez l’intérêt que vous portez à cette réponse

0

bruno31

Septembre 2010

Un expert en sécurité a fait un tour sur mon site. Il confirme que c’est une faille dans SPIP.

Je dois maintenant passer à la caisse pour que l’expert applique les correctifs nécessaires.

Évidemment, j’en ferai profiter le communauté, si faille il y a.
Indiquez l’intérêt que vous portez à cette réponse

0

bruno31

Septembre 2010

@ Modérateur : pouvez-vous supprimer l’url du site dans le message 228429 ?

MERCI
Indiquez l’intérêt que vous portez à cette réponse

0

ben

Septembre 2010

@ Modérateur : pouvez-vous supprimer l’url du site dans le message 228429 ?

c’est fait
Indiquez l’intérêt que vous portez à cette réponse

0

Septembre 2010

Je vous donne la suite et la fin de l’histoire :

Malgré les affirmations de mon hébergeur et de son expert sécurité, SPIP n’est finalement pas en cause.
C’est une bonne nouvelle.

La faille était bien plus simple que cela : des droits d’accès un peu larges. Tellement évident que je ne l’ai pas vu.

Désolé d’avoir remuer la communauté. Vraiment.
Indiquez l’intérêt que vous portez à cette réponse

0

denisb

Septembre 2010

du coup je me permets de modifier le titre de ce fil
Indiquez l’intérêt que vous portez à cette réponse

0

neofutur

Septembre 2010

PS : envisager aussi de changer d hebergeur et d expert en securite :p