Site joomla haché

Alexandrio · 13 Avril 2013

Bonjour, mon site quel temps Joomla 3.0 vient de se fait hacker, plusieurs dizaines de fichiers ont étés corrompus.
Heureusement j'avais des backups créés avec le module ackeeba.

Je vais essayer de tirer une bonne leçon de ce malheur.

Qui pourrait me dire que les grandes règles et les astuces à respecter pour
à l'avenir essayer d'éviter ce genre de problème.

Un grand merci, Alexandrio

ybet · 13 Avril 2013

Alexandrio a dit:
Bonjour, mon site quel temps Joomla 3.0 vient de se fait hacker

PAs la peine de remettre les fichiers: s'ils sont rentrés dans le site, ils vont utiliser les mêmes techniques dans les jours qui viennent: d'abord mettre à jour puis transférer.

zeb · 13 Avril 2013

éviter d'utiliser de l'open source c'est déjà pas mal pour éviter beaucoup d'ennuis si on est pas derrière le site 24/24.

loran750 · 13 Avril 2013

mais ça veut rien dire Zeb "éviter d'utiliser de l'open source"...

Quant à ce genre de problème de piratage, souvent c'est un soucis de piratage du compte FTP (tu disposes de Filezilla ? Tu as enregistré ton mot de passe dans Filezilla ? ça veut dire que ton PC est hacké)

Sinon pour Joomla, tu n'aurais jamais dû passer à la 3.0 si tu n'es pas un utilisateur averti. C'est marqué noir sur blanch. Tu aurais du rester à la version stable 2.5 dite "LTS : Long term support , supporté à long terme, soit environ 2 ans. Contre la 3.0 STS : short term support : environ 6 mois). Passe à la 3.1.x au plus vite.

Et désactive le FTP sur ton hébergement. Le FTP n'est à activer qu'en cas de besoin.

lolo

equitable · 13 Avril 2013

je pense qu il faut éviter d'utiliser jooomla3 actuellement
et rester sur jooomla1.5 ou joomla2.5 car il y a plusieurs problèmes sur joomla3

UsagiYojimbo · 13 Avril 2013

Si on installe les plugin en connaissance de cause et qu'on fait une veille régulière des bugs et failles liées à chaque plugin en présence. Mais bon, dans un cas comme dans un autre le hack est possible (et souvent plus difficile à identifier quand il s'agit d'un dév spécifique et que tu n'es pas un développeur chevronné).

Pour le reste, +1 loran 750 : change déjà tes mots de passe FTP et met à jour ton site à une version stable, en y adjoignant les correctifs de sécurité nécessaire (et les mises à jour des différents plugins). Et désactives tous les plugins dont tu n'as pas besoin.

Mais bon, j'ai facilement tendance à penser que Joomla est un des CMS les plus passoire du marché. Donc bon...

loran750 · 13 Avril 2013

UsagiYojimbo : non, ce sont juste l'utilisation mal maîtrisée de plugins issus de personnes qui ne savent pas coder.
Le CMS en lui-même est "propre" et sécurisé dès lors qu'on le met à jour régulièrement.
Comme les autres CMS.

Le problème comme je dis, ce sont les plugins qui ne sont pas codés correctement, avec des failles de sécurité aussi grandes que la route 66...

Pareil sur Wordpress.

Le seul conseil : c'est de prendre un plugin avec un suivi / mise à jour régulier, avec un développeur actif et de préférence une communauté.

Grosso modo : choisir les plugins qui sont validés par l'équipe de Joomla et/ou ceux qui sont populaires.

Et ce, quel que soit le CMS utilisé.

lolo

ps : et virez moi FILEZILLA une fois pour toute, c'est une plaie béante pour les maladies électroniquement transmissibles.

UsagiYojimbo · 14 Avril 2013

WinSCP vaincra ! :wink:

zeb · 14 Avril 2013

loran750 a dit:
mais ça veut rien dire Zeb "éviter d'utiliser de l'open source"...

Je pense que si tu coupe la citation oui en effet ça ne veux rien dire mais si tu la prend en entier ça a un sens réel.
Je ne suis pas en train de dire "Joomla c'est mal" ou "faut pas utiliser un script open source" je sous entend simplement que vis a vis de la sécurité, l'open source nécessite une veille très active car les failles y sont plus faciles a exploiter sur des sites qui ne font pas l'objet d'une attention continue (d'où le "si on est pas derrière le site 24/24" que tu ne prend pas en compte dans ta citation).

Bref c'est pas un procès envers l'open source (je serais bien con j'utilise que ça chez moi) c'est une recommandation basé sur des faits vérifiés.

Maintenant le "closed source" a les mêmes soucis mais il est moins ciblé si on met de côté les système d'exploitation car moins accessible au "grand public". Et les dev spécifiques sont eux totalement a l'abris des avantage hack car le code est obscure et nécessite des actions plus manuelles pour être hacké.

Il y a deux phase dans le shéma de hack classique des gloglos (je parle pas des attaques ciblés sur la personne mais sur un système) :
1/ identifier les cibles
2/ tester les failles

l'open source est dispo aux outils automatisés dans les deux cas 1/ j'utilise GG pour identifier des cibles (systéme + version) 2/ dans la liste des cibles je teste une faille avec un bot.

Ensuite j'aimerais revenir sur ta remarque :

ps : et virez moi FILEZILLA une fois pour toute, c'est une plaie béante pour les maladies électroniquement transmissibles.

Faut peut être arrêter de faire peser le poids de la faille sur le logiciel ... Certes il pourrait crypter ses mdp dans son xml afin de rendre la tache plus complexe en cas de vol de ce fichier qui livre accès a tous les comptes FTP. Mais c'est faire peu de cas de ce qui serait alors possible. L'algo de cryptage des mdp devrait alors être réversible car sinon il n'y aurait pas moyen d'utiliser les mdp pour se connecter, hors si il était réversible il y aurait moyen de reverser les mdp ... ce qui, de fait, rendrait la fonction totalement inutile. Filezilla est conçu pour te connecter sans donner le mdp pas pour comparer le mdp que tu donne a une empreinte ou un hash conservé en mémoire...

Alors ou est la faille de filezilla ? Bah c'est très simple elle est qque cm plus loin entre le clavier et la chaise ... Combien de personne utilise un OS vraiment sécurisé ? genre avec une véritable politique de connexion et de sécurité sur les ressources. La grande majorité utilise un compte administrateur windows sans mot de passe sur leur machine faut pas s'étonner si le ver est dans le fruit en moins de temps qu'il faut pour dire bonjours. Avant de déclamer que Filezilla est pas un logiciel sécurisé faut peut être dire que pour que Filezilla livre ses secrets il faut déjà avoir laisser entrer le voleur dans la forteresse, mais là bizarrement personne n'en parle est ce a dire que personne est capable de voir la vérité en face ?

Tu dirais FileZilla c'est perfectible, je dirais oui en effet comme par exemple en ne gardant pas les mdp mais juste les info de connexion, mais quand tu dit que c'est une plaie béante tu parle a un miroir et tu ne te rend pas compte que c'est toi que tu regarde et pas le logiciel. De plus augmenter la sécurité de filezilla c'est avant tout prendre en compte la stupidité des utilisateurs ce qui n'est pas a proprement parler une mesure de sécurité mais une mesure sociale.

Il en va de même avec ma remarque sur l'open source, a ceci près que je ne dis pas c'est de la merde, je rappel que pour que ce soit fiable il faut absolument être derrière et faire de la veille pour réagir vite.

Ce n'est pas une attaque perso sur ta personne (on se croise depuis longtemps je pense que tu l'aura compris) mais faut aussi recadrer un peut l'utilisateur qui risque de colporter des informations sur la sécurité sans savoir pourquoi ni comprendre que 95 % des failles c'est l'utilisateur.

Les voitures sont de moins en moins la cause d'accidents, c'est surtout leur utilisation, donc le facteur humain qui en est la cause .... c'est pareil.

loran750 · 14 Avril 2013

je suis d'accord avec toi, mais tu sais très bien que les gens sont fainéants.

Alors que faire ? Et bien les prendre par la main, les autoriser à faire telle ou telle chose, baliser le terrain.
Et leur donner une clef des portes qu'on aura bien voulu qu'elle n'ouvre que ce qu'on aura défini.

Donc oui, le problème est entre la chaise et le clavier. Et je doute que l'éduquer ou lui faire confiance suffit

mais je ne t'apprends rien. C'est à nous, "professionnels du web" de prévoir tout cela.

zeb · 14 Avril 2013

loran750 a dit:
Alors que faire ? Et bien les prendre par la main, les autoriser à faire telle ou telle chose, baliser le terrain.
Et leur donner une clef des portes qu'on aura bien voulu qu'elle n'ouvre que ce qu'on aura défini.

+1 c'est pour ça que dans le "perfectible" de Filezilla faut faire sauter la possibilité d'enregistrer le mdp ...

ce jour là je change de logiciel car c'est uniquement pour ça que je l'utilise (simple et pratique

)
idem pour windows le jour ou il imposeront une postconfig "utilisateur sans privilège" je commencerait a y croire un peut plus.
idem pour les boxs ... le nombre de truc délirant qu'on peut faire en scannant une plage ip proche de la tienne me fait passer des soirée hallucinantes de rigolade avec les voisins :lol: (les pauvres ... c'est pas bien ça zeb !!!)