aorgerit
Nouveau membre
Points gagnés: 0
Messages: 3
|
 |
Piratage de site version 3.1.8a ( et faisant suite à d'autres sujets identiques)
« le: 09 Juin 2011 à 12:21:48 » |
|
Bonjour,
devant reprendre en main un site utilisant la version 3.1.8a, et subit deux attaques en 4 jours ( content moi).
j'ai donc utilisé ma version de sauvegarde, et nommé le répertoire "admin" qui va sur le serveur en "xxxx_xxxx_xxx_x_x_x___xx_xxxx", bref le nom de dossier le plus chiant à trouver si possible.
Dans ce répertoire "xxxx_xxxx_xxx_x_x_x___xx_xxxx" j'ouvre le fichier "configure;php" et modidie les deux lignes suivantes :
- define('DIR_WS_ADMIN', '/xxxx_xxxx_xxx_x_x_x___xx_xxxx/');
- define('DIR_WS_HTTPS_ADMIN', '/xxxx_xxxx_xxx_x_x_x___xx_xxxx/');
et Upload vers le serveur via ftp.
Ensuite passons à un autre problème, comment l'attaque a t elle bien pu réussir ???
Par des entètes HTTP !!!
Pour ceux qui le peuvent, regardez vos logs, et vous trouverez des requètes du type :
.........en/admin/sqlpatch.php/password_forgotten.php?action=execute HTTP/1.1" 200 19522......
sur mes logs j'ai en gros 150 lignes du meme type des méthodes GET et des méthodes POST, pour une durée globale de requêtes de 20 minutes sur le serveur, en gros un moyen d'entrer sur le serveur, dans les tables, et de placer des fichiers.
D'où ma question :
- est il préférable de modifier le code quelque part pour éviter ce genre de requetes, ( je n'ai pas le niveau pour le faire), et éventuellement bloquer les IPs non publiques.
- où de virer le fichier sqlpatch.php das les trois répertoires concernés (admin/ , admin/languages/french/ et admin/languages/english).
Voici voila, pour faire avancer le schmilblick.
Cordialement.
|
Piratage de site version 3.1.8a ( et faisant suite à d'autres sujets identiques)