Post to Facebook
Tweet about this
Share at LinkedIn
Invite participants
Reference this page
Dobliu - Il faut configurer le fichier .htaccess pour éviter l'accés aux répertoire.
as tu par exemple essaye
# ask Apache to redirect to pretty error pages
#
ErrorDocument 401 /yacs/error.php?error=401
ErrorDocument 403 /yacs/error.php?error=403
ErrorDocument 404 /yacs/error.php?error=404
# disable directory browsing below this directory
#
Options -Indexes
# set the default handler to index.php
#
#DirectoryIndex index.php
# forbid remote retrieval of YACS configuration files
#
<Files ~ "\.include$">
order allow,deny
deny from all
</Files>
Olivier - J'ai eu une réponse à cet article, mais elle a disparue.
il y a un commentaire selon le compteur, mais il est invisible.
que se passe t il ?
il y a un patch de sécurité:
Security Patch for YACS 6.6.1
celui ci peut il résoudre les attaques dont je fais l'objet ? Tof - 2 sites piratés ce matin... je trouve pas d'où ça vient... c'est quoi ton fichier html piraté ?
Tof
Christophe Battarel - Société altairis -
Fernand - Chay, Tof, Olivier : Le patch en question ici devrait, si j'ai bien compris, résoudre le problème. J'ai communiqué avec Bernard aujourd'hui. Je vous écrit cela à tout hasard car je le sais très occupé, et ne suis pas certain qu'il vienne sur le forum ce soir. ++ Fernand
Bernard - Voir Protégez-vous, les pirates sont de sortie [résolu], Que faire en cas de piratage ? et YACS sous les feux des pirates
Olivier - Bernard : je ne sais pas comment tu as fait avec ton patch sécurité, mais cette nuit il y a eu 18 recherches sur google et yahoo avec "powered by yacs" ou "skin yacs" qui ont abouties sur mon site.
c'est le moyen utilisé par le pirate pour rechercher et hacker sangliervolant.net.
mais cette fois il n'a pas pu le pirater.
merci pour le patch de sécurité.
j'espère que cela va s'arrêter là.
Syndicatpotentiel - Nous avont été piratés deux fois vendredi (http://syndicatpotentiel.free.fr), j'ai tenté de contrer l'attaque en supprimant les fichiers index.php voire en renommant le dossier YACS en un autre nomm pendant que je telechargeai /installait le patch de sécu mais tout d'un coup les hackers (marocains puis turcs) on tout effacé! j'ai reinstallé plus tard yacs en dix minutes mais on a plus les images. ps : c'est moi qui fait hier les recherches google yacs/skins, ca permet de trouver/voir d'autre sites YACS, et pour hier de voir lesquels étaient hackés et ce qu'ils pouvaient en dire...
si ca interesse quelqu'un, pendant l'attaque j'etait en relation par ftp avec mon client ftp, j'essayait de suivre l'attaque et comprendre ce qui se passait. eh bien j'ai localisé un fichier "neki.php" (que j'ai copié sur mon mac) qui ne releve ni de yacs ni de notre site et qui semble contenir les instructions de l'attaque, mais je n'en suis pas sur....
jeff / strasbourg
Agnès - Syndicatpotentiel : Gresivaudan.org et apmfrance, hébergés chez Nuxit, ont également été touchés jeudi soir, mais avec 'gentillesse' si je puis dire puisque rien n'a disparu.
On avait sur chaque site deux fichiers 'deneme.php' rajoutés dans les dossiers 'articles' et 'agents'. Les supprimer n'a pas suffit, car le fichier 'articles/article.php' avait été changé. Le remplacer par un article.php d'origine a remédié au pb.
Tous nos autres sites sont pour l'instant indemnes.
Depuis, on patche de partout...
Agnès
Il n'y a pas de problèmes, que des solutions.
Agnès
Il n'y a pas de problèmes, que des solutions.
Syndicatpotentiel - Agnès: les hackers attachent de l'importance à "exhiber leurs exploits", en les privant d"existence du fichier index.php que j'avais remplacé par un index.html je les ai vexé et ils m'ont supprimer tout les fichiers (seuls restaient les dossiers vide) le fichier neki.php semble etre un shell de defacing (defiguration de site) qu'on trouve dans des forums de hackers. je suppose que chez yacs vous avez trouvé aussi ce script sinon je vous l'envoie par mail et non pas pas un commentaire de peur qu'il se mette à fonctionner jeff
Syndicatpotentiel - Agnès: je viens de refermé mon site, un marocain vient de s'y connecter, peutetre une nouvelle vague d'attaque?
Syndicatpotentiel - Fernand: pour info, j'ai trouvé un forum de hacker qui a oganisé un concours de defacing et surprise, en bas de page, un hacker liste le site de yacs... xttp://www.slotinformaticos.com/foro/index.php?topic=7793.0 (remplacer xttp par http)
jeff / strasbourg
Hempeavie - Bonjour ! Mon site aussi a été piraté... En fait ca fait 2 jours mais je n'arrivais pas à poster ici
Que dois-je faire ? :[
Fernand - Bonsoir Hempeavie : Il faut lire ceci:
Protégez-vous, les pirates sont de sortie [résolu],Que faire en cas de piratage ?,YACS sous les feux des pirates.
Ensuite, suivre les instructions, surtout Protégez-vous, les pirates sont de sortie [résolu] de ces articles, en installant le patch à propos duquel il est fait mention du patch. Tout à fait au début de cet article il y a un lien qui mène directement au patch à télécharger.
Olivier - Fernand : le patch résoud il le problème concernant l'usurpation d'identité sur les emails ?
GnapZ - Fernand : J'ai remis le site de Hempavie en place en version 6.8alpha (incluant le patch) et tout semble fonctionner (réinstallation vierge avec ancienne base). Attention, c'est une version alpha et peut donc toujours apporter des surprises mais pour ce "test" en réel, ça passe bien.
Son site avait été complètement effacé.
Olivier: Je n'ai pas la réponse concernant les mails, intéressant à suivre. J'ai été spammé sur l'adresse de mon profil ici. Mais ça n'a rien à voir, c'est du spam direct, pas le résultat du piratage dont on parle.
Paddy - GnapZ : j'ai aussi été spammé sur ma boite mail dédiée à Yacs.
Comme elle ne sert que pour Yacs, je pense que le hacker a récupéré les adresses mails stockées dans la database... :(
Cordialement.
Paddy
Parti de rien, je ne suis arrivé à rien... mais tout seul !!
Groucho Marx
(YACS 6.6.2 - skin digital)
Cordialement.
Paddy
Parti de rien, je ne suis arrivé à rien... mais tout seul !!
Groucho Marx
(YACS 6.6.2 - skin digital)
Bernard - Olivier: Pour les attaques que j'ai pu suivre en direct, les pirates sont passés par le script
articles/article.php, en lui faisant inclure un script de leur cru à distance. L'application du patch, ou le changement du .htaccess, sont suffisants pour bloquer cette attaque. Attention, les pirates peuvent avoir ajouté des scripts à eux pour revenir par une autre voie. Il est donc important de supprimer les scripts surnuméraires, même après patch. Olivier - Bernard : diffcile d'examiner tous les scripts, n'est il pas préférable de tout effacer et de tout remplacer par la sauvegarde ?
Olivier - Bernard : pour info: les attaques continuent: j'ai toujours des recherches "powered by yacs" pour aboutir sur mon site.
Bernard - Olivier: Je crois, malheureusement, qu'il va falloir s'habituer à considérer Internet comme un environnement hostile...
Bernard - Olivier: Merci merci. En réalité, cette rapidité ne doit rien au hasard. C'est dans ce genre d'occasion qu'on apprécie la solidité et l'homogénéité du code, l'un des piliers de YACS par rapport à d'autres. Ceci étant, ne crions pas victoire et restons vigilants. Plus YACS sera connu, plus les attaques seront insistantes et pernicieuses.
Moi-meme - Bonjour,
ovh me signale qu'ils bloquent aussi ma fonction mail pour cause de plaintes spam.
Ils me signalent qu'un piratage a eu lieu le 6 septembre dernier (comment peuvent-ils le savoir ? Pourquoi ne me l'ont-ils pas dit dès le début ?) sur le site lié à l'email spammeur, et m'invitent à mater mes logs.
Ceux-ci ne me disent rien d'étrange, pourtant j'ai épluché un moment...
Bref perso j'ai upgradé à la version 6.6.2, mais sans patch pour le moment. Est-ce suffisant concernant l'envoi de mail ?
Je comprends pas très bien pourquoi sur ce site là les pirates en sortie organisée ne m'ont pas "défacé" au moins l'accueil, contrairement à d'autres victimes dans ce fil.
Je ne m'attarde pas, j'ai mon yacs en double file...
Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz |
Moi-meme - J'ajoute que je viens tout juste de trouver un mayer.php dans /articles/, avec des commentaires en espagnol... Je crois pas que le développeur de yacs ait commenté certains fichiers en langue ibérique !
Ca semble concerner principalement la configuration à mySQL, et la fonction mail...
Est-ce utile de t'envoyer le fichier pour analyse Bernard ? Est-ce que je lui fais la peau direct ?
Je ne m'attarde pas, j'ai mon yacs en double file...
Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz |
Olivier - Moi-meme : suis interessé par la réponse concernant les mails car OVH ne veut pas rétablir mes mails, voici leur dernier message:
" malheureusement l'envoi est bloque sur votre hebergement donc vous ne pouvez pas utilisez d'autres adresses.
si vous n'etes pas a l'origine de ces spma, il faudra corriger la faille sur votre site et nous expliquez par le biais de cet echange ce que vous fait exactement svp. "
Bernard - Moi-meme: Pas de quartiers pour les scripts surnuméraires. Généralement, ce sont les portes de derrière utilisées par les pirates pour revenir plus tard. Feu !
Bernard - Olivier: La réponse à OVH est d'expliquer que des pirates ont pris le contrôle par script PHP de ton site, et en ont profité pour spammer allègrement. Mais ensuite la correction en évidence pour les convaincre que la situation est stabilisée. Bon courage.
Moi-meme - " Moi-meme : suis interessé par la réponse concernant les mails car OVH ne veut pas rétablir mes mails, voici leur dernier message:
malheureusement l'envoi est bloque sur votre hebergement donc vous ne pouvez pas utilisez d'autres adresses.
si vous n'etes pas a l'origine de ces spma, il faudra corriger la faille sur votre site et nous expliquez par le biais de cet echange ce que vous fait exactement svp.
"
Ouais j'ai bien peur qu'ils me mangent à cette sauce là moi aussi. Leur frilosité a tendance à m'agacer d'ailleurs.
Perso je leur ai indiqué que j'avais appliqué les mesures que la communauté de développement de l'application qui pouvait avoir ouvert une porte à l'intrusion avait jugées bonnes et efficaces.
Même si c'est un petit peu faux parce que j'ai pas patché dans les règles de l'art, je me suis contenté d'upgrader en 6.6.2.
Pour le moment, j'attends le rétablissement de ma fonction mail.
Je ne m'attarde pas, j'ai mon yacs en double file...
Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz |
Olivier - Moi-meme : attention j'étais en 6.6.2 quand j'ai été piraté, tu as donc bigrement intérêt à appliquer le patch, d'autant que c'est ultra simple: il suffit de copier les fichiers avec filezilla ou autre et terminé.
Moi-meme - It's done...
Je ne m'attarde pas, j'ai mon yacs en double file...
Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz |
Moi-meme - " Moi-meme : attention j'étais en 6.6.2 quand j'ai été piraté, tu as donc bigrement intérêt à appliquer le patch "
Une chose m'intrigue cependant : si tu fais une mise à jour incrémentale et que tu t'arrêtes en cours de procédure, les scripts chargés sont stockées dans /script/staging/
Si tu compares ces scripts chargés, ils semblent être rigoureusement les mêmes que ceux du patch, même dossiers, mêmes fichiers, même poids. Ce qui semble logique puisque Bernard n'a certainement pas laissé en ligne une archive logicielle avec des trous connus dedans.
Alors, comment se fait-il que des prises de contrôle pirate surviennent quand même après update ?
Je dis peut-être des énomités, mais j'essaie de comprendre. Je dors mal dans l'ignorance
Je ne m'attarde pas, j'ai mon yacs en double file...
Yacs on my blog | Suivez le blog Yacs | Yacs Showroom | Plugin Firefox de recherche dans Yetanoz |
Bernard - Moi-meme: Attention, la 6.6.2 ne contient pas les patchs de la 6.6.1, tout simplement parce qu'elle a été livrée avant la création du patch. Heureusement, il semble que le patch s'applique aux deux versions.
