Alerte de sécurité

Un trou de sécurité a été identifié, et voici les instructions pour le combler.

Owner

Bernard Paques

Progress

Workflow

Support request

Status

Problem has been recorded

Submission on Feb. 17 2009 by Bernard Paques

Depuis hier, plusieurs sites yacs ont été pris d'assaut par des pirates, à distance et à travers Internet.

Comment prévenir toute attaque ?

Vous ne pouvez pas empêcher les tentatives d'attaque, mais vous pouvez en réduire les effets.

Les attaques se sont focalisées sur le script scripts/update_trailer.php et le moyen le plus direct de couper court à toute menace est de supprimer ce ficher, par exemple par connexion FTP.

Le script, y compris dans les versions les plus récentes de yacs (9.1beta), a une faille qui permet l'injection de script. Pour corriger ce problème vous pouvez remplacer scripts/update_trailer.php par la version fournie dans le patch attaché ci-dessous.

Comment détecter si votre site a été attaqué ?

Vous avez peut-être reçu un message de votre hébergeur, ou alors l'aspect de la page frontale a changé, ou encore les répertoires contiennent des fichiers qui ne font pas partie de la distribution originale de yacs.

Comment procéder en cas d'attaque ?

En supposant que le pirate ait simplement tenter d'installer une "porte de derrière" (backdoor), il y a de bonnes chances que les scripts de yacs n'aient pas été trop touchés.

Par l'accès FTP, supprimer le fichier scripts/update_trailer.php, ou le modifier avec la version du patch.

Parcourir l'intégralité des répertoires et supprimer les scripts et répertoires suspects, en demandant de l'aide dans le forum si besoin.

Vérifier le fichier index.php à la racine du site s'il a été "dévisagé" (defaced).

Ré-armer le site s'il a été bloqué par votre hébergeur en suivant les indications qu'il vous a fourni.

Quels sont les risques d'être attaqué à nouveau ?

Tous les scripts de la distribution de référence ont été analysés manuellement aujourd'hui pour vérifier que la même attaque ne pouvait pas se reproduire par une autre voie. Il semble que scripts/update_trailer.php ait été le seul script présentant cette faille.

Fréchette Carmen	on Mar. 7 2009 Pour moi aussi, alors que je croyais le site nettoyé, le problème s'était reproduit... Ma solution, j'en parle au message daté du 27 février... Je n'avais pas envie de tout vérifié un à un tous les répertoires... Donc j'ai effacé TOUT le contenu de www par ftp puis j'ai réinstallé yacs (la dernière version patché, disponible ici) J'ai réinstallé mes dossiers et fichiers perso (par ftp) qui était dans le backup qui datait de trois semaines (donc début février) j'en ai profité pour faire du menage, certains dossiers ou fichiers n'avaient plus d'utilité... la base de données n'a pas été touché, Donc, tout ce qui a été écrit après la faille de sécurité est toujours là.. pour les fichiers rajouté après, il n'y a que moi qui le fait donc, c'était sur mon ordinateur.. Bref, tout cela a pris environ 70 minutes... le plus long a été d'effacer le site entier par ftp.. (tout le contenu de www, chez ovh...) Depuis, sur mes sites, tout va bien... Par contre, j'ai remarqué que, pour les collections de fichiers, les enregistrements que j'avais fais (description du dossier contenant les fichiers etc) n'ont pas été sauvegarder sur la bdd... c'est normal? Le Carbonnier, olivier - on Mar. 8 2009 Fréchette Carmen : Sauf que j'avais tout effacé et réinstallé: il s'agit donc bien d'une nouvelle attaque...
Le Carbonnier, olivier	on Mar. 7 2009 cela recommence: voici le message d'ovh: > Notre système de surveillance (Okillerd) a détecté une opération > irrégulière au niveau de votre site. > > Les détails de cette opération sont les suivants : > > sangliervolant.net > > Problème rencontré : Hidden PERL script > Commande apparente : /usr/sbin/httpd > Exécutable utilisé : /usr/bin/perl > Horodatage: Sat Mar 7 01:47:34 CET 2009 > > Ceci n'est pas autorisé sur nos installations, > car c'est une tentative potentielle de piratage. > > Si ce n'est pas vous qui avez lancé ce script, cela signifie > qu'il y a une faille sur votre site et qu'un hacker s'en > est servi pour réaliser cette opération. > > Nous avons désactivé l'accès web temporairement pour éviter tout > risque de nouveau piratage.
Fréchette Carmen	on Feb. 27 2009 Mais c'est vrai ! le backup de site fait automatiquement par ovh ! Pourquoi je n'y ai pas pensé... (ou quelqu'un l'a signalé mais j'aurais pas lu...) http://guides.ovh.com/BackupsSurPlanWeb Je vais récupérer celui d'il y a trois semaines, comme ça, c'est certain, il n'y aura rien d'indésirable... puis je vais installer le patch de sécurité... et pour ce qui est de la bdd, je crois que c'est ok mais au pire, ovh a aussi un backup fait automatiquement, il y a le lien en bas de page du lien ci-dessus... Je vous tiens au courant !
Belmond	on Feb. 27 2009 Excusez-moi, une question/précision : l'attaque a-t-elle seulement concerné la structure des scripts, et non la base de données? Je le ddemande parceque si l'attaque n'a pas touché la base de données, pourquoi passer des heures à vérifier les différents dossiers et scripts, plutôt que de faire une nouvelle installation de Yacs, qui ne prendra qu'une demi-heure au plus? @+ footix69 - on Feb. 27 2009 Belmond :Je pense effectivement que je vais réinstaller. ce qui m'ennuie c'est que ma base de données fait plus de 8 Méga...donc pour restaurer ma base via le panneau de contrôle çà ne va pas aller.
Fréchette Carmen	on Feb. 26 2009 pfff... Je viens de voir par la page Suivi des Emails (WEB) sur ovh Cette page ne concerne que les emails envoyés depuis des scripts CGI/PERL/PHP. Les envois depuis les comptes POP n'y apparaissent pas Pour purger les messages, vous devez d'abord en demander le blocage. il y a deux sites qui causent problèmes un a envoyé 3930 messages l'autre, 5504 messages... brrrr... j'ai bloqué l'envoie des emails par scripts pour tous les sites - un a été bloqué par ovh....Envois bloqués pour spam
Fréchette Carmen	on Feb. 26 2009 Et bien moi qui croyais que tout était ok... je viens de recevoir une nouvelle alerte blocage du site et il y a eu d'ajouté dans le répertoire principale de yacs index)old.php index_.php dans /scripts errors.php (celui de yacs est nommé error.php) eror.php system.php img_roll_milt2_.js 404.php je fais la comparaison avec filezilla pourtant j'avais installé la nouvelle version de update_trailer.php je vais donc refais le tour de mes autres sites... Il y a en a dans lesquelles il y a beaucoup beaucoup de fichiers que j'ai ajoutés au fil des années... ha zut je viens de recevoir ce message d'OVH: Le problème rencontré : > 3 SPAM Alerts + Errors > 20% > > - Les mesures mises en place : > > En résumé : Blocage de vos envois d'emails > > Face à ce problème, OVH a été contrainte de bloquer l'envoi d'emails > depuis votre hébergement pour éviter tout risque de représailles (blacklistage) > de la part des autres prestataires Internet. > > > - Qui a porté plainte ? > > En résumé : Les plaintes sont anonymes > > Malheureusement, nous ne sommes pas informés des adresses ayant porté > plainte contre vos messages, aussi nos services ne sont pas en mesure de > vous en fournir la liste. > > > - Pourquoi ces mesures ? > > Nous vous rappelons que l'envoi de mails non sollicités est interdit > dans nos conditions générales d'hébergement. > En effet, ce genre de pratique entraine des plaintes qui ont des > conséquences sur l'ensemble de notre clientèle (blacklistage de nos > IPs par exemple) et cause donc un préjudice à notre société. > > - Si vous n'êtes pas à l'origine de ces emails > > Dans cette situation, il y a probablement un spammeur qui a utilisé > une faille de sécurité sur votre site. Veuillez à renforcer sa sécurité > et prenez contact avec nous via l'assistance technique afin de > corriger le problème. > > Une première chose à faire est de mettre à jour tous les systèmes de scripts > que vous avez récupéré sur le net (type forum, portail, système de gestion de > bannières, etc...). etc... Je vais passé les prochaines heures à éplucher mes sites...
footix69	on Feb. 26 2009 Bonsoir, les pirates ont encore frappé. J'ai reçu ce message de chez ovh: " Votre site est utilisé pour des opérations de phishing l'adresse : http://www.sniass.fr/images/interger.php " J'ai constaté dans le répertoire la présence de 4 fichiers intitulés "CZPrintjobTracker4p.zip". Le serveur est fermé et je le laisse comme çà pour le moment. Agnès Rambaud - on Feb. 26 2009 Footix69 : Vérifie bien tes fichiers. Il suffit d'en rater un ou deux d'important mais bien peu visibles et... la porte est toujours ouverte pour eux. Fais donc une deuxième passe (ou une troisième...). On a eu le cas aussi et on est pas les seuls. Si tu as une version en local de ton site, compare fichier par fichier. Il y a un soft intéressant en version trial pour 30j qui peut t'aider : beyond compare : tu installes, tu choisis un répertoire distant et un local à comparer et il mouline, t'affichant les différences et surtout les "orphelins" : ceux qui n'existent que d'un côté. Ce sont probablement ceux que tu cherches, et ils sont parfois bien planqués (attention à ne pas synchroniser les deux répertoires en cliquant sur le mauvais bouton !). Tu peux aussi lancer la comparaison avec une version identique à celle de ton site installée en local par tes soins pour l'occas, tu auras juste + de différences à éplucher. Ensuite, si tu as des répertoires au même niveau que ton /yacs, épluche les aussi. En tout état de cause, on suit encore l'affaire. Agnès Il n'y a pas de problèmes, que des solutions.
Fréchette Carmen	on Feb. 25 2009 Bonjour Bernard écrit: Comment détecter si votre site a été attaqué ? Vous avez peut-être reçu un message de votre hébergeur, ou alors l'aspect de la page frontale a changé, ou encore les répertoires contiennent des fichiers qui ne font pas partie de la distribution originale de yacs. Heu... Pour mes sites, tout semble ok mais, par curiosité, est que lors d'une mise à jour, yacs nous alerte si, parmi lesrépertoires propre à yacs, il y a des fichiers et/ou répertoires inconnus qui sont ajoutés?
J.Juraver	on Feb. 25 2009 Ca je suis d'accord, l'attaque a visé la structure des répertoires et des fichiers php, pas la base elle-même. Cependant, si du contenu a disparu, qu'en penser ? Est-il toujours dans la base mais non affiché à cause de fichiers endommagés ? A-t-il définitivement disparu ? J'ai du mal à comprendre la bonne technique pour restaurer celà. ----- Râââ mais... c'te bête sur l'écran..pffff! Un parasite d'animal poilu encore. Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file... Yacs on my blog \| Suivez le blog Yacs \| Yacs Showroom \| Plugin Firefox de recherche dans Yetanoz \|
Gérard	on Feb. 20 2009 Bonjour, Mon site a été également hacké (en version 9.1 hébergé par 1and1) et j'ai pu le retrouver grâce à la Téléclinique - spécial sécurité mise en place en urgence. Les fichiers qui avaient été installés par les pirates sont les suivants : ./images/section/571/* ./images/user/48/hsbcservices.html ./images/user/48/safeonline.php ./images/user/48/safeonline2.php ./images/user/config.php ./images/dbconfiig.php ./images/userr/bandwith.php ./images/userr/idvFieldsValidation20071023.js ./images/userr/interger.php ./images/userr/interger.htm ./images/eyin.php ./images/newegg.php ./images/customerupdate.html ./included/font/bas.php ./scripts/errors.php ./piwik/core/Period/bas.php ./crawltrack/php/index.php ./bacgaleries/thumbs/index.php ./galeriesbis/locales/fr/bas.php En particulier le répertoire /userr avec les fichiers interger.php et interger.htm servaient à du phishing. J'ai du aussi supprimer des tas d'autres fichiers qui m'étaient inconnus. La suppression de tous ces fichiers et le patch du script concerné ont pour l'instant suffi à faire redémarrer le site.
Le Carbonnier, olivier	on Feb. 20 2009 fichiers html retrouvés dans /articles /codes
Le Carbonnier, olivier	on Feb. 20 2009 hammeçonnage citibank dans: répertoire file /www/yacs/files/section/files avec fichiers dans /www/yacs/files/section/ [file=1042] Bernard Paques - on Feb. 20 2009 Le Carbonnier, olivier : Merci, par pitié, de ne pas attacher ici des archives qui contiennent des scripts infectants ! Cette page est surtout destinée à fournir un patch de sécurité. Les collections de cochonneries, il faut les mettre ailleurs, et je supprime les .zip que tu as envoyé.
Le Carbonnier, olivier	on Feb. 20 2009 code html avec fichiers reconnus par antivir comme virus sous le répertoire: hammeçonnage bank hsbc monsite.yacs/codes/hsbc.co.uk-IBlogin.html
J.Juraver	on Feb. 19 2009 J'ai des articles dont le contenu à disparu, il ne reste que le titre et l'intro. Question : ça veut dire que la base de donnée a été touchée ou bien il suffit de corriger certains fichiers pour retrouver ce contenu fantôme ? ----- Râââ mais... c'te bête sur l'écran..pffff! Un parasite d'animal poilu encore. Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file... Yacs on my blog \| Suivez le blog Yacs \| Yacs Showroom \| Plugin Firefox de recherche dans Yetanoz \| Agnès Rambaud - on Feb. 25 2009 " J'ai des articles dont le contenu à disparu, il ne reste que le titre et l'intro. Question : ça veut dire que la base de donnée a été touchée ou bien il suffit de corriger certains fichiers pour retrouver ce contenu fantôme ? " Pour ce que j'en sais, il ne semble pas que les attaques aient visé une modif de la base de donnée. Je peux me tromper mais j'ai quand même le sentiment que ce sont deux choses différentes. Par contre, il n'y a pas de "simple" défaçage" cette fois, les intrusions installant du pishing, et là c'est bien plus grave. Visitez bien vos répertoires et sous-répertoires, allez même dans les répertoires au dessus si vous en avez, les scripts sont passablement dispatchés de partout. Agnès Il n'y a pas de problèmes, que des solutions.
J.Juraver	on Feb. 19 2009 Par prudence, je ne serai pas affirmatif, mais je remarque que mes serveurs encore sous 6.12 n'accusent strictement aucune activité suspecte. Les autres par contre ... de 8.11 à 9.1 c'est le champ de paille en feu. ----- Râââ mais... c'te bête sur l'écran..pffff! Un parasite d'animal poilu encore. Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file... Yacs on my blog \| Suivez le blog Yacs \| Yacs Showroom \| Plugin Firefox de recherche dans Yetanoz \|
Alain Lesage	on Feb. 19 2009 Quelqu'un a une réponse à mes questions ? est-ce que seules les versions 8.4 et suivantes sont affectées ? ou doit-on impérativement mettre à jour tous les sites, sous toutes les versions ? pour des sites roulant sous d'anciennes versions, est-il préférable de simplement supprimer le fichier ou de le remplacer par le patch (qui fait référence à des fichiers qui n'existent pas encore dans certaines de ces anciennes versions) ? ----- On a si peu d'idée de ce qui est possible... Agnès Rambaud - on Feb. 25 2009 " est-ce que seules les versions 8.4 et suivantes sont affectées ? ou doit-on impérativement mettre à jour tous les sites, sous toutes les versions ? " Alain, à partir des versions qui contiennent ce script `/scripts/update_trailer.php`, il faut impérativement vérifier le début du fichier - je ne sais pas jusqu'à quelle version, il faut simplement vérifier si ce script existe. Avant, le script n'existant pas, cette faille n'existe pas non plus - ce qui ne signifie pas qu'il n'y en ait pas une autre. Il y a déjà eu des alertes de sécurité auparavant. Pour les versions avant la 8.4, le code est légèrement différent, il vaut mieux patcher (voir ci-dessous). " Pour des sites roulant sous d'anciennes versions, est-il préférable de simplement supprimer le fichier ou de le remplacer par le patch (qui fait référence à des fichiers qui n'existent pas encore dans certaines de ces anciennes versions) ? " Bernard te dirais de le supprimer sans arrière pensée. Il y aura des messages d'erreurs à la prochaine mise à jour, mais on peut s'en sortir sans dommages en enchaînant les scripts de la procédure de mise à jour l'un après l'autre, manuellement. Que ceux qui ont déjà supprimé ce fichier ne s'affolent pas, ce ne sera pas la mer à boire, et on sera là en cas de besoin. Pour ma part, j'ai simplement édité ce script et replacé au tout début (après les commentaires du début) les deux premières lignes du patch. En remplacement des lignes déjà existantes pour les versions avant la 8.4. Pour mes sites en 9.1 j'ai simplement appliqué le patch. Voilà. Agnès Il n'y a pas de problèmes, que des solutions.
Le Carbonnier, olivier	on Feb. 18 2009 ceux qui trouvent d'autres fichiers incorrects, merci de bien vouloir les communiquer pour en faire la liste... Daniel Lavergne - on Feb. 19 2009 Le Carbonnier, olivier : " ceux qui trouvent d'autres fichiers incorrects, merci de bien vouloir les communiquer pour en faire la liste... " fichiers trouvés pour l'instant : index.html sample.php sunny.php dans scripts ces deux derniers scripts sont ils créés par une fonction précises de yacs, où il faut les jeter? Ils ne se trouvent pas en local. un dossier cron créé dans scripts avec index.html, eyin.php un autre index.html à la racine, plus un autre ailleurs, mais je ne me souviens pas où exactement. Un site sur deux "visités". Question subsidiaire: peut-on revenir sur une version précédente de yacs, la dernière stable en l'occurrence, en sauvegardant la base de données, les différents fichiers,images, articles, sections, utilisateurs... et en les réinjectant sur une installation propre par ftp. Repasser de la 9.1 beta6 à la Macnana 8.11. Petit plus dans le panier, un groupware installé à côté de yacs, en a pris également plein les pommes. Merci pour les avertissements, et le patch de correction, appliqué avant les avertissements de l'hébergeur (nuxit). Bon courage à tous,dommage pour le message d'alerte arrivé ce matin, je consulte le clavardage d'hier.
Le Carbonnier, olivier	on Feb. 18 2009 Dear Service Provider, The URL stated in this report has been identified as a phishing site and is currently involved in identity theft activities. Please inspect this URL to confirm our assertion and take all action required to remove this URL and disable access to the content. http://monsite.net/yacs/scripts/images/newegg.php We would also ask that you provide us with all data files, database dumps and server log activity related to this threat so we can pursue our investigation of the individuals responsible in committing this act. You can send a compressed file containing the data to secfraud-investigations@cyveillance.com. Please password protect the file using the password: phish, to secure the file and keep it from being scanned by filters. Regards, Cyveillance Security Operations Center (CSOC) Cyveillance, Inc. http://www.cyveillance.com/ Email: secfraud@Cyveillance.com Toll Free: +1 (866) 553-0646 Direct: +1 (703) 351-2400 [CY-2995-20090216-14804]
J.Juraver	on Feb. 18 2009 J'en ai actuellement deux au minimum sévèrement touchés. Pour infos, dans /scripts/ j'ai découvert ces fichiers à supprimer d'urgence : `online.htm, faster.php, log.pl, online2.htm, errors.php, session.php, session2.php` ----- Râââ mais... c'te bête sur l'écran..pffff! Un parasite d'animal poilu encore. Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file... Yacs on my blog \| Suivez le blog Yacs \| Yacs Showroom \| Plugin Firefox de recherche dans Yetanoz \|
Alain Lesage	on Feb. 18 2009 Je viens de vérifier les versions antérieures de ce script et je remarque que le code commentté par "Stop hackers" est disparu avec la version 8.4 mais que dans les versions antérieures, il existait bien un code à cet effet, quoique différent (il vérifiait l'inclusion de 3 fichiers au lieu de vérifier la variable gloablae YACS). Est-ce que je peux en conclure que seules les versions 8.4 et suivantes sont affectées et que le code précédent offre encore une protection ? ou dois-je impérativement mettre à jour tous les sites, sous toutes les versions ? Et pour des sites roulant sous d'anciennes versions, est-il préférable de simplement supprimer le fichier ou de le remplacer par le patch (qui fait référence à des fichiers qui n'existent pas encore dans certaines de ces anciennes versions). Quoiqu'il en soit, il serait effectivement approprié d'émettre une nouvelle version recommandée et j'en profiterais pour ramener tous mes sites à niveau. Et finalement, je me réjouis qu'en deux ans, ce soit la seule alerte sérieuse de sécurité dont j'aie été témoin et qu'elle ait été corrigée si vite. Pour info : aucun dommage à aucun de mes 24 sites. ----- On a si peu d'idée de ce qui est possible...
Fréchette Carmen	on Feb. 18 2009 Bonjour Bernard Merci pour le correctif, je l'installe illico... Donc, en regardant les logs, on a un bon indicatif du problème même si c'est la première fois que ce genre de choses m'arrivais (j'suis contente d'avoir "bien" réagit) Mais je vais tout scruter à la loupe comme vous le recommandez, au cas ou des fichiers aurait été ajouté.. en fait je pense utiliser filzilla, en prenant le dernier yacs stable dé-zippé, puis en utilisant, la fonction -affichage -comparaison des répertoires -activer ça met en évidence les fichiers différents .. on gagne du temps (j'écris ça pour les autres utilisateurs non programmeur comme moi...) Belmond - on Feb. 18 2009 Fréchette Carmen :Nickel pour l'astuce de comparaison avec FileZilla. Pour le moment, RAS sur mes sites Yacs. @+
J.Juraver	on Feb. 18 2009 Heu... je préviens par acquis de conscience que Dernière version stable n'a pas encore été mis à jour, si je m'en fie aux indications yacs d'update du fichier 8.11. ----- Râââ mais... c'te bête sur l'écran..pffff! Un parasite d'animal poilu encore. Annuaire des sites YACs Plugin Firefox de recherche dans Yetanoz Nouvelles fonctions suggérées Je ne m'attarde pas, j'ai mon yacs en double file... Yacs on my blog \| Suivez le blog Yacs \| Yacs Showroom \| Plugin Firefox de recherche dans Yetanoz \| Agnès Rambaud - on Feb. 25 2009 JJ : La version recommandée a été patchée et remise en téléchargement. Agnès Il n'y a pas de problèmes, que des solutions.

43 comments

Files

20090217-patch-security.tgz

shared by Bernard Paques on Mar. 12 2009 · 195 downloads · 1,469 bytes

details