Notre site pustule.org a été piraté pour faire du phishing. J’ai été alerté en temps utile et j’ai pu mener des actions correctrices, mais je n’ai aucune info sur la faille utilisée initialement pour rentrer chez nous. Nous ne sommes donc pas à l’abri que ça recommence, et je cherche quelques conseils sur le sujet. Quelqu’un ?
Dans cet esprit, j’ai pensé à aller sur le canal IRC #ouvaton sur irc.ouvaton.org, mais le serveur (qui renvoie sur remi.ouvaton.org) ne répond pas Ce service est-il maintenu ?
Oulà, c’est vieux, ce truc! Je crois que quelqu’un l’avait mis en place (Yann?), mais que ça n’avait jamais été vraiment utilisé.
Quant au reste de la question, il faudrait en savoir plus: si une faille est exploitée, c’est que le système est généralement connu pour avoir une faille. Un blog? un CMS? un script? (En d’autres termes: SPIP? Joomla? Dotclear? …)
Si c’est du fait maison, il faudrait analyser le code lui-même.
Tant pis pour l’IRC Dommage car il suffit d’ouvrir un channel sur un serveur public (freenode, OFTC, …). Pas besoin d’un serveur maison.
Pour l’exploit, un scan du site et les logs m’ont déjà pas mal renseignés. Il semble qu’on nous ait posé une variante de PHP/BackDoor.C99Shell. Après ils font ce qu’il veulent…
Mon souci c’est que les logs à notre disposition ne remontent pas à plus de 24h, et au plus haut que je remonte l’exploit est déjà actif. Y a-t-il moyen de récupérer des logs plus anciennes ? Si oui sur quelle durée ?
Désolé de n’avoir pas répondu… mais je n’ai pas la réponse!
J’ai vu que tu as posté sur assistance: tu devrais avoir avoir plus de succès – notamment des personnes qui ont accès aux logs. Mais je crois qu’ils sont aussi un peu débordés: j’ai aussi une demande en souffrance depuis quelques jours
WebCalendar News
09 Apr 2010: 1.2.1
The 1.2.1 release fixes bugs found in the 1.2.0 release and address some XSS vulnerabilties. All users are encouraged to upgrade.
Merci Nico. En l’occurence on avait la 1.0.4 et j’ai upgradé à la 1.0.5.
Je n’ai pas prévu de passer à la branche 1.1 ni 1.2 car j’ai fait quelques modifs persos qui ne vont pas forcément être simples à porter. Et je n’ai pas vu d’alerte de sécurité relative à la 1.0.5.
[quote=pini]Merci Nico. En l’occurence on avait la 1.0.4 et j’ai upgradé à la 1.0.5.
Je n’ai pas prévu de passer à la branche 1.1 ni 1.2 car j’ai fait quelques modifs persos qui ne vont pas forcément être simples à porter. Et je n’ai pas vu d’alerte de sécurité relative à la 1.0.5.[/quote]
Je suis pas sûr que la version 1.0.5 soit une genre LTS comme chez Ubuntu.
ça vaudrait le coup de demander aux dév. On sait pas non plus si il y a eu réécriture de code entre 1.0.* et 1.1+
Si pas de réécriture globale, la vulnérabilité de 1.1 est dans 1.0.5
Si la version n’est plus maintenue du tout, faut envisager l’upgrade quand même non ?
Ce service est-il maintenu ?
Dommage car il suffit d’ouvrir un channel sur un serveur public (freenode, OFTC, …). Pas besoin d’un serveur maison.