Souci PulXml - problème sur le site
Pierre-Dyme
Member
Bonjour,
Je fais appel au connaisseur, je vous explique la situation, j'ai mis en place votre merveilleux PluXML la dernière version la 5.1.6 , hors voilà je rencontre des problèmes depuis quelque heure .
J'ai mis en place une sécurité assez importante avec mots de passe complexe du style
!45!&&%65epilse678665%***+§/?44''''ù£££^***éShwarn334
Aussi bien au niveau administration que htaccess, mais voilà je remarque qu'un petit malin s'amuse à modifier l'entête de mon site hors ça me semble absurde qu'ils puissent passer le panel admin sans tomber sur ma sécurité, quand j'ai remarqué ça j'ai aussitôt changé tous mes mots de passes y compris celui du ftp, mais le problème est toujours présent.
je constate 5 chose
Configuration de base dans le panel d'administration :
Titre du site : là au lieu d'avoir le miens je me retrouve avec un autre nom que je n'est pas mis .
Contenu de la balise meta "description" du site (optionnel) : la exactement pareil
Contenu de la balises meta "keywords" du site (optionnel) : pareil
Langue par défaut du site : là il change la langue, moi j'ai français je me retrouve avec du Ru ou En
Fuseau horaire : là aussi il le change pour mettre Madrid
Quel est le souci ?
y a t'il une personne qui pourrait me donner plus de précision sur une potentiel faille xss ou autre et me dire comment la corriger .
Merci a vous
Je fais appel au connaisseur, je vous explique la situation, j'ai mis en place votre merveilleux PluXML la dernière version la 5.1.6 , hors voilà je rencontre des problèmes depuis quelque heure .
J'ai mis en place une sécurité assez importante avec mots de passe complexe du style
!45!&&%65epilse678665%***+§/?44''''ù£££^***éShwarn334
Aussi bien au niveau administration que htaccess, mais voilà je remarque qu'un petit malin s'amuse à modifier l'entête de mon site hors ça me semble absurde qu'ils puissent passer le panel admin sans tomber sur ma sécurité, quand j'ai remarqué ça j'ai aussitôt changé tous mes mots de passes y compris celui du ftp, mais le problème est toujours présent.
je constate 5 chose
Configuration de base dans le panel d'administration :
Titre du site : là au lieu d'avoir le miens je me retrouve avec un autre nom que je n'est pas mis .
Contenu de la balise meta "description" du site (optionnel) : la exactement pareil
Contenu de la balises meta "keywords" du site (optionnel) : pareil
Langue par défaut du site : là il change la langue, moi j'ai français je me retrouve avec du Ru ou En
Fuseau horaire : là aussi il le change pour mettre Madrid
Quel est le souci ?
y a t'il une personne qui pourrait me donner plus de précision sur une potentiel faille xss ou autre et me dire comment la corriger .
Merci a vous
Connectez-vous ou Inscrivez-vous pour répondre.
Réponses
Il nous faudrait plus d'éléments pour t'aider comme l'adresse de ton site par exemple, les plugins que tu utilises, le thème. Est-ce que le hack est toujours là avec une configuration de base (pas de plugin, thème par défaut)?
Tu veux dire que tu as juste un long mot de passe ou bien tu as modifié certains éléments de pluxml ?
- effectivement mots de passe assez long, j'ai pratiquement mis des .htacess dans tous les dossiers, sur le site avec des mots de passe complexe et j'ai corrigé la faille htacess aussi donc, ça me semble très dur à mon sens, qu'on puissent venir comme ça dans une administration que de toute manière avant d'accéder se tape le .htacess 2 fois .
Je bidouille pas mal, mais si je m'en remet à vous c'est que je suis dans l'impasse, donc deux têtes valles mieux qu'une j'ai sans doute quelque chose que j'ai loupé surement
Peut être pourrions nous en discuter en privée, avez-vous skype ?
Pour trouver d'où vient le problème, il faut faire par étapes.
Quelle est la version de pluxml que tu utilises ? Si ce n'est pas la 5.1.6, commence par faire la mise à jour.
Essaie ensuite de remettre en ligne un pluxml vierge de toute modification, avec le thème de base (oui je sais c'est moche) et vois si le pirate peut toujours œuvrer.
S'il ne peut plus, c'est que tes modifications sont "foireuses".
Tu dis que tu as remodelé le thème : sur quoi portent ces modifications ?
Quand tu dis que tu as modifié la faille htaccess, tu veux dire quoi ?
1- C'est une Version 5.1.6 la dernière comme indiquer plus haut
2- J'ai remodeler le thème, j'ai rajouter un footer, supprimer le lien administration en bas de page afin que moi seule connaisse le panel, modification de l'image de fond, suppression du menue pour y ajouter le miens, rajout d'une bannière, et suppression des blocs à droite du thème pour en faire une page centrale unique.
3- Les serveurs apache on du mal a interprété la requêtes get, la faille se trouve là grosso modo vu qu'il l'interprète mal "GET", tu peux envoyer n'importe quel requête exemple "toto www.lesite.com/index.php au lieu de GET www.lesite.com/index.php afin de bypasser ce .htacess (faudrait que je fasse un tuto entier pour bien expliquer la chose.
Prenons exemple sur ça :
AuthUserFile /chemin/vers/.htpasswd
AuthName "Zone à accès restreint"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>
Voilà ce que j'ai enlevé:
<Limit GET POST>
require valid-user
</Limit>
Monte une machine virtuelle (ou un autre ordi) et refais le test.
Es-tu connecté par Wifi ?
2- Coupler avec vpn je ne me log jamais au site au panel d'administration sans VPN
3- J'ai configurer mes navigateur pour effacer automatiquement mais cookies de session
4- J'utilise linux
Je serai d'accords avec toi si j'étais en ville et qu'une personne snif mon réseaux, mais ce n'est pas le qu'as je suis en campagne à 5 kilomètres de la ville à peut près .
Le problème n'est pas du .htacess ça c'est certain, après mon réseaux, pareil il n'est pas relié en connexion directe sur le modem, il y a une machine (firewall), après mettons un virus (sous linux jusqu'à présent il y en a jamais eu). Je crois que j'ai cité, les plus grosses hypothèses.
Est-ce que le dossier contenant le .htpasswd est protégé.
Est-ce que dans tes htaccess de protection il y a une directive deny all ?
Consultant PluXml
Ancien responsable du projet (2010 à 2018)
Donc, tout est sécurisé de bout-en-bout. Les seules failles possibles peuvent êtres les extrémités : l'hébergeur et le GNU/Linux (non à jour, ou mal configuré).
Ou les modifications que tu as appliquées à PluXml : ajout d'un script maison non sécurisé, service externe. Cela peut être aussi un script "à côté" de ton PluXml qui a accès en écriture aux données de PluXml.
Un autre solution serait de mettre ton site en lecture seule en utilisant le FTP. Tu pourras alors savoir si la modification est exécutée par le serveur ou si elle provient d'une modification depuis l'intérieur (FTP, hébergeur...).
AuthName "RESERVE"
AuthType Basic
AuthUserFile "/membri/waza/site/core/ss/.htpasswd1"
Require valid-user
<Files auth.php >
AuthUserFile "/membri/waza/site/core/ss/.htpasswd1"
AuthGroupFile /dev/null
AuthName "RESERVED"
AuthType Basic
Require valid-user
</Files>
<Files index.php >
AuthUserFile "/membri/waza/site/core/ss/.htpasswd1"
AuthGroupFile /dev/null
AuthName "RESERVED"
AuthType Basic
Require valid-user
</Files>
Comment je les indiquée cela me semble surprenant que ça vienne d'ici et puis ce n'est pas le problème, de toute manière quoi qu'il en soit il faut le mot de passe du panel d'administration et c'est là le problème, comment?
Y à t'il un fichier précis dans PulXML qui contient justement les mots de passes d'administration. Ou y à t'il une faille XSS qui peut modifier l'entête du site comme indiquer plus haut.
je précise aussi que le "Dany all" je les mis dans le dossier "/ss/" afin qu'on ne puisse pas récupérer le ".htpasswd1"
Tu peux peut-être supprimer le dossier core/admin... Es-tu certain que cela ne vienne pas d'un script que tu as intégré à PluXml ou d'un script que tu as dans un dossier "à côté".
Si tu as des détails que tu ne peux pas donner sur le forum. Tu peux les envoyer par mail sur la boite de Stéphane ou la mienne.
1- cela ne peut pas venir de l'intérieur du domaine, au moment ou j'ai vu ce problème qui est apparu dans la minute, (puisque j'étais à rédiger des articles sur le site), j'ai tout de suite procéder aux modifications du mot de passe FTP, compte utilisateur, .htacess, j'ai également fais les suppressions du dossier update et install puis install.php (car à ce que j'ai vu il y avait une faille xss assez importante dû à l'update du site)
2- Pour corriger la faille je ne vois pas ou est le problème, ni comment le cerner sinon je vous aurais déjà poster la solution .
3- y à t'il une personne du staff qui voudrait y jeter un coup d'eil (en privée si possible)
4- je lance toute de même une hypothèse qui me parait tangible, cela pourrait très bien venir du redacteur de texte ?
Si tu as donné les droits de création de page statiques à ton rédacteur (Gestionnaire), il a tout les droits en écrivant du script PHP... (sauf faille non répertoriée...)
ça fais maintenant un petit moment que je n'ai plus ce problème, alors voilà ce que j'ai fait, peut être que ça pourra servir a d'autre.
1- Supprimer le dossier update
2- Mettre un .htacess dans le dossier data et admin
3- Faites un dossier pour les .htpasswd et mettez y un .htacess avec la mention "deny all"
4- Dans les paramètre de pluxml désactiver les commentaire
Merci à vous !