Souci PulXml - problème sur le site

Pierre-DymePierre-Dyme Member
août 2012 modifié dans Entraide
Bonjour,



Je fais appel au connaisseur, je vous explique la situation, j'ai mis en place votre merveilleux PluXML la dernière version la 5.1.6 , hors voilà je rencontre des problèmes depuis quelque heure .



J'ai mis en place une sécurité assez importante avec mots de passe complexe du style
!45!&&%65epilse678665%***+§/?44''''ù£££^***éShwarn334



Aussi bien au niveau administration que htaccess, mais voilà je remarque qu'un petit malin s'amuse à modifier l'entête de mon site hors ça me semble absurde qu'ils puissent passer le panel admin sans tomber sur ma sécurité, quand j'ai remarqué ça j'ai aussitôt changé tous mes mots de passes y compris celui du ftp, mais le problème est toujours présent.


je constate 5 chose


Configuration de base dans le panel d'administration :


Titre du site : là au lieu d'avoir le miens je me retrouve avec un autre nom que je n'est pas mis .
Contenu de la balise meta "description" du site (optionnel) : la exactement pareil
Contenu de la balises meta "keywords" du site (optionnel) : pareil
Langue par défaut du site : là il change la langue, moi j'ai français je me retrouve avec du Ru ou En
Fuseau horaire : là aussi il le change pour mettre Madrid


Quel est le souci ?


y a t'il une personne qui pourrait me donner plus de précision sur une potentiel faille xss ou autre et me dire comment la corriger .


Merci a vous

Réponses

  • Jerry WhamJerry Wham Member
    août 2012 modifié
    Quand tu dis
    J'ai mis en place une sécurité assez importante avec mots de passe complexe
    , tu veux dire que tu as juste un long mot de passe ou bien tu as modifié certains éléments de pluxml ?


    Il nous faudrait plus d'éléments pour t'aider comme l'adresse de ton site par exemple, les plugins que tu utilises, le thème. Est-ce que le hack est toujours là avec une configuration de base (pas de plugin, thème par défaut)?
  • Pierre-DymePierre-Dyme Member
    août 2012 modifié
    Et bien disons que j'ai remodeler le thème, mais je suis pratiquement certain que ce n'est pas ça le problème, après ne faut jamais dire jamais, mais je pense que je demanderais surement d'avoir un thème sur mesure.


    Tu veux dire que tu as juste un long mot de passe ou bien tu as modifié certains éléments de pluxml ?


    - effectivement mots de passe assez long, j'ai pratiquement mis des .htacess dans tous les dossiers, sur le site avec des mots de passe complexe et j'ai corrigé la faille htacess aussi donc, ça me semble très dur à mon sens, qu'on puissent venir comme ça dans une administration que de toute manière avant d'accéder se tape le .htacess 2 fois .


    Je bidouille pas mal, mais si je m'en remet à vous c'est que je suis dans l'impasse, donc deux têtes valles mieux qu'une j'ai sans doute quelque chose que j'ai loupé surement



    Peut être pourrions nous en discuter en privée, avez-vous skype ?
  • Jerry WhamJerry Wham Member
    août 2012 modifié
    Je n'ai pas skype et je suis au boulot. Donc non, désolé nous ne pourrons pas en discuter en privée. Et puis c'est bien que la communauté profite de cette expérience.


    Pour trouver d'où vient le problème, il faut faire par étapes.


    Quelle est la version de pluxml que tu utilises ? Si ce n'est pas la 5.1.6, commence par faire la mise à jour.


    Essaie ensuite de remettre en ligne un pluxml vierge de toute modification, avec le thème de base (oui je sais c'est moche) et vois si le pirate peut toujours œuvrer.


    S'il ne peut plus, c'est que tes modifications sont "foireuses".


    Tu dis que tu as remodelé le thème : sur quoi portent ces modifications ?


    Quand tu dis que tu as modifié la faille htaccess, tu veux dire quoi ?
  • Pierre-DymePierre-Dyme Member
    août 2012 modifié
    Bonjour,


    1- C'est une Version 5.1.6 la dernière comme indiquer plus haut
    2- J'ai remodeler le thème, j'ai rajouter un footer, supprimer le lien administration en bas de page afin que moi seule connaisse le panel, modification de l'image de fond, suppression du menue pour y ajouter le miens, rajout d'une bannière, et suppression des blocs à droite du thème pour en faire une page centrale unique.


    3- Les serveurs apache on du mal a interprété la requêtes get, la faille se trouve là grosso modo vu qu'il l'interprète mal "GET", tu peux envoyer n'importe quel requête exemple "toto www.lesite.com/index.php au lieu de GET www.lesite.com/index.php afin de bypasser ce .htacess (faudrait que je fasse un tuto entier pour bien expliquer la chose.


    Prenons exemple sur ça :

    AuthUserFile /chemin/vers/.htpasswd
    AuthName "Zone à accès restreint"
    AuthType Basic

    <Limit GET POST>
    require valid-user
    </Limit>


    Voilà ce que j'ai enlevé:

    <Limit GET POST>
    require valid-user
    </Limit>
  • Il ne faut pas négliger les problèmes sur ton directement non plus.


    Monte une machine virtuelle (ou un autre ordi) et refais le test.


    Es-tu connecté par Wifi ?
  • Pierre-DymePierre-Dyme Member
    août 2012 modifié
    1- Je suis connecté en Ethernet derrière un firewall que j'ai monté
    2- Coupler avec vpn je ne me log jamais au site au panel d'administration sans VPN
    3- J'ai configurer mes navigateur pour effacer automatiquement mais cookies de session
    4- J'utilise linux

    Je serai d'accords avec toi si j'étais en ville et qu'une personne snif mon réseaux, mais ce n'est pas le qu'as je suis en campagne à 5 kilomètres de la ville à peut près .

    Le problème n'est pas du .htacess ça c'est certain, après mon réseaux, pareil il n'est pas relié en connexion directe sur le modem, il y a une machine (firewall), après mettons un virus (sous linux jusqu'à présent il y en a jamais eu). Je crois que j'ai cité, les plus grosses hypothèses.
  • StéphaneStéphane Member, Former PluXml Project Manager
    Bonjour
    Est-ce que le dossier contenant le .htpasswd est protégé.
    Est-ce que dans tes htaccess de protection il y a une directive deny all ?

    Consultant PluXml

    Ancien responsable et développeur de PluXml (2010 à 2018)

  • @Stéphane : en effet, bonne question !

    Donc, tout est sécurisé de bout-en-bout. Les seules failles possibles peuvent êtres les extrémités : l'hébergeur et le GNU/Linux (non à jour, ou mal configuré).


    Ou les modifications que tu as appliquées à PluXml : ajout d'un script maison non sécurisé, service externe. Cela peut être aussi un script "à côté" de ton PluXml qui a accès en écriture aux données de PluXml.


    Un autre solution serait de mettre ton site en lecture seule en utilisant le FTP. Tu pourras alors savoir si la modification est exécutée par le serveur ou si elle provient d'une modification depuis l'intérieur (FTP, hébergeur...).
  • Pierre-DymePierre-Dyme Member
    août 2012 modifié
    voila comment est constituer mon .htacess :



    AuthName "RESERVE"
    AuthType Basic
    AuthUserFile "/membri/waza/site/core/ss/.htpasswd1"
    Require valid-user



    <Files auth.php >
    AuthUserFile "/membri/waza/site/core/ss/.htpasswd1"
    AuthGroupFile /dev/null
    AuthName "RESERVED"
    AuthType Basic
    Require valid-user
    </Files>



    <Files index.php >
    AuthUserFile "/membri/waza/site/core/ss/.htpasswd1"
    AuthGroupFile /dev/null
    AuthName "RESERVED"
    AuthType Basic
    Require valid-user
    </Files>



    Comment je les indiquée cela me semble surprenant que ça vienne d'ici et puis ce n'est pas le problème, de toute manière quoi qu'il en soit il faut le mot de passe du panel d'administration et c'est là le problème, comment?



    Y à t'il un fichier précis dans PulXML qui contient justement les mots de passes d'administration. Ou y à t'il une faille XSS qui peut modifier l'entête du site comme indiquer plus haut.


    je précise aussi que le "Dany all" je les mis dans le dossier "/ss/" afin qu'on ne puisse pas récupérer le ".htpasswd1"
  • Toutes les failles qui nous ont été signalées à ce jours on été corrigées.


    Tu peux peut-être supprimer le dossier core/admin... Es-tu certain que cela ne vienne pas d'un script que tu as intégré à PluXml ou d'un script que tu as dans un dossier "à côté".


    Si tu as des détails que tu ne peux pas donner sur le forum. Tu peux les envoyer par mail sur la boite de Stéphane ou la mienne.
  • Si vous arrivez à résoudre le problème en off, merci de nous tenir informés des grandes lignes afin que l'on puisse également se protéger (on ne sait jamais).
  • Jerry Wham, pas de problème. On essaiera de rendre les conclusions publiques :-)
  • Pierre-DymePierre-Dyme Member
    août 2012 modifié
    Bonjour,


    1- cela ne peut pas venir de l'intérieur du domaine, au moment ou j'ai vu ce problème qui est apparu dans la minute, (puisque j'étais à rédiger des articles sur le site), j'ai tout de suite procéder aux modifications du mot de passe FTP, compte utilisateur, .htacess, j'ai également fais les suppressions du dossier update et install puis install.php (car à ce que j'ai vu il y avait une faille xss assez importante dû à l'update du site)


    2- Pour corriger la faille je ne vois pas ou est le problème, ni comment le cerner sinon je vous aurais déjà poster la solution .



    3- y à t'il une personne du staff qui voudrait y jeter un coup d'eil (en privée si possible)



    4- je lance toute de même une hypothèse qui me parait tangible, cela pourrait très bien venir du redacteur de texte ?
  • Je veux bien regarder, si tu veux. Mon adresse mail est dans la barre à gauche.


    Si tu as donné les droits de création de page statiques à ton rédacteur (Gestionnaire), il a tout les droits en écrivant du script PHP... (sauf faille non répertoriée...)
  • Je tes envoyer les informations pour que l'on puisse regarder ça
  • Pour info : j'ai vérifié un certain nombre de choses sur le blog. Nous n'avons pas encore trouvé la cause. Les plugins installés semblent sains. Il n'y a pas de code mal conçus sur les pages statiques et dans le thème.
  • Pierre-DymePierre-Dyme Member
    août 2012 modifié
    J'ai fait quelque vérification de mon coter et il s'avère que lors de la désactivation des commentaires, le problème ni est plus.



    ça fais maintenant un petit moment que je n'ai plus ce problème, alors voilà ce que j'ai fait, peut être que ça pourra servir a d'autre.



    1- Supprimer le dossier update
    2- Mettre un .htacess dans le dossier data et admin
    3- Faites un dossier pour les .htpasswd et mettez y un .htacess avec la mention "deny all"
    4- Dans les paramètre de pluxml désactiver les commentaire



    Merci à vous !
  • Donc, tu penses qu'il y a une faille dans les commentaires ? Dommage que tu ne sois pas en auto-hébergement, tu ne peux pas avoir le log de requêtes...
Connectez-vous ou Inscrivez-vous pour répondre.