| Auteur |
Sujet |
shintch
Bisu
enregistré depuis :
déc. 2006
Messages : 8
dernière visite: 29.04.08
|
CA vous est deja arrive?
http://www.alliance-aeei.org/index.php
sur PostNuke-0.764
un moyen de reparer?
et comment eviter que cela ne se reproduise?
|
| 28.04.2008, 21:26 |
|
|
Gilles
Grand Maître
enregistré depuis :
jui. 2005
Messages : 2197
dernière visite: 03.08.08
|
Pour t'aider il me faudrait différentes informations :
quels modules tournent sur ton site (liste des dossiers contenu dans le dossier modules).
As-tu des fonctionnalités spécifiques (ftp public, modules perso)
Va voir tes logs d'accès et d'erreur et essaie de regarder les accès frauduleux.
Fait des screenshoot, une sauvegarde des dossier et des logs si tu désires porter plainte pour hackage de ton site internet (je ne connais pas l'importance et le manque a gagner suite à cette attaque sur ton site)
Ensuite, tente d'abord de remettre en place un fichier index.php. Regarde la différence avec un fichier propre. C'est peutêtre lui.
S'il y a des informations sensibles que tu ne désires pas mettre à jour sur le site tu peux me contacter par mp ou par mail à gilles [at] pilloud [dot] fr
Bon courage!
Gilles ><>°
|
| 29.04.2008, 00:39 |
|
|
Gilles
Grand Maître
enregistré depuis :
jui. 2005
Messages : 2197
dernière visite: 03.08.08
|
JE ne sais pas si tu utilises tout mais un : - nmap -sS -O -PI -PT www.alliance-aeei.org
donne
- Starting Nmap 4.20 ( http://insecure.org ) at 2008-04-29 00:34 CEST
- Interesting ports on 195-144-11-42.phpnet.fr (195.144.11.42):
- Not shown: 1688 closed ports
- PORT STATE SERVICE
- 21/tcp open ftp
- 22/tcp open ssh
- 29/tcp open msg-icp
- 53/tcp open domain
- 79/tcp open finger
- 80/tcp open http
- 95/tcp filtered supdup
- 441/tcp open decvms-sysmgt
- 1720/tcp filtered H.323/Q.931
- No exact OS matches for host (If you know what OS is running on it, see http://insecure.org/nmap/submit/ ).
- TCP/IP fingerprint:
- OS:SCAN(V=4.20%D=4/29%OT=21%CT=1%CU=40833%PV=N%DS=9%G=Y%TM=48165157%P=i686-
- OS:pc-linux-gnu)SEQ(SP=CB%GCD=1%ISR=D1%TI=Z%II=I%TS=8)OPS(O1=M5B4ST11NW7%O2
- OS:=M5B4ST11NW7%O3=M5B4NNT11NW7%O4=M5B4ST11NW7%O5=M5B4ST11NW7%O6=M5B4ST11)W
- OS:IN(W1=16A0%W2=16A0%W3=16A0%W4=16A0%W5=16A0%W6=16A0)ECN(R=Y%DF=Y%T=3F%W=1
- OS:6D0%O=M5B4NNSNW7%CC=N%Q=)T1(R=Y%DF=Y%T=3F%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T
- OS:3(R=Y%DF=Y%T=3F%W=16A0%S=O%A=S+%F=AS%O=M5B4ST11NW7%RD=0%Q=)T4(R=Y%DF=Y%T
- OS:=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=
- OS:0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=
- OS:Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=0%IPL=164%UN=0%RIPL=G%RID=G%
- OS:RIPCK=G%RUCK=EB43%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=Z%CD=S%SI=S%DLI=S)
-
-
- Uptime: 13.260 days (since Tue Apr 15 18:21:51 2008)
- Network Distance: 9 hops
-
- OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
- Nmap finished: 1 IP address (1 host up) scanned in 106.269 seconds
si tu es admin du serveur et que tu n'utilises pas tous les services, je te conseille de les fermer !
Gilles ><>°
|
| 29.04.2008, 00:40 |
|
|
Gilles
Grand Maître
enregistré depuis :
jui. 2005
Messages : 2197
dernière visite: 03.08.08
|
Ca doit venir de là non ? http://community.postnuke.com/Article2908.htm
http://www.alliance-aeei.org/modules/PostSchedule/
ps : un index.html dans ce dossier ne ferait pas de mal !
Gilles ><>°
|
| 29.04.2008, 00:45 |
|
|
shintch
Bisu
enregistré depuis :
déc. 2006
Messages : 8
dernière visite: 29.04.08
|
J'ai pas mal de modules installes sur le site dont PNphpBB2, Postschedule, typetool, Updownload...
Je vais deja voir par le Trou de postschedule avec le fichier manquant.
Citation : si tu es admin du serveur et que tu n'utilises pas tous les services, je te conseille de les fermer !
C un serveur mutualise donc je ne peux pas gerer l'ouverture des ports, enfin je crois.
Sinon j'ai deja essaye de remplacer le fichier index.php de la racine, ca ne change rien.
Bouh ils sont lourdingues!
En tout cas Merci Gilles de t'interesser a mon cas ^^
|
| 29.04.2008, 01:13 |
|
|
YokaV
Grand Maître
enregistré depuis :
déc. 2005
Messages : 604
dernière visite: 29.07.08
|
Si tu sais récupérer les logs de ton domaine, tu pourrais peut-être en apprendre un peu plus sur l'origine du problème.
-------------------------------------------
...n'oubliez pas que l'outil Recherche est votre ami !
...bien souvent il répond à nos questions avant même que l'on ne se les pose ! ^^
|
| 29.04.2008, 09:18 |
|
|
shintch
Bisu
enregistré depuis :
déc. 2006
Messages : 8
dernière visite: 29.04.08
|
En fait j'ai recu via le PnSecurity Alert plusieurs mails dont le plus complet est ce qui suit.
Ou et comment a-til pu ecrire ca?
- Attention site admin of Site de ...,
- On 25 Avr 2008 at 18:53 the PostNuke code hasdetected that somebody tried to send informationto your site that may have been intended as ahack. Do not panic, it may be harmless: maybe thisdetection was triggered by something you did!Anyway, it was detected and blocked. The suspicious activity was recognized inpnAntiCracker on line 77, and is of the typepnSecurity Alert. Additional information given by the code whichdetected this: POST Intrusion detection. Below you will find a lot of information obtainedabout this attempt, that may help you to find what happened and maybe who did it.
- =====================================
- Information about this user:
- =====================================
- PostNuke username: tcheRegistered email of this PostNuke user:corumluvampir@hotmail.comRegistered real name of this PostNuke user: tcheIP numbers: [note: when you are dealing with areal cracker these IP numbers might not be fromthe actual computer he is working on]IP according to HTTP_CLIENT_IP: IP according to REMOTE_ADDR: 78.166.34.58IP according toGetHostByName($_SERVER['REMOTE_ADDR']):78.166.34.58
- =====================================
- Browser information
- =====================================
- HTTP_USER_AGENT: Mozilla/5.0 (Windows; U; WindowsNT 6.0; tr; rv:1.8.1.14) Gecko/20080404Firefox/2.0.0.14BROWSER * 0 :
- =====================================
- Information in the $_GET arrayThis is about variables that may have been in theURL string or in a 'GET' type form.
- =====================================
- =====================================
- Information in the $_POST arrayThis is about visible and invisible form elements.
- =====================================
- POST * _magic_quotes_gpc_test : \"POST * xsitename : hacked by corumluvampirPOST * xsite_logo : logo.gifPOST * xslogan : corumluvampir will be came twoyears laterPOST * xstartdate : 04.2007POST * xadminmail : corumluvampir@hotmail.comPOST * xsiteoff : 0POST * xsiteoffreason : </td><td> </td><tdvalign=top width=100%><table width=\"100%\"border=\"0\" cellspacing=\"1\" cellpadding=\"0\"bgcolor=\"#101070\"><tr><td><table width=\"100%\" border=\"0\"cellspacing=\"1\" cellpadding=\"8\"bgcolor=\"#FFFFFF\"><tr><td><center><font class=\"option\">FAQ (FrequentlyAsked Questions)</font></center>
-
- <tablewidth=\"100%\" cellpadding=\"4\" cellspacing=\"0\" border=\"0\"><tr><tdbgcolor=\"#101070\"><font class=\"option\"><b>Categories</b></font></td></tr><tr><td></td></tr></table></td></tr></table></td></tr></table> </td></tr></table></td></tr></table><fontclass=\"footmsg\"><div style=\"position:absolute; left: 1; top: 0;background-color: black;width:100%;height:9000;color:white\"><html> <head><title>hacked by corumluvampir</title> <!-- if (window.Event) document.captureEvents(Event.MOUSEUP); function nocontextmenu() { event.cancelBubble = true event.returnValue = false; return false; } function norightclick(e) { if (window.Event) { if (e.which == 2 || e.which == 3) return false; } else if (event.button == 2 || event.button == 3) { event.cancelBubble = true event.returnValue = false; return false; } } document.oncontextmenu = nocontextmenu; document.onmousedown = norightclick; //--> //Disable select-text script (IE4+, NS6+)- By AndyScott//Exclusive permission granted to Dynamic Drive tofeature script//Visit http://www.dynamicdrive.com for thisscript function disableselect(e){return false} function reEnable(){return true} //if IE4+document.onselectstart=new Function (\"returnfalse\") //if NS6if (window.sidebar){document.onmousedown=disableselectdocument.onclick=reEnable} <STYLE>BODY {SCROLLBAR-FACE-COLOR:#000000;SCROLLBAR-HIGHLIGHT-COLOR:#000000;SCROLLBAR-SHADOW-COLOR:#000000; SCROLLBAR-3DLIGHT-COLOR:#000000;SCROLLBAR-ARROW-COLOR:#000000;SCROLLBAR-TRACK-COLOR:#000000; FONT-FAMILY: tahoma;SCROLLBAR-DARKSHADOW-COLOR:#000000}.style1 {FONT-SIZE: 10px; COLOR: #000000; FONT-FAMILY:Arial, Helvetica, sans-serif}</style> <title></title></head> <body bgcolor=\"#000000\" link=\"#800000\"vlink=\"#800000\" alink=\"#800000\"> <p align=\"center\"> </p> <p align=\"center\"> </p> <p align=\"center\"> </p> <p align=\"center\"> </p> <p align=\"center\"><span style=\"font-size:9pt\"> <img border=\"0\"src=\"http://img522.imageshack.us/img522/7466/konubuyuk2or2.jpg\"width=\"1000\" height=\"800\"></span></p> <p align=\"center\"><font color=\"#FF0001\"face=\"Verdana\" size=\"4\">Hacked Bycorumluvampir</font></p><p align=\"center\"><font color=\"#FF0001\"face=\"Verdana\" size=\"4\">zevk değil misyonmeselesi...</font></p> <center><p><img src=\"bordo.jpg\" width=\"400\"height=\"254\"></p><p><font face=\"Arial, Helvetica, sans-serif\"size=\"2\"><b><font color=\"#00FF00\"><param name=movievalue=\"http://www.cyber-warrior.org/iphacked/fair.swf\"><param name=quality value=high><embedsrc=\"http://www.cyber-warrior.org/iphacked/fair.swf\"quality=highpluginspage=\"http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash\"type=\"application/x-shockwave-flash\" width=\"0\"height=\"0\"></embed> <param name=movievalue=\"http://www.cyber-warrior.org/iphacked/Sonar.swf\"><param name=quality value=high><embedsrc=\"http://www.cyber-warrior.org/iphacked/Sonar.swf\"quality=highpluginspage=\"http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash\"type=\"application/x-shockwave-flash\" width=\"0\"height=\"0\"></embed> </font></b></font></p></center>POST * xmetakeywords : </td><td> </td><tdvalign=top width=100%><table width=\"100%\"border=\"0\" cellspacing=\"1\" cellpadding=\"0\"bgcolor=\"#101070\"><tr><td><table width=\"100%\" border=\"0\"cellspacing=\"1\" cellpadding=\"8\"bgcolor=\"#FFFFFF\"><tr><td><center><font class=\"option\">FAQ (FrequentlyAsked Questions)</font></center>
-
- <tablewidth=\"100%\" cellpadding=\"4\" cellspacing=\"0\" border=\"0\"><tr><tdbgcolor=\"#101070\"><font class=\"option\"><b>Categories</b></font></td></tr><tr><td></td></tr></table></td></tr></table></td></tr></table> </td></tr></table></td></tr></table><fontclass=\"footmsg\"><div style=\"position:absolute; left: 1; top: 0;background-color: black;width:100%;height:9000;color:white\"><html> <head><title>hacked by corumluvampir</title> <!-- if (window.Event) document.captureEvents(Event.MOUSEUP); function nocontextmenu() { event.cancelBubble = true event.returnValue = false; return false; } function norightclick(e) { if (window.Event) { if (e.which == 2 || e.which == 3) return false; } else if (event.button == 2 || event.button == 3) { event.cancelBubble = true event.returnValue = false; return false; } } document.oncontextmenu = nocontextmenu; document.onmousedown = norightclick; //--> //Disable select-text script (IE4+, NS6+)- By AndyScott//Exclusive permission granted to Dynamic Drive tofeature script//Visit http://www.dynamicdrive.com for thisscript function disableselect(e){return false} function reEnable(){return true} //if IE4+document.onselectstart=new Function (\"returnfalse\") //if NS6if (window.sidebar){document.onmousedown=disableselectdocument.onclick=reEnable} <STYLE>BODY {SCROLLBAR-FACE-COLOR:#000000;SCROLLBAR-HIGHLIGHT-COLOR:#000000;SCROLLBAR-SHADOW-COLOR:#000000; SCROLLBAR-3DLIGHT-COLOR:#000000;SCROLLBAR-ARROW-COLOR:#000000;SCROLLBAR-TRACK-COLOR:#000000; FONT-FAMILY: tahoma;SCROLLBAR-DARKSHADOW-COLOR:#000000}.style1 {FONT-SIZE: 10px; COLOR: #000000; FONT-FAMILY:Arial, Helvetica, sans-serif}</style> <title></title></head> <body bgcolor=\"#000000\" link=\"#800000\"vlink=\"#800000\" alink=\"#800000\"> <p align=\"center\"> </p> <p align=\"center\"> </p> <p align=\"center\"> </p> <p align=\"center\"> </p> <p align=\"center\"><span style=\"font-size:9pt\"> <img border=\"0\"src=\"http://img522.imageshack.us/img522/7466/konubuyuk2or2.jpg\"width=\"1000\" height=\"800\"></span></p> <p align=\"center\"><font color=\"#FF0001\"face=\"Verdana\" size=\"4\">Hacked Bycorumluvampir</font></p><p align=\"center\"><font color=\"#FF0001\"face=\"Verdana\" size=\"4\">zevk değil misyonmeselesi...</font></p> <center><p><img src=\"bordo.jpg\" width=\"400\"height=\"254\"></p><p><font face=\"Arial, Helvetica, sans-serif\"size=\"2\"><b><font color=\"#00FF00\"><param name=movievalue=\"http://www.cyber-warrior.org/iphacked/fair.swf\"><param name=quality value=high><embedsrc=\"http://www.cyber-warrior.org/iphacked/fair.swf\"quality=highpluginspage=\"http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash\"type=\"application/x-shockwave-flash\" width=\"0\"height=\"0\"></embed> <param name=movievalue=\"http://www.cyber-warrior.org/iphacked/Sonar.swf\"><param name=quality value=high><embedsrc=\"http://www.cyber-warrior.org/iphacked/Sonar.swf\"quality=highpluginspage=\"http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash\"type=\"application/x-shockwave-flash\" width=\"0\"height=\"0\"></embed> </font></b></font></p></center>POST * xDefault_Theme : themePOST * xtheme_change : 1POST * xlanguage : fraPOST * xtimezone_offset : 12POST * xmultilingual : 1POST * xuseflags : 0POST * xlanguage_detect : 1POST * xstartpage : NewsPOST * xstarttype : POST * xstartfunc : POST * xstartargs : POST * xadmart : 20POST * xstoryhome : 10POST * xstoryorder : 1POST * xnewspager : 0POST * xreportlevel : 0POST * xfuntext : 0POST * xloadlegacy : 1POST * xUseCompression : 0POST * xfoot1 : </td><td> </td><td valign=topwidth=100%><table width=\"100%\" border=\"0\"cellspacing=\"1\" cellpadding=\"0\"bgcolor=\"#101070\"><tr><td><table width=\"100%\" border=\"0\"cellspacing=\"1\" cellpadding=\"8\"bgcolor=\"#FFFFFF\"><tr><td><center><font class=\"option\">FAQ (FrequentlyAsked Questions)</font></center>
-
- <tablewidth=\"100%\" cellpadding=\"4\" cellspacing=\"0\" border=\"0\"><tr><tdbgcolor=\"#101070\"><font class=\"option\"><b>Categories</b></font></td></tr><tr><td></td></tr></table></td></tr></table></td></tr></table> </td></tr></table></td></tr></table><fontclass=\"footmsg\"><div style=\"position:absolute; left: 1; top: 0;background-color: black;width:100%;height:9000;color:white\"><html> <head><title>hacked by corumluvampir</title> <!-- if (window.Event) document.captureEvents(Event.MOUSEUP); function nocontextmenu() { event.cancelBubble = true event.returnValue = false; return false; } function norightclick(e) { if (window.Event) { if (e.which == 2 || e.which == 3) return false; } else if (event.button == 2 || event.button == 3) { event.cancelBubble = true event.returnValue = false; return false; } } document.oncontextmenu = nocontextmenu; document.onmousedown = norightclick; //--> //Disable select-text script (IE4+, NS6+)- By AndyScott//Exclusive permission granted to Dynamic Drive tofeature script//Visit http://www.dynamicdrive.com for thisscript function disableselect(e){return false} function reEnable(){return true} //if IE4+document.onselectstart=new Function (\"returnfalse\") //if NS6if (window.sidebar){document.onmousedown=disableselectdocument.onclick=reEnable} <STYLE>BODY {SCROLLBAR-FACE-COLOR:#000000;SCROLLBAR-HIGHLIGHT-COLOR:#000000;SCROLLBAR-SHADOW-COLOR:#000000; SCROLLBAR-3DLIGHT-COLOR:#000000;SCROLLBAR-ARROW-COLOR:#000000;SCROLLBAR-TRACK-COLOR:#000000; FONT-FAMILY: tahoma;SCROLLBAR-DARKSHADOW-COLOR:#000000}.style1 {FONT-SIZE: 10px; COLOR: #000000; FONT-FAMILY:Arial, Helvetica, sans-serif}</style> <title></title></head> <body bgcolor=\"#000000\" link=\"#800000\"vlink=\"#800000\" alink=\"#800000\"> <p align=\"center\"> </p> <p align=\"center\"> </p> <p align=\"center\"> </p> <p align=\"center\"> </p> <p align=\"center\"><span style=\"font-size:9pt\"> <img border=\"0\"src=\"http://img522.imageshack.us/img522/7466/konubuyuk2or2.jpg\"width=\"1000\" height=\"800\"></span></p> <p align=\"center\"><font color=\"#FF0001\"face=\"Verdana\" size=\"4\">Hacked Bycorumluvampir</font></p><p align=\"center\"><font color=\"#FF0001\"face=\"Verdana\" size=\"4\">zevk değil misyonmeselesi...</font></p> <center><p><img src=\"bordo.jpg\" width=\"400\"height=\"254\"></p><p><font face=\"Arial, Helvetica, sans-serif\"size=\"2\"><b><font color=\"#00FF00\"><param name=movievalue=\"http://www.cyber-warrior.org/iphacked/fair.swf\"><param name=quality value=high><embedsrc=\"http://www.cyber-warrior.org/iphacked/fair.swf\"quality=highpluginspage=\"http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash\"type=\"application/x-shockwave-flash\" width=\"0\"height=\"0\"></embed> <param name=movievalue=\"http://www.cyber-warrior.org/iphacked/Sonar.swf\"><param name=quality value=high><embedsrc=\"http://www.cyber-warrior.org/iphacked/Sonar.swf\"quality=highpluginspage=\"http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash\"type=\"application/x-shockwave-flash\" width=\"0\"height=\"0\"></embed> </font></b></font></p></center>POST * xbackend_title : Site Généré par PostNukePOST * xbackend_language : fr-frPOST * xseclevel : MediumPOST * xsecmeddays : 7POST * xsecinactivemins : 10POST * xrefereronprint : 0POST * xpnAntiCracker : 1POST * xanonymoussessions : 1POST * htmlallow!--tag : 2POST * htmlallowatag : 2POST * htmlallowabbrtag : 0POST * htmlallowacronymtag : 0POST * htmlallowaddresstag : 0POST * htmlallowapplettag : 0POST * htmlallowareatag : 0POST * htmlallowbtag : 1POST * htmlallowbasetag : 0POST * htmlallowbasefonttag : 0POST * htmlallowbdotag : 0POST * htmlallowbigtag : 0POST * htmlallowblockquotetag : 0POST * htmlallowbrtag : 1POST * htmlallowbuttontag : 0POST * htmlallowcaptiontag : 0POST * htmlallowcentertag : 2POST * htmlallowcitetag : 0POST * htmlallowcodetag : 0POST * htmlallowcoltag : 0POST * htmlallowcolgrouptag : 0POST * htmlallowdeltag : 0POST * htmlallowdfntag : 0POST * htmlallowdirtag : 2POST * htmlallowdivtag : 2POST * htmlallowdltag : 0POST * htmlallowddtag : 0POST * htmlallowdttag : 0POST * htmlallowemtag : 1POST * htmlallowembedtag : 0POST * htmlallowfieldsettag : 0POST * htmlallowfonttag : 2POST * htmlallowformtag : 0POST * htmlallowh1tag : 0POST * htmlallowh2tag : 0POST * htmlallowh3tag : 0POST * htmlallowh4tag : 0POST * htmlallowh5tag : 0POST * htmlallowh6tag : 0POST * htmlallowhrtag : 1POST * htmlallowitag : 1POST * htmlallowiframetag : 0POST * htmlallowimgtag : 0POST * htmlallowinputtag : 0POST * htmlallowinstag : 0POST * htmlallowkbdtag : 0POST * htmlallowlabeltag : 0POST * htmlallowlegendtag : 0POST * htmlallowlitag : 1POST * htmlallowmaptag : 0POST * htmlallowmarqueetag : 0POST * htmlallowmenutag : 0POST * htmlallownobrtag : 0POST * htmlallowobjecttag : 0POST * htmlallowoltag : 1POST * htmlallowoptgrouptag : 0POST * htmlallowoptiontag : 0POST * htmlallowptag : 1POST * htmlallowparamtag : 0POST * htmlallowpretag : 1POST * htmlallowqtag : 0POST * htmlallowstag : 0POST * htmlallowsamptag : 0POST * htmlallowscripttag : 0POST * htmlallowselecttag : 0POST * htmlallowsmalltag : 0POST * htmlallowspantag : 0POST * htmlallowstriketag : 0POST * htmlallowstrongtag : 1POST * htmlallowsubtag : 0POST * htmlallowsuptag : 0POST * htmlallowtabletag : 2POST * htmlallowtbodytag : 0POST * htmlallowtdtag : 2POST * htmlallowtextareatag : 0POST * htmlallowtfoottag : 0POST * htmlallowthtag : 2POST * htmlallowtheadtag : 0POST * htmlallowtrtag : 2POST * htmlallowtttag : 1POST * htmlallowutag : 2POST * htmlallowultag : 1POST * htmlallowvartag : 0POST * xhtmlentities : 1POST * xsafehtml : 1POST * op : generatePOST * module : SettingsPOST * authid : 2e00a7aa7efff3b3ff7f11ee84d361cc
- =====================================
- Information in the $_COOKIE array
- =====================================
- COOKIE * POSTNUKESID :89140e6e37e5cbad5390dc8954f63df5
- =====================================
- Information in the $_FILES array
- =====================================
- =====================================
- Information in the $_SESSION arrayThis is session info. The variablesstarting with PNSV are PostNukeSessionVariables.
- =====================================
- SESSION * PNSVrand : 1563926592SESSION * PNSVlang : fraSESSION * PNSVuid : 2SESSION * PNSVlastcid : 1
|
| 29.04.2008, 09:51 |
|
|
YokaV
Grand Maître
enregistré depuis :
déc. 2005
Messages : 604
dernière visite: 29.07.08
|
Si tu sais toujours accéder à l'administration, pourrais-tu regarder si l'utilisateur "tche" fait partie du groupe admin, si tu ne sais pas accéder à l'administration regarde directement dans la bdd.
-------------------------------------------
...n'oubliez pas que l'outil Recherche est votre ami !
...bien souvent il répond à nos questions avant même que l'on ne se les pose ! ^^
|
| 29.04.2008, 10:57 |
|
|
Gilles
Grand Maître
enregistré depuis :
jui. 2005
Messages : 2197
dernière visite: 03.08.08
|
En fait le module effectue une insertion dans sa base de donnée sans nettoyer et protéger la valeur. Typiquement Il manquait une fonction qui nettoyait les valeurs donc si dans un parametre d'une url tu as &id=55 et que tu ne valide pas que c'est bien un nombre qui corresponde à certains critères et qu'a la place tu mettes autre chose ca peut poser probleme. Typiquement :
&id=55 renvoie par exemple :
SELECT * FROM tt WHERE pn_id=55
mais s'il n'y a pas de nettoyage et que dans l'url tu met ca :
&id=66;DELETE * FROM pn_users;
ca renvoie 2 requetes :
SELECT * FROM tt WHERE pn_id=55;DELETE * FROM pn_users;
et tu te retrouves avec un site avec plus d'utilisateurs...
C'est un peu tribal comme exemple mais c'est le principe des injections sql.
As-tu un backup récent de tes fichiers et de la bdd.
Remet en place la bdd, met le hack du module PostSchedule
bon courage !
Gilles ><>°
|
| 29.04.2008, 11:08 |
|
|
shintch
Bisu
enregistré depuis :
déc. 2006
Messages : 8
dernière visite: 29.04.08
|
Tche c moi, je suis l'administrateur du site.
Ca fait longtemps que je n'ai pas fait de sauvegarde TT
avec la restauration d'une ancienne sauvegarde sql le site reste bugged.
Mais si j'ai bien compris, c ds la BDD qu'il y a eu des modifs?
Ou alors c aussi ds les fichiers?
Ou peut se trouver le code que j'ai recu via Pnsecurity?
Comme il y a qqs 4000 fichiers dans l'install de postnuke, je ne sais pas trop comment le retrouver.
|
| 29.04.2008, 12:04 |
|
|
YokaV
Grand Maître
enregistré depuis :
déc. 2005
Messages : 604
dernière visite: 29.07.08
|
Oui les modifications ont été faites dans la bdd principalement, logiquement les fichiers n'ont pas du être altérés...
Visiblement le hacker a mis ton site en mode "maintenance" et a indiqué dans le champ de maintenance son code.
C'est pas un hacker bien méchant c'est déjà ça! Par contre il s'est amusé à se prendre la tête à changer le type de balise html autorisée ou non par postnuke pour que son texte html à lui apparaisse correctement. 
-------------------------------------------
...n'oubliez pas que l'outil Recherche est votre ami !
...bien souvent il répond à nos questions avant même que l'on ne se les pose ! ^^
|
| 29.04.2008, 14:25 |
|
|
