Message d'alerte de l'hébergeur

bernquel · 26/01/2014 17:53:35

Bonjour,
Ton avis Jean-Paul, je viens de recevoir de l'hébergeur 1and1 un message d'alerte le message ci-dessous. Un second site conçu avec Zite+ a été concerné en début de semaine.

Message :
Bonjour,

Vous recevez un message urgent concernant la sécurité de votre contrat 1&1.

Il y a quelques minutes, notre scanner antivirus a signalé qu'un fichier
nuisible a été chargé sur votre espace web.

Nom du fichier : ~/zdata/ztemp/files/NName.php

Afin de vous protéger contre de dangereuses attaques de pirates, le scanner
antivirus contrôle chaque fichier qui est chargé ou modifié sur votre espace
web. Si un fichier présente des caractéristiques claires d'attaque, il est
automatiquement désactivé.

Le scan de votre espace web continuera après ce message - d'autres fichiers
nuisibles pourront être désactivés ultérieurement.

******************************************************************************
Important : votre espace web subit donc une attaque de pirates informatiques.
Cette attaque est mené soit à travers un de vos mots de passe, soit par une
faille de sécurité dans un logiciel que vous avez installé.

Tant que vous n'aurez fermé le point d'intrusion, les pirates poursuivront leur
attaque et pourront arriver à compromettre vos sites.
******************************************************************************

Pour l'autre site, c'était le fichier : Nom du fichier : ~/zdata/ztemp/files/dz3.php

Qu'en penses-tu ?

Merci.
Bernard

jpg · 26/01/2014 18:13:57

Bonjour,

Il faudrait déterminer comment le fichier a été mis là.

Je penses que tu as interdit le téléchargement de document de type php ?
Si oui, le plus probable est une attaque en utilisant uploadify.

Est-ce que tu peux me transmettre via mail, un des fichiers infectés.

En fonction de la gravité de l'attaque je ferais un patch de sécurité pour la 0.9.2 (c'est bien ta version ?)

a+
Jean-Paul

jpg · 27/01/2014 20:58:34

Bonjour,
et merci pour le fichier envoyé
Je pense que c'est bien une attaque via uploadify.

==> Si le fichier .htaccess par défaut du répertoire zdata a été gardé et si aucun autre .htaccess n'est présent dans un sous-répertoire, cette attaque n'a pas de conséquence sur un site ZitePLUS sur un serveur de production <==

En effet, l'attaquant peut télécharger son script, mais il ne pourra pas lancer la page téléchargée depuis son navigateur.
Tous les fichiers du répertoire zdata et de ses sous-répertoire sont des fichiers privées de ZitePLUS et le navigateur d'un utilisateur n'y a pas accès.
C'est une protection par défaut de toutes les données privées de ZitePLUS (documents compris) et de ses script php.

Ceci étant, je vais voir si on peut éviter le téléchargement de ce script indésirable, ça évitera de passer pour un mauvais élève aux yeux de ton hébergeur

a+
Jean-Paul

jpg · 28/01/2014 00:23:30

Bonsoir,

Un correctif est disponible ici: http://www.giausserand.fr/view.php/uploadify.zip

Pour l'installer, il faut télécharger l'archive, la décompresser et transférer le fichier uploadify.php vers le répertoire js/uploadify du site

a+
Jean-Paul

bernquel · 01/02/2014 13:05:11

Bonjour Jean-Paul,
Merci pour ton travail.

Forum ZitePLUS

#1 26/01/2014 17:53:35

Message d'alerte de l'hébergeur

#2 26/01/2014 18:13:57

Re : Message d'alerte de l'hébergeur

#3 27/01/2014 20:58:34

Re : Message d'alerte de l'hébergeur

#4 28/01/2014 00:23:30

Re : Message d'alerte de l'hébergeur

#5 01/02/2014 13:05:11

Re : Message d'alerte de l'hébergeur

Pied de page des forums