le 30/08/2007 à 22:38
LupusMic
Bonjour à tous,
Il y a une grosse faille de sécu dans Dotclear. J'en ai été victime, ça m'apprendra à utiliser des outils tout faits.
L'annonce. À noter que le « correctif » ne corrige rien, puisque je l'avais appliqué et que le hack fut effectué le 27 août.
Les symptômes sont un 403 lorsque vous accédez votre site, voir l'ensemble des sites. L'intrusion s'effectue via l'interface d'admin. Il semblerait que l'authentification ne soit pas requise... Sinon je ne vois pas comment ils seraient rentrés. Le bot modifie le .htaccess en ajoutant une règle de réécriture. Les visiteurs venant alors depuis les moteurs de recherche sont redirigés vers un site malveillant. Le .htaccess de votre DC ne sera pas le seul modifié.
Je vous déconseille l'usage de cette outil qui est donc une passoire (ce que je me suis dit quand j'ai audité le code, mais n'ayant rien de mieux...).
Et visiblement, les développeurs de Dotclear sont partisans de la boîte noire, et montre bien leur incompétence en terme de sécurité informatique.
Alors qu'une annonce aurait dû être émise, pour que tout les utilisateurs de la solution soient au courant et suspendent leur serveur.
Merci DotClear.
Il y a une grosse faille de sécu dans Dotclear. J'en ai été victime, ça m'apprendra à utiliser des outils tout faits.
L'annonce. À noter que le « correctif » ne corrige rien, puisque je l'avais appliqué et que le hack fut effectué le 27 août.
Les symptômes sont un 403 lorsque vous accédez votre site, voir l'ensemble des sites. L'intrusion s'effectue via l'interface d'admin. Il semblerait que l'authentification ne soit pas requise... Sinon je ne vois pas comment ils seraient rentrés. Le bot modifie le .htaccess en ajoutant une règle de réécriture. Les visiteurs venant alors depuis les moteurs de recherche sont redirigés vers un site malveillant. Le .htaccess de votre DC ne sera pas le seul modifié.
Je vous déconseille l'usage de cette outil qui est donc une passoire (ce que je me suis dit quand j'ai audité le code, mais n'ayant rien de mieux...).
Et visiblement, les développeurs de Dotclear sont partisans de la boîte noire, et montre bien leur incompétence en terme de sécurité informatique.
Alors qu'une annonce aurait dû être émise, pour que tout les utilisateurs de la solution soient au courant et suspendent leur serveur.
Merci DotClear.
