joomla hacked apres webdesign

spawny

Elite
Salut à tous,

récemment j'ai fait appel à un freelance (sur codeur. c.om) pour une refonte du design d'un de mes sites. Après 1 mois et demi de rectifications en tout genre, on arrive à un design assez chouette pour ce à quoi je le destine. Entretemps, le site actuel (sous joomla hébergé chez ovh) a été hacké deux fois. Joomla etant open source, je me dis qu'il doit y avoir pas mal de failles, mais mon site n'est vraiment pas un blockbuster du web alors je vois pas l'interet... est ce que c'est un hack à grande echelle exploitant des failles de joomla ? Peut etre... D autant plus que je suis pas encore sur joomla 3.0.

Maintenant la question est : mon freelance designer et codeur joomla, de madagascar (lol), pourrait il etre a l origine du hack (il n a encore rien codé pour le site, mais il avait l'adresse du site actuel) ? Pq ce doute ? Parce qu'en envoyant sa facture au format pdf sur mon mail professionnel, j'ai reçu ceci comme msg :

(FR) Un message e-mail qui vous a été transmis n'a pu être scanné (le fichier-joint peut être crypté, par exemple). Cela signifie que le message pourrait contenir un virus ou autre code malicieux; Nous n’avons pas la certitude mais la probabilité existe.


Le message se trouve en annexe de cette notification-ci. Vous pouvez donc l'ouvrir et lire si vous voulez mais faites attention:
Afin d'éviter de compromettre la sécurité de vos données et notre réseau informatique, nous vous déconseillons fortement d'ouvrir ce message et ses fichier-joints, sauf si vous connaissez cet expéditeur et/ou vous avez confiance en lui.
Pour en savoir plus veuillez transférer ce mail-ci au Call Desk de****


Alors oui, c'est vrai, on peut recevoir facilement ce genre de message, mais provenant de mon mail pro, c'est la premiere fois. Avant que je ne sombre dans la parano la plus totale, qqun pourrait examiner ce pdf si je le lui envoie en mp ?

Qqun a t il la connaissance de ce type de "hameçonnage" ?
 

vegeta

Fais tes prières !
D'après ce que j'ai compris, le message en italique est un message auto-généré par le module anti-virus d'OVH qui a scanné la pièce-jointe, en l'occurrence le document PDF. Comme expliqué, il se peut que ton document soit crypté pour éviter une atteinte à la confidentialité notamment, donc ça me semble normal.

Maintenant, si tu es sceptique, contacte ton freelance pour savoir si il a bel et bien envoyé ce message, et demande lui plus d'information sur la pièce-jointe.

Tu dis que ton freelance peut-être à l'origine du hack, mais de quel hack parles-tu exactement ? De plus, ça peut provenir de n'importe qui mais on dit souvent que la plupart des attaques viennent de l'intérieur. De toute façon, il y a les logs du serveur donc un hacker laissent toujours des traces d'une manière ou d'une autre.
 

ailless

Asimov, Sagan, Carlin, Hitchens
Joomla etant open source, je me dis qu'il doit y avoir pas mal de failles
Le point fort de l'open source, c'est que justement non, ce n'est pas plein de failles.

Des milliers de developpeurs travaillent sur des projets open source, des failles sont detectees et sont tres rapidement corrigees. Apres, si c'est pas mis a jour, c'est normal mais connaissant OVH, les patchs sont rapides a arriver.

Quand ton site a un probleme chez OVH, ils l'arretent directement et te disent pourquoi (genre backdoor, ...). Est-ce que t'as eu ces messages ?

Pour des trucs ou t'es pas sur, je te conseille vraiment d'ouvrir tout ca dans une machine virtuelle tournant avec un systeme Linux.

De maniere generale, un projet open source est beaucoup mieux securise et comporte moins de failles qu'un projet ferme où la seule raison de corriger une faille sera si il y a un risque de perte d'argent. ;)
 

Aqua

Elite
Le point fort de l'open source, c'est que justement non, ce n'est pas plein de failles.
Ca c'est ce que tout le monde racontent..., l'open source à plus de failles que des sources fermées , simplement que les personnes qui trouvent des failles n'ont aucun intérêt à en faire sur l'open source

De maniere generale, un projet open source est beaucoup mieux securise et comporte moins de failles qu'un projet ferme où la seule raison de corriger une faille sera si il y a un risque de perte d'argent. ;)
Dans un projet propriétaire faut déjà trouver la faille et comment tu n'as pas accès aux sources c'est pas aussi évident qu'on le pense...
et puis pour ton coup du <<un projet open source est beaucoup mieux sécurisé ...>> il y a qu'à voir Java et ses multiples problèmes , failles...

Tout ça pour dire , que c'est une légende ça , tous les projets ont des failles à partir du moment où ça devient un projet complexe et costaud , l'unique avantage de l'open source c'est que tout le monde qui a assez de connaissances peu corriger le problème , mais c'est aussi un inconvénient ...
 

ailless

Asimov, Sagan, Carlin, Hitchens
Ca c'est ce que tout le monde racontent..., l'open source à plus de failles que des sources fermées , simplement que les personnes qui trouvent des failles n'ont aucun intérêt à en faire sur l'open source

Dans un projet propriétaire faut déjà trouver la faille et comment tu n'as pas accès aux sources c'est pas aussi évident qu'on le pense...
et puis pour ton coup du <<un projet open source est beaucoup mieux sécurisé ...>> il y a qu'à voir Java et ses multiples problèmes , failles...

Tout ça pour dire , que c'est une légende ça , tous les projets ont des failles à partir du moment où ça devient un projet complexe et costaud , l'unique avantage de l'open source c'est que tout le monde qui a assez de connaissances peu corriger le problème , mais c'est aussi un inconvénient ...
Rien compris a ton debut : "les personnes qui trouvent des failles n'ont aucun interet a en faire sur l'open source".

Evidemment que t'as "plus" de failles sur un projet open source vu que tout le monde peut voir ses failles. Dans un projet ou t'as pas les sources, si quelqu'un trouve les failles en interne, ce ne sera jamais revele au public. Moi je vois que la rapidite de correction des failles sur des projets libres est beaucoup plus rapides que sur un projet ferme. De plus, etre dependant du bon vouloir des proprios du code ferme pour une correction de faille, quelle horreur !

En quoi c'est un inconvenient que tout le monde puisse corriger une faille ?

Java... celui d'oracle ou l'open JDK ? :)
 

Aqua

Elite
Moi je vois que la rapidite de correction des failles sur des projets libres est beaucoup plus rapides que sur un projet ferme.
Encore une légende urbaine... , faut pas généraliser non plus il y a des projets fermés qui sont très biens gérés.

Faut voir au cas par cas.

De plus, etre dependant du bon vouloir des proprios du code ferme pour une correction de faille, quelle horreur !
Ba , tu n'as qu'à aller voir ailleurs , le code appartient à celui qui le fait en plus laisser tout le monde corriger une faille ça peut devenir problématique.
Mais bon , ta remarque n'est pas non plus à généraliser , en général les failles dans du code fermé sont rapidement corrigés surtout quand ça rapporte de l'argent...

Par contre l'open source c'est un gros bordel sur beaucoup de points...
 

ailless

Asimov, Sagan, Carlin, Hitchens
Encore une légende urbaine... , faut pas généraliser non plus il y a des projets fermés qui sont très biens gérés.
Faut voir au cas par cas.
Ba , tu n'as qu'à aller voir ailleurs , le code appartient à celui qui le fait en plus laisser tout le monde corriger une faille ça peut devenir problématique.
Mais bon , ta remarque n'est pas non plus à généraliser , en général les failles dans du code fermé sont rapidement corrigés surtout quand ça rapporte de l'argent...
C'est ce que je vois moi... t'utilises quoi comme projet libre ? T'as vu a quelle vitesse c'est mis a jour, a quelle vitesse t'as des nouveaux trucs (et probablement des bugs aussi) ?

Enfin je sais pas, mais on est loin des ridicules patch tuesday de Microsoft. ^^

Et oui, j'ai ete voir ailleurs. Je n'utilise plus de projet ferme sauf s'ils sont mieux que les projets libres.

Enfin bref, ce n'etait pas le sujet donc je m'arrete la.

=> Spawny, ouvre le pdf dans une machine virtuelle sous Linux.
 

Aqua

Elite
T'as vu a quelle vitesse c'est mis a jour, a quelle vitesse t'as des nouveaux trucs
A quelle vitesse c'est instable , pas uniformisé , usine à gaz, lourd , multiplication de versions etc oui j'ai vu...

Il n'y a qu'à comparer Visual Studio et les IDE open source ...

Bref.
 

Tronyx

Elite
Aqua tout le monde ne dev pas en .NET. Et visual studio... voilà quoi...

Faut être aveugle ou idiot pour ne pas reconnaître que la communauté derrière certains projet open source fait des merveilles.

Hivenz a bien nuancer, si il y a mieux en fermé il se dirige dessus sinon open.
 

Aqua

Elite
Dans tous les outils que j'ai dû manipuler , je n'ai jamais vu autant d' outils gratuits truffé de bogues que dans l'open source...

Donc , où sont les merveilles ?

Aqua tout le monde ne dev pas en .NET. Et visual studio... voilà quoi...
C'était une exemple , pour montrer que l'open source n'est pas le saint graal ...
 

ailless

Asimov, Sagan, Carlin, Hitchens
A quelle vitesse c'est instable , pas uniformisé , usine à gaz, lourd , multiplication de versions etc oui j'ai vu...

Il n'y a qu'à comparer Visual Studio et les IDE open source ...

Bref.
Pfff, tu m'as l'air d'etre de mauvaise foi ou bien de ne clairement pas connaitre le monde du libre.

Si c'est trop instable, pourquoi t'es en version "sid" ? Y'a du rolling release qui est tres stable (Arch Linux), ca te permet d'avoir beaucoup de nouveaux trucs qui sont stables dans enormement de cas.

Usine a gaz, t'as des exemples ? Ca doit surement exister mais c'est juste pour situer. Pareil pour lourd. KDE est lourd mais si c'est trop lourd pour toi bah tu peux aller vers XFCE ou d'autres. Multiplication de versions ? Comment ca ? Si tu parles d'un projet qui est fork, ca devient un autre projet a part entiere.

Bref, t'es developpeur .NET sous Visual Studio donc c'est clair que tu vas defendre ton gagne pain. C'est sur que Visual Studio est genial pour developper en .NET.

Pour du C++, j'utilise Qt Creator vu que je developpe souvent avec Qt. T'utilises quoi comme gestionnaire de version ?
 

vegeta

Fais tes prières !
Dans tous les outils que j'ai dû manipuler , je n'ai jamais vu autant d' outils gratuits truffé de bogues que dans l'open source...

Donc , où sont les merveilles ?
Faut pas prendre ton cas pour une généralité non plus hein ;)
Perso, j'utilise de l'open-source pour certains usages et du proprio pour d'autres et objectivement, c'est kiff-kiff. Faut pas dire que l'open-source c'est truffé de bogues alors que tu utilises une Sid :colere:
Ce qui est constaté c'est que même si l'open-source recèle plus de failles, celles-ci sont plus rapidement corrigées que celles du code proprio (ex. IE).
 

ailless

Asimov, Sagan, Carlin, Hitchens
Dans tous les outils que j'ai dû manipuler , je n'ai jamais vu autant d' outils gratuits truffé de bogues que dans l'open source...

Donc , où sont les merveilles ?


C'était une exemple , pour montrer que l'open source n'est pas le saint graal ...
Bien...

j'utilise Chakra Linux comme OS (ArchLinux optimise pour KDE), ma musique passe par Clementine, j'utilise VLC pour regarder mes videos, Chromium/Firefox pour surfer, ktorrent/qbitorrent pour les telechargements, Qt Creator pour du dev C++/Qt, vim avec cmake ou d'autres makefiles pour du C, perl, python, drivers open source ATI mais je ne joue pas sur un systeme Linux. Eclipse pour du Java/Android. git/mercurial/svn pour les gestionnaires de version, apache pour du serveur web... bref pas mal de trucs et je suis loin de voir autant de bugs que ce que tu affirmes.

J'avais des probs avec ma carte wifi qui ne fonctionnait pas, j'ai passe une semaine sur mon bug report a fournir un max d'infos et faire des tests pour aider les dev du linux kernel. Une semaine, c'est rien en sachant que le fix etait dans la prochaine release du kernel et que c'etait dispo en patch apres une semaine seulement.

Enfin bref, je vais pas me battre, je n'ai aucun amour pour les projets fermes et pour Microsoft/C#/.NET en particulier contrairement a toi, chacun defend ce qu'il aime apres tout, c'est normal.
 

Aqua

Elite
Usine a gaz, t'as des exemples ? Ca doit surement exister mais c'est juste pour situer. Pareil pour lourd. KDE est lourd mais si c'est trop lourd pour toi bah tu peux aller vers XFCE ou d'autres.
Ba oué , je vais aller vers un bureau sans rien ... XFCE lol et KDE ce machin super lourd ou l'interface graphique bug...
Netbeans par exemple et Glassfish , ce truc lourd et instable...

Multiplication de versions ? Comment ca ? Si tu parles d'un projet qui est fork, ca devient un autre projet a part entiere.
A part qu'on comprend plus rien , demain il y a un autre fork d'un autre bazar et un autre jour , on abandonne le truc , c'est le gros bordel...pour un projet sérieux...

Bref, t'es developpeur .NET sous Visual Studio donc c'est clair que tu vas defendre ton gagne pain. C'est sur que Visual Studio est genial pour developper en .NET.
J'ai été aussi développeur du monde open source et les outils de développement du monde libre sont à des années lumières... trouver une architecture .NET dans le libre , ou tu as des dizaines de serveurs d'application, des frameworks de partout , l'open source n'a pas que des avantages.

T'utilises quoi comme gestionnaire de version ?
bitbucket quand ça fonctionne...

Bref je m'arrête ici , mon intervention servait à démontrer que l'open source , c'est pas l'ange gardien de l'informatique.
 

ailless

Asimov, Sagan, Carlin, Hitchens
Ba oué , je vais aller vers un bureau sans rien ... XFCE lol et KDE ce machin super lourd ou l'interface graphique bug...
Netbeans par exemple et Glassfish , ce truc lourd et instable...
A part qu'on comprend plus rien , demain il y a un autre fork d'un autre bazar et un autre jour , on abandonne le truc , c'est le gros bordel...pour un projet sérieux...

J'ai été aussi développeur du monde open source et les outils de développement du monde libre sont à des années lumières... trouver une architecture .NET dans le libre , ou tu as des dizaines de serveurs d'application, des frameworks de partout , l'open source n'a pas que des avantages.

bitbucket quand ça fonctionne...
Bref je m'arrête ici , mon intervention servait à démontrer que l'open source , c'est pas l'ange gardien de l'informatique.
J'ai un bon PC, ca doit etre pour ca que j'ai pas de problemes avec KDE. Tout est instantane.
Je n'utilise pas Netbeans ni Glassfish mais bon le Java est lourd de maniere generale.

C'est pas plus le bordel qu'autre part. Beaucoup de personnes n'aimaient pas la nouvelle version d'Amarok, des developpeurs ont repris une version ancienne pour creer un autre projet appele Clementine qui est juste une tuerie. T'as des trucs majeurs qui ne sont clairement pas compliques a comprendre. :)

Connais-tu le framework Qt ? :)

Quel est ton probleme avec bitbucket qui n'est pas un gestionnaire de version vu que le site utilise git ou mercurial ?
 
Haut