Release

[Denis LEBLANC]

Bonjour Benjamin,

Merci pour ton travail.

Je te remonte mon expérience de ce matin.

Mon serveur a subit une attaque par injection le 14 septembre. En remontant dans les logs, on trouve ces 3 lignes dans le log apache2 de jorani :

20.205.116.139 - - [14/Sep/2023:16:38:18 +0200] "GET /session/login HTTP/1.1" 200 7985 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.3319.102 Safari/537.36" 20.205.116.139 - - [14/Sep/2023:16:38:19 +0200] "POST /session/login HTTP/1.1" 303 4366 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36" 20.205.116.139 - - [14/Sep/2023:16:38:20 +0200] "GET /pages/view/log-2023-09-14 HTTP/1.1" 401 8664 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36"

Suivi chronologiquement de ce log dans auth.log, qui sous-entend connexion réussie

Sep 14 16:38:21 dionysos sudo: www-data : TTY=unknown ; PWD=/var/www/jorani ; USER=root ; COMMAND=/usr/bin/true

Puis quelques secondes plus tard :

Sep 14 16:38:36 dionysos sudo: www-data : TTY=unknown ; PWD=/var/www/jorani ; USER=root ; COMMAND=/usr/bin/true
Sep 14 16:38:36 dionysos sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Sep 14 16:38:36 dionysos sudo: pam_unix(sudo:session): session closed for user root
Sep 14 16:38:36 dionysos sudo: www-data : TTY=unknown ; PWD=/var/www/jorani ; USER=root ; COMMAND=/usr/bin/systemctl stop c3pool_miner.service
Sep 14 16:38:36 dionysos sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Sep 14 16:38:36 dionysos sudo: pam_unix(sudo:session): session closed for user root

"Ils" sont clairement passé par là et installé xmrig, le daemon de c3pool.

Se sont-ils loggués ou ont-ils injecté depuis le formulaire de loggin ?

Je me penche alors sur la version de mon jorani. je suis en v1.0.0.

La page /admin/diagnostic me dit "votre version est à jour" alors que la version du 1er mai est la v1.0.1

Résolution :

- Je me débarrasse de c3pool (crypto) qui a été  installé sur mon serveur de production.

- J'installe la version v1.0.1

- Ne sachant pas quel formulaire a été utilisé, je vais faire changer tous les mots de passe.

J'ai 2 questions :

- est-ce que la dernière version résout ce problème d'injection de code ?

- est-ce que la page /admin/diagnostic pourrait dire "Vous n'êtes pas à jour" ?

Félicitations pour ce magnifique outil que nous utilisons depuis de nombreuses années.

Cordialement

Denis

[Benjamin BALET]

C'est une attaque de type transversal path normalement résolue.

Elle passe par le champ de choix du langage.

Je vérifie encore que la page de login est bien protégée.

Je regarde pour la page diagnostic (le fichier de version n'est peut-être pas à jour sur le serveur)

--
You received this message because you are subscribed to the Google Groups "jorani" group.
To unsubscribe from this group and stop receiving emails from it, send an email to jorani+un...@googlegroups.com.
To view this discussion on the web visit https://groups.google.com/d/msgid/jorani/e78533cf-b0ca-4e02-af09-16b1ad192919n%40googlegroups.com.

[Benjamin BALET]

Bonjour,

Je confirme que la dernière version corrige ce problème.

Je vais faire la mise à jour de la version sur le serveur de docuementation.

Bien que le mot de passe soit crypté en base de données et qu'il n'y ait pas de preuve de compromission de la BDD, demander aux utilisateurs de changer de mot de passe peut être une bonne idée, mais d'urgence moyenne.

Cordialement,

Le jeu. 21 sept. 2023 à 09:10, Denis LEBLANC <denis....@gmail.com> a écrit :