On March 26, 2019 we launched new MODX Forums. Please join us at the new MODX Community Forums.
Subscribe: RSS
  • Bonjour à tous,

    Voilà, j'ai besoin d'infos sur les droits des fichiers contenus dans ASSETS/CACHE car un hacker a manipulé le fichier siteCache.idx.php pour lire le fichier config.inc.php (644)
    l

    Visu des logs apache ce matin, horreur, le site d'un des sous domaines a été hacké, apparemment le gars connait bien MODx Evo :

    Requêtes avec une ip française !
    GET /assets/cache/siteCache.idx.php HTTP/1.1 200
    GET /assets/cache/siteCache.idx.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 HTTP/1.1 200
    GET /assets/cache/siteCache.idx.php?act=sql&d=%2Fvar%2Fwww%2Fvhosts%2Fmondomaine.com%2Fsubdomains%2Fprod%2Fhttpdocs%2Fmanager%2Fincludes%2F HTTP/1.1
    réponse du serveur : 200

    puis directement avec une ip Russe !

    POST /assets/cache/siteCache.idx.php? HTTP/1.1 200
    GET /assets/cache/siteCache.idx.php?act=sql&sql_login=MONLOGIN&sql_passwd=MONPASSW&sql_server=localhost&sql_port=3306&sql_db=prod HTTP/1.1 réponse 200
    puis,
    GET /assets/cache/siteCache.idx.php?act=sql&sql_login=MONLOGIN&sql_passwd=MONPASSW&sql_server=localhost&sql_port=3306&sql_db=prod&sql_act=query&sql_query=DELETE+FROM+%60modx_active_users%60 HTTP/1.1

    Il a récupéré les infos (MONLOGIN et MONPASSW) de config.inc.php !!! et a lancé une requête SQL
    Les droits sur le répertoire CACHE sont en 777...
    Si je mets les droits des fichiers à 644 le manager plante en mise à jour des fichiers sitepublishing.idx.php et siteCache.idx.php !

    Que faire ?
    Y a t'il une parade ?

    Merci d'avance.
    Patrick