Bonjour à tous,
Voilà, j'ai besoin d'infos sur les droits des fichiers contenus dans ASSETS/CACHE car un hacker a manipulé le fichier siteCache.idx.php pour lire le fichier config.inc.php (644)
l
Visu des logs apache ce matin, horreur, le site d'un des sous domaines a été hacké, apparemment le gars connait bien MODx Evo :
Requêtes avec une ip française !
GET /assets/cache/siteCache.idx.php HTTP/1.1 200
GET /assets/cache/siteCache.idx.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 HTTP/1.1 200
GET /assets/cache/siteCache.idx.php?act=sql&d=%2Fvar%2Fwww%2Fvhosts%2Fmondomaine.com%2Fsubdomains%2Fprod%2Fhttpdocs%2Fmanager%2Fincludes%2F HTTP/1.1
réponse du serveur : 200
puis directement avec une ip Russe !
POST /assets/cache/siteCache.idx.php? HTTP/1.1 200
GET /assets/cache/siteCache.idx.php?act=sql&sql_login=MONLOGIN&sql_passwd=MONPASSW&sql_server=localhost&sql_port=3306&sql_db=prod HTTP/1.1 réponse 200
puis,
GET /assets/cache/siteCache.idx.php?act=sql&sql_login=MONLOGIN&sql_passwd=MONPASSW&sql_server=localhost&sql_port=3306&sql_db=prod&sql_act=query&sql_query=DELETE+FROM+%60modx_active_users%60 HTTP/1.1
Il a récupéré les infos (MONLOGIN et MONPASSW) de config.inc.php !!! et a lancé une requête SQL
Les droits sur le répertoire CACHE sont en 777...
Si je mets les droits des fichiers à 644 le manager plante en mise à jour des fichiers sitepublishing.idx.php et siteCache.idx.php !
Que faire ?
Y a t'il une parade ?
Merci d'avance.
Patrick