![\"routeur-joomla\"](\"https:\/\/cinnk.com\/wp-content\/uploads\/2020\/10\/routeur-joomla.jpg\" "\\"routeur-joomla\\"")
<\/p>\nMon site web a \u00e9t\u00e9 attaqu\u00e9 r\u00e9cemment. Ce n’est ni la premi\u00e8re, ni sans doute la derni\u00e8re fois que cela se produit. Il s’agit d’un site d’informations destin\u00e9 \u00e0 une communaut\u00e9 de joueurs. Il n’y a ni argent \u00e0 d\u00e9rober ni technologie \u00e0 voler. Comme il est sauvegard\u00e9 tous les jours et qu’il est (plut\u00f4t) bien prot\u00e9g\u00e9, je n’ai pas de raisons d’\u00eatre particuli\u00e8rement inquiet. Lorsque ce genre d’attaques se produit, je n’ai, en principe, qu’\u00e0 attendre que l’agresseur se lasse …<\/p>\n
<\/p>\n
\nMon site web a \u00e9t\u00e9 attaqu\u00e9 r\u00e9cemment. Ce n’est ni la premi\u00e8re, ni sans doute la derni\u00e8re fois que cela se produit. Il s’agit d’un site d’informations destin\u00e9 \u00e0 une communaut\u00e9 de joueurs. Il n’y a ni argent \u00e0 d\u00e9rober ni technologie \u00e0 voler. Comme il est sauvegard\u00e9 tous les jours et qu’il est (plut\u00f4t) bien prot\u00e9g\u00e9, je n’ai pas de raisons d’\u00eatre particuli\u00e8rement inquiet. Lorsque ce genre d’attaques se produit, je n’ai, en principe, qu’\u00e0 attendre que l’agresseur se lasse …<\/p>\n
N’emp\u00eache que cette fois-ci, les choses \u00e9taient un peu diff\u00e9rentes :<\/p>\n
d’abord mon h\u00e9bergeur s’est (\u00e0 jute titre ?) inqui\u00e9t\u00e9 de l’ampleur des choses et a coup\u00e9 l’acc\u00e8s \u00e0 mon site … plut\u00f4t d\u00e9sagr\u00e9able, n’est ce pas ?
\nj’\u00e9tais en vacances loin de chez moi et ne pouvais acc\u00e9d\u00e9 \u00e0 l’administration Joomla!, au cPanel et m\u00eame \u00e0 FTP que par des r\u00e9seaux publiques : pas ce qu’il y a de mieux en ce qui concerne la gestion des s\u00e9curit\u00e9s.
\nl’attaque a \u00e9t\u00e9 largement plus violente que les fois pr\u00e9c\u00e9dentes au point de justifier (?) la fermeture du site et il me semblait int\u00e9ressant d’en faire une analyse post-mortem.<\/p>\n
Les faits.
\nL’attaque a commenc\u00e9 le 4 octobre \u00e0 14h00 environ. Le site a re\u00e7u environ 6500 connexions (contre une centaine par jour en temps normal), bien entendu, l’adresse IP de l\u2019agresseur changeait \u00e0 chaque passe de m\u00eame que le pays de rattachement de cette IP. A 18h00 mon h\u00e9bergeur me signalait que le site d\u00e9passait la quantit\u00e9 autoris\u00e9e dans une journ\u00e9e \u00e0 la fois pour le nombre de scripts ex\u00e9cut\u00e9s et pour l’utilisation de la bande passante, en cons\u00e9quence de quoi il fermait provisoirement celui-ci. Suite \u00e0 ma r\u00e9action indign\u00e9e (apr\u00e8s tout un bon firewall est du ressort de l’h\u00e9bergeur), le site \u00e9tait r\u00e9 ouvert une petite demi-heure avant d’\u00eatre \u00e0 nouveau ferm\u00e9 jusqu’\u00e0 environ 1h00 du matin le 5 octobre, heure \u00e0 laquelle l’attaque \u00e9tait stopp\u00e9e gr\u00e2ce \u00e0 une parade ing\u00e9nieuse autant qu’efficace mise en oeuvre par Christophe Avonture auteur (entre-autre) du logiciel aeSecure.
\nJ’ai d\u00e9j\u00e0 par le pass\u00e9 subi des attaques de ce type allant jusqu’\u00e0 13000 connexions en moins de 24 heures, pas souvent, Dieu merci, mais jamais mon site n’avait \u00e9t\u00e9 ferm\u00e9 par l’h\u00e9bergeur. Alors qu’y avait-il donc de sp\u00e9cial au cours de cette attaque ?
\nEn fait l’agresseur (vous noterez que je ne parle pas de hacker. Un hacker essaie de s’introduire dans un site qui ne lui appartient pas, ici la suite nous montrera que ce n’\u00e9tait absolument pas le souhait de l’imb… qui a lanc\u00e9 l’attaque) a lanc\u00e9 933123 fois une requ\u00eate http, sous deux formes distincte mais dont la principale retournait plus de 315 000 caract\u00e8res en r\u00e9ponse. Soit un total de 7 GB de bande passante en peu de temps.
\nNum\u00e9ro sp\u00e9cial e-commerce & Joomla!
\n
\nPremi\u00e8re analyse
\nQuelle est donc cette requ\u00eate ‘magique’ qui a mis mon site \u00e0 plat ? L’analyse des fichiers logs montre que c’est essentiellement une requ\u00eate constitu\u00e9e avec le libell\u00e9 :
\n http:\/\/www.monsite.fr\/archives\/56-everquest-ii\/administrator\/
\nCette requ\u00eate m\u00e8ne vers des r\u00e9sultats \u00e9tonnants, si l’on affiche le log d’une seule adresse IP \u00e9mettrice l’utilisant on obtient :
\n92.242.108.122 – – [04\/Oct\/2016:14:01:38 +0200] \u00ab\u00a0GET \/archives\/56-everquest-ii\/administrator\/ HTTP\/1.0\u00a0\u00bb 301 278 \u00ab\u00a0–\u00a0\u00bb \u00ab\u00a0Mozilla\/5.0 (Windows NT 5.1) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/46.0.2490.71 Safari\/537.36\u00a0\u00bb 92.242.108.122 – – [04\/Oct\/2016:14:01:38 +0200] \u00ab\u00a0GET \/archives\/56-everquest-ii\/administrator\/ HTTP\/1.0\u00a0\u00bb 301 278 \u00ab\u00a0–\u00a0\u00bb \u00ab\u00a0Mozilla\/5.0 (Windows NT 5.1) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/46.0.2490.71 Safari\/537.36\u00a0\u00bb 92.242.108.122 – – [04\/Oct\/2016:14:01:39 +0200] \u00ab\u00a0GET \/archives\/56-everquest-ii\/administrator\/ HTTP\/1.0\u00a0\u00bb 301 278 \u00ab\u00a0–\u00a0\u00bb \u00ab\u00a0Mozilla\/5.0 (Windows NT 5.1) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/46.0.2490.71 Safari\/537.36″92.242.108.122 – – [04\/Oct\/2016:14:01:39 +0200] \u00ab\u00a0GET \/archives\/56-everquest-ii\/administrator\/ HTTP\/1.0\u00a0\u00bb 200 315120 \u00ab\u00a0–\u00a0\u00bb \u00ab\u00a0Mozilla\/5.0 (Windows NT 5.1) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/46.0.2490.71 Safari\/537.36″92.242.108.122 – – [04\/Oct\/2016:14:01:39 +0200] \u00ab\u00a0GET \/archives\/56-everquest-ii\/administrator\/ HTTP\/1.0\u00a0\u00bb 200 315120 \u00ab\u00a0–\u00a0\u00bb \u00ab\u00a0Mozilla\/5.0 (Windows NT 5.1) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/46.0.2490.71 Safari\/537.36″92.242.108.122 – – [04\/Oct\/2016:14:01:43 +0200] \u00ab\u00a0GET \/archives\/56-everquest-ii\/administrator\/ HTTP\/1.0\u00a0\u00bb 200 315120 \u00ab\u00a0–\u00a0\u00bb \u00ab\u00a0Mozilla\/5.0 (Windows NT 5.1) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/46.0.2490.71 Safari\/537.36\u00a0\u00bb
\nEvidemment, la premi\u00e8re r\u00e9action lorsque l’on voit la fin de l’URL : \/administrator\/ est : \u00ab\u00a0il s’agit d’une tentative de p\u00e9n\u00e9tration et d’acc\u00e8s aux privil\u00e8ges de super administrateur\u00a0\u00bb mais cette url n’a pas d’existence l\u00e9gale, ne donne en aucun cas acc\u00e8s \u00e0 l’administration et devrait juste retourner une erreur 404, or elle retourne un (voire plusieurs) code 301 : redirection permanente et apr\u00e8s 3 redirection successives, elle m\u00e8ne \u00e0 des retours d’information de 315 Ko \u00e0 chaque fois, il y a bien des donn\u00e9es affichables, donn\u00e9es qui proviennent effectivement de mon site, affichant un contenu qui existe bel et bien mais qui n’a jamais \u00e9t\u00e9 de mani\u00e8re pr\u00e9m\u00e9dit\u00e9e, con\u00e7u pour \u00eatre affich\u00e9 et surtout pas avec une telle URL.
\n Redirection permanente ? bien, mais vers quoi et pour quelle raison ?
\nIl est int\u00e9ressant de comprendre cette url, qui vue de l’administrateur n’existe pas. Mon site n’utilise pas de composants du style sh404SEF et le fichier .htaccess ne contient que quelques redirections bien ma\u00eetris\u00e9es. Une tentative en d\u00e9sactivant provisoirement le composant Redirection de Joomla! reste sans effet. Le code 301 de redirection permanente ne vient donc pas du site lui-m\u00eame.
\nSi la redirection n’est pas provoqu\u00e9e par le site, cela ne peut donc \u00eatre que Joomla! lui-m\u00eame qui le g\u00e9n\u00e8re …
\nRetour aux bases : le routeur.
\nLe composant de Joomla! qui analyse les URLs saisies par les utilisateurs et les transforme \u00e0 coup de redirection pour en g\u00e9n\u00e9rer une URL finale, compr\u00e9hensible par le serveur Apache s’appelle pour Joomla! le routeur et son comportement est d\u00e9crit en d\u00e9tail dans un document officiel qui fait force de loi et est en quelque sorte la bible du traitement des URLs, tant par Joomla! lui-m\u00eame que par les fournisseurs de composants tiers. Ce document est d\u00e9crit dans un article de la documentation officielle de Joomla .
\nCe document dit tr\u00e8s exactement (mais en anglais !) :
\nLe premier segment d’un routage est, pour les URL r\u00e9guli\u00e8res, l’alias d’un \u00e9l\u00e9ment de menu. L’URL SEF est r\u00e9put\u00e9e achemin\u00e9e \u00e0 travers cet \u00e9l\u00e9ment de menu. Les autres segments sont enti\u00e8rement d\u00e9termin\u00e9es par le routeur du composant qui fournit le type de l’\u00e9l\u00e9ment de menu. La Cat\u00e9gorie – Blog type d’\u00e9l\u00e9ment de menu, par exemple, est fourni par le composant de contenu, et donc le routeur de ce composant est responsable de la construction et de l’analyse les segments restants.
\nDans le cas pr\u00e9sent :<\/p>\n
56-everquest-ii est le nom d’une cat\u00e9gorie de mon site (ou presque !) sous la forme id-alias de cat\u00e9gorie.
\n administrator pourrait \u00eatre le mode de pr\u00e9sentation ou \u00e0 d\u00e9faut de la responsabilit\u00e9 du module routeur en ce qui concerne l’interpr\u00e9tation de l’affichage \u00e0 effectuer.<\/p>\n
Bien ceci dit :<\/p>\n
c’est vrai, j’ai un menu dont le nom et l’alias sont : archives
\n everquest-ii est bien le nom et l’alias d’une cat\u00e9gorie de mon site, mais 56 n’est pas son id (l’id de cette cat\u00e9gorie est 42, 56 correspond \u00e0 une sous-cat\u00e9gorie de everquest-ii).<\/p>\n
Bizarrement l’article ou le pseudo-article affich\u00e9 (\u00e7a ressemble plut\u00f4t \u00e0 un affichage de blogs des cat\u00e9gories) reprend tout un ensemble d’articles (on a quand m\u00eame 315 Ko de donn\u00e9es) mais n’a rien \u00e0 voir de pr\u00e8s ou de loin avec la cat\u00e9gorie everquest-ii ni avec les articles rattach\u00e9s \u00e0 cette cat\u00e9gorie ! ?
\nJouons un peu avec le routeur
\nPremi\u00e8re \u00e9tape, j’envoie la m\u00eame URL mais sans l’alias de menu ‘archives’ dedans. Formidable, \u00e7a marche toujours : toujours pas d’erreur 404 mais c’est un autre ensemble d’articles qui est affich\u00e9, toujours sous la forme blog des cat\u00e9gories.
\nContinuons, j’envoie maintenant juste l’URL \/monsite.fr\/56-everquest-ii, toujours pas d’erreur, j’obtiens l’affichage d’un autre article n’ayant rien \u00e0 voir avec les pr\u00e9c\u00e9dents, pire, n’envoyer comme URL que : \/monsite.fr\/56 fonctionne \u00e9galement et affiche la m\u00eame chose (le libell\u00e9 ou plus exactement l’alias de libell\u00e9 associ\u00e9 \u00e0 la cat\u00e9gorie n’est pas utilis\u00e9 : le routeur ne fait aucun contr\u00f4le entre l’id et l’alias de libell\u00e9 !).
\nCette fois c’est clair, c’est le routeur qui est en cause et qui fait absolument n’importe quoi, ou qui fait pour le moins autre chose que ce que l’on est en droit d’attendre de lui au vu des prescriptions de la bible des d\u00e9veloppeurs.
\nRevenons au d\u00e9part et fabriquons de toute pi\u00e8ce des URLs :<\/p>\n
\/monsite.fr\/test\/56- marche pareillement (bien s\u00fbr cette fois-ci je n’ai absolument pas de menu ‘test’ ni en tant que libell\u00e9, ni en tant que alias, d’ailleurs \u00ab\u00a0monsite.fr\/xyz\/56-\u00a0\u00bb ou \u00ab\u00a0monsite.fr\/truc\/56-\u00a0\u00bb donnent exactement le m\u00eame r\u00e9sultat) et affiche l’article d’id 56
\n\/monsite.fr\/56-\/blabla affiche une liste de type blog des cat\u00e9gories (la cat\u00e9gorie 56, toujours sans se pr\u00e9occuper de l’alias de cette cat\u00e9gorie dont la pr\u00e9sence n’est d’ailleurs m\u00eame pas n\u00e9cessaire dans l’url) blabla doit lui toutefois exister, sa pr\u00e9sence conditionne le passage en blog de la cat\u00e9gorie.<\/p>\n
Pourtant la bible du routeur dit clairement :
\nPour un \u00e9l\u00e9ment de menu, Joomla! utilise l’alias de l’URL comme emplacement. Supposons que vous utilisez les deux premi\u00e8res options d’URL SEF et vous cr\u00e9ez un \u00e9l\u00e9ment de menu appel\u00e9 Products. Votre URL serait example.com\/products
\nEn fait une URL quelconque \/xyz\/id- affiche l’article d’id id et lui seul tout \u00e0 fait correctement qu’il y ait ou non un libell\u00e9 apr\u00e8s l’id et que ce libell\u00e9 soit compatible ou pas avec un alias d’article que cet alias existe ou pas \/id- voir m\u00eame \/id affiche exactement le m\u00eame article (et bien s\u00fbr tout \u00e7a vu du c\u00f4t\u00e9 google : c’est du duplicate content, puisque pour des URLs diff\u00e9rentes on a le m\u00eame contenu)
\nR\u00e9sumons :<\/p>\n
\/test\/id ou \/test\/id- affiche l’article id dans le format standard pr\u00e9vu pour le site. L’existence ou pas d’un menu de libell\u00e9 ou alias test est sans importance.
\n \/id-\/blabla affiche une liste des articles correspondant \u00e0 la cat\u00e9gorie d’id ‘id’ et \u00e0 ceux de m\u00eame cat\u00e9gorie au format blog. Que blabla prenne la valeur administrator, machin ou n’importe quoi d’autre existant sans lien direct avec la cat\u00e9gorie id.
\n \/xyz\/id\/blabla est le seul cas particulier o\u00f9 l’on obtient dans tous les cas une erreur 404 sauf s’il y a bien un menu xyz, dans ce cas alors, quelque soit la valeur de blabla, c’est le type d’affichage du blog de la cat\u00e9gorie id qui est affich\u00e9, comme ci-dessus sans tenir compte de la pr\u00e9sence ou pas du menu xyz d’ailleurs.<\/p>\n
Conclusion
\nAlors c’est vrai, il faut bien le reconna\u00eetre, certaines des affirmations ci-dessus marchent plus ou moins bien selon les sites, en fonction (probablement) du contenu du fichier .htaccess, de la pr\u00e9sence ou non de certains composants (sh404SEF entre autre ou ses \u00e9quivalents) et selon leur param\u00e9trage bien s\u00fbr, certaines URLs ‘fabriqu\u00e9es’ de toute pi\u00e8ce retournent (ou pas) une erreur 404. Vous pouvez d’ailleurs essayer certains cas de figure comme ceux donn\u00e9s ci-apr\u00e8s. Il n’en est pas moins vrai, que toutes ces URLs manipul\u00e9es devraient dans tous les cas de figure retourner une erreur 404. On est loin du compte. De l\u00e0 \u00e0 dire que le routeur facilite le travail des hackers …
\nExemple d’URLs qui devraient retourner une erreur 404 mais qui fonctionnent en donnant des r\u00e9sultats pas forc\u00e9ment attendus par leurs auteurs :<\/p>\n
http:\/\/cinnk.com\/test\/110 ou encore http:\/\/cinnk.com\/110-nimportequoi
\n http:\/\/www.aide-joomla.com\/nimportequoi\/949 <\/p>\n
Il semble que la version Joomla! 3.7 qui doit para\u00eetre en d\u00e9cembre va supprimer ou tout au moins donner l’opportunit\u00e9 de supprimer l’id d’article et\/ou de cat\u00e9gorie dans une URL. C’est un gros pas en avant qui n\u00e9cessitera tr\u00e8s certainement de faire pas mal de redirections pour \u00e9viter les erreurs 404 g\u00e9n\u00e9r\u00e9es par des vraies URLs du coup d\u00e9pr\u00e9ci\u00e9es, mais cela fermera une porte d’entr\u00e9e aux nuisibles de toutes sortes, qui pour le moment peuvent g\u00e9n\u00e9rer tr\u00e8s facilement des URLs au hasard jusqu’\u00e0 trouver, comme cela \u00e0 sans doute \u00e9t\u00e9 le cas pour mon site, une url qui fournisse en retour un flux suffisamment important pour p\u00e9naliser le serveur qui re\u00e7oit \u00e0 jet continu des requ\u00eates tr\u00e8s gourmandes.<\/p>\n","protected":false},"excerpt":{"rendered":"
Mon site web a \u00e9t\u00e9 attaqu\u00e9 r\u00e9cemment. Ce n’est ni la premi\u00e8re, ni sans doute la derni\u00e8re fois que cela se produit. Il s’agit d’un site d’informations destin\u00e9 \u00e0 une communaut\u00e9 de joueurs. Il n’y a ni argent \u00e0 d\u00e9rober ni technologie \u00e0 voler. Comme il est sauvegard\u00e9 tous les jours et qu’il est (plut\u00f4t) […]<\/p>\n","protected":false},"author":1,"featured_media":438,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[13],"tags":[],"class_list":["post-439","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-archives"],"yoast_head":"\n