Page 1 sur 2
NOUVEAU USER BIZARRE
Posté : mer. 24 janv. 2024 11:14
par pjd
Bonjour.
Je viens vers vous car j'ai un problème qui me semble étonnant et qui ressemble à une tentative de piratage.
je fonctionne sur GESTSUP V3.2.13 - sur un Debian 9 (stretch)
Depuis quelques jour, un nouvel utilisateur (que je ne vois pas dans la liste des USERS, dans le panneau d'administration) est apparu lorsqu'on crée un ticket
Il à un nom étonnant : qLSnzR GmPrwZ (nom volontairement modifié pour le ticket public)
D'autre part, dans les logs, je vois les erreurs suivants :
Date : 2024-01-19 10:22:01
Message : IMAP connector : An error occurred: IMAP error: Can not authenticate to IMAP server: [CLOSED] IMAP connection broken (authenticate)
Utilisateur : qLSnzR GmPrwZ
IP : php_cli
Je ne sais pas trop par ou commencer mes vérifications,
Avez-vous des idées ?
Merci par avance,
Belle journée à tous
Re: NOUVEAU USER BIZARRE
Posté : mer. 24 janv. 2024 11:45
par Flox
Bonjour,
Dans un premier temps mettez a jour votre application et votre système d'exploitation qui sont tous deux très obsolètes.
Cdt
Re: NOUVEAU USER BIZARRE
Posté : mer. 24 janv. 2024 12:16
par pjd
C'est prévu je vous remercie,
Je suis justement en train de le faire suite à cela.
Mais avez vous déja vu cela ?
Comment faire pour dans un premier temps supprimer ce user ?
Merci par avance pour votre aide
Re: NOUVEAU USER BIZARRE
Posté : mer. 24 janv. 2024 12:20
par Flox
Après avoir réalisé les mises a jour, si vous ne le voyez pas dans la liste des utilisateurs du menu administration, alors une suppression en base de données sera nécessaire, table tusers.
Re: NOUVEAU USER BIZARRE
Posté : mer. 24 janv. 2024 15:55
par pjd
Je suis en train de faire la mise à jour et de réinstaller sur une nouvelle machine
Néanmoins, pour parfaire vos infos, je le vois dans la base de donnée,
ce qui est bizarre c'est qu'il à l'ID : 0 (il est avant ADMIN)
il était connecté la dernière fois le 21/10/2016 ) 00h00h000
ca parait totalement bidon
Pensez-vous que ca peut être une erreur d'un user, qui à clique sur (+) et qui à ajouté ca bêtement.
Ou le fait qu'il soit tout en haut liste est étonnant ? et il est arrivé là par mauvaise intention
J'essaye de comprendre surtout par ou cela à pu arriver ?
Je supposer par le connecteur mail, c'est la seule entrée non sécurisés
Et je m'inquiète de savoir si il a eu accès au données de la base
Re: NOUVEAU USER BIZARRE
Posté : mer. 24 janv. 2024 16:01
par Flox
Sur la table des utilisateurs tusers, il existe une entrée spécifique l'id 0, qui doit correspondre à "aucun" :
- 2024-01-24 15_59_25-localhost.zensoft.lan _ MariaDB _ bsup_master _ tusers _ phpMyAdmin 5.2.1.png (6.91 Kio) Vu 504 fois
Est-il possible de transmettre votre base de données en MP pour analyse ?
Le connecteur IMAP ne créer pas d'utilisateurs
Re: NOUVEAU USER BIZARRE
Posté : mer. 24 janv. 2024 16:11
par Flox
est ce que l'utilisateur ayant l'ID 0, a un mot de passe ?
Re: NOUVEAU USER BIZARRE
Posté : mer. 24 janv. 2024 16:43
par pjd
la seule chose qu'il à c'est une FIRSTNAME et un LASTNAME
voici :
+----+---------------------------+--------------------------------------------------------------+-------+-------------+-----------------------+---------+--------------------------------+------------+----- -------+------------+-----------------------+---------+----------------+----------+-------+--------------+---------+---------+---------+--------+---------------------+--------------+--------------+------- ---------+--------+----------------------+------------------------+---------------------+-------------------+-------------------------+----------+-----------+
| id | login | password | salt | firstname | lastname | profile | mail | phone | mobi le | fax | function | company | address1 | address2 | zip | city | custom1 | custom2 | disable | chgpwd | last_login | last_pwd_chg | auth_attempt | ip | skin | default_ticket_state | dashboard_ticket_order | limit_ticket_number | limit_ticket_days | limit_ticket_date_start | language | ldap_guid |
+----+---------------------------+--------------------------------------------------------------+-------+-------------+-----------------------+---------+--------------------------------+------------+----- -------+------------+-----------------------+---------+----------------+----------+-------+--------------+---------+---------+---------+--------+---------------------+--------------+--------------+------- ---------+--------+----------------------+------------------------+---------------------+-------------------+-------------------------+----------+-----------+
| 0 | aucun | | | qLtnvR | GkPrwJ | 2 | | | | | | 0 | | | | | | | 1 | 0 | 2016-10-21 00:00:00 | 0000-00-00 | 0 | | | | | 0 | 0 | 2016-10-21 | fr_FR | |
Re: NOUVEAU USER BIZARRE
Posté : mer. 24 janv. 2024 16:45
par Flox
Très bien aucun utilisateur n'as pu se connecter avec ce compte car le mot de passe est obligatoire.
Pour corriger la situation vous pourrez mettre a jour le champ lastname avec "Aucun" et firstname vide, en base de données.
Re: NOUVEAU USER BIZARRE
Posté : mer. 24 janv. 2024 16:46
par pjd
super, j'essaye merci