J'ai été piraté :(

[YvesB]

Bonjour, je vais ur mon site et quesque je vois ? http://www.afterdreams.com/indexa.html

J'ai été piraté ! Quelqu'un connais ce mec? des conseils?
changer les mots de passe suffit?
Pour infos, je venais juste d'installer ipb forum vs final..
et creer 2 ss domaines pour mon forum...

Merci de votre aide

[Foxus]

ct koi dessus comem script php ?

un forum phpBB ?

[mewp]

- Fouilles les logs et regardes comment il est entré, rapatrie tout les logs en local sur ta machine.
- Regardes s'il n'a pas mis de rootkit sur ta machine, vérifie les packages les plus importants ( sshd, bin-utils... )
- Vérifie qu'il n'a pas crée d'autres comptes shell

[Haq]

C'est la saison des defaçages, on dirait. Très difficile de savoir si le pirate a effectivement récupéré tes mots de passe root...

C'est là que je suis content de coder moi-même mes forums. Je le conseille à ceux qui connaissent php/mysql. C'est vraiment pas difficile, ça permet une personnalisation optimale, c'est souvent moins gourmand et ça évite les hacks en série.

[tangui]

Ca a l'air courant avec eux:
http://www.google.fr/search?q=ImFlower& ... r:official

[YvesB]

ce que tu dis de faire mewp est super compliqué, j'y connais pas grand chose dans les serveurs, et en plus dans la panique...

Sinon hier j'ai virer 700 mo de fichiers logs, ca peu jouer?

Foxus, le forum est un invision power board, 1.3 version final.

[mewp]

Ce n'est pas en virant les fichiers logs que tu t'es fait pirater, les logs sont là pour voir ce qu'il s'est passé.

Ton problème ne vient pas seulement d'ipb s'il a vraiment eu un accès root : ton serveur web tourne surement avec l'userid nobody, s'il a pu dans un premier temps avoir un accès sur ta machine il lui a fallu exploiter une seconde faille pour avoir un accès admin.

Ce que tu dois faire en premier, c'est trouver comment il est entré, corriger cette brèche, puis vérifier qu'il n'a pas laissé un moyen ( rootkit ) de revenir sur ta machine.

[YvesB]

je sais pas si ca joue, mais pendant l'install du forum, j'ai ete etonné de voir que le champ password sql n'etait pas mis en format mot de passe. Enfin bon vous allez dire que je suis inconcient ... sinon je vous zip le code si vous pouvez y voir quelque chose de bizzar, mais bon a priori pas de fonction mail() : http://www.blogamax.net/forums/upload/sm_install.zip
(pas de panic c du php )

[Foxus]

700 ko de ficheirs logs, pas Mo

Pourtant les IPB son réputés etres sur...

[YvesB]

Non non 700 mo Cetait bourée darchives

[Foxus]

ouf ,presque 1 go...

c une encyclopédie lol

tu sais c'est comme une bouteille, tu la remplie, tu fout des UPSA, tu la rebouche et l'effervesence la fera craké, la c'est tellement plein que y a du avoir des fissures, failles... et voila

mais je pencherais pour un robot qui fait ça tous seul

ça c'est deja vu sur phpBB le meme type de msg...

[tom_sawyer]

I found out that the hole that was used was through awstats v6.2. They have a security alert on their site http://www.awstats.org

tu étais sur awstats ?

[arsenick]

Euh ...
Après ce genre de choses, il vaut mieux sortir la machine du réseau le plus rapidement possible.

Passer un coup de chkrootkit ... histoire de savoir un peu

il faut savoir qu'en général les binaires sont surchargés => tu ne vois rien alors que tu n'es plus seul sur ta machine (ps, w, .... sont bousillées)

Il faut impérativement ré installer la machine ...

[arsenick]

pour awstats, il faut effectivement passer à la 6.3 (4 ?) et dans tous les cas interdire la mise à jour via le web ...

[Zirone]

Ca a l'air courant avec eux:
http://www.google.fr/search?q=ImFlower& ... r:official

Le 4ème site de la page que tu donnes et qui c'est fait hacker est beaucoup moins drôle... déjà que cette personne a hacké le site, mais elle met encore des vidéos porno gay sur le site...
lamentable. Et euh... au dernière nouvelle je pense que tu t'ai fait crashé ton site... un hacker aurait exploité mais te l'aurai dit ...