Messages: 562

Enregistré le: 2 Nov 2004

Message le Sam Avr 07, 2007 23:19

Bonsoir,

Mon site www.alexandra-lloyd.com est en train d'être hacké par "devil".
Je dis "en train" parceque je viens de remplacer les pages index.htm qui ont été changées, et entre temps il les a encore remplacé.

Sur sa page (index.htm) il est écrit "YouR Site HaCkeD By DeviL AnD Saudi Spy"

Le site est hébergé chez sivit.fr

J'ai l'impression que c'est automatique, que tout fichier commencant par index* est remplacé par le sien.
Ce serait pas un virus chez sivit?

Merci pour votre aide.
Fred
Haut
106 Réponses
Messages: 6410

Enregistré le: 5 Juil 2004

Message le Sam Avr 07, 2007 23:23

-> http://www.fire-soft-board.com/fsb/sujet-6536-1.html
Haut
Messages: 562

Enregistré le: 2 Nov 2004

Message le Sam Avr 07, 2007 23:31

Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup
Haut
Messages: 1006

Enregistré le: 4 Juin 2005

Message le Sam Avr 07, 2007 23:34

J'ai vu un site hacké de la même manière, il y'a quelques minutes, c'est un wrinaute aussi (je fouillais dans l'annu !)

Sinon bon courage
Haut
Messages: 629

Enregistré le: 10 Mai 2004

Message le Sam Avr 07, 2007 23:40

fredm a écrit:Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup


J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti :? .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?
Haut
Messages: 6410

Enregistré le: 5 Juil 2004

Message le Sam Avr 07, 2007 23:41

Merci pour les infos.

Je suis chez sivit en dédié mais je fais quand même une backup en vitesse au cas ou.

Je vous conseille de faire de même.
Haut
Messages: 562

Enregistré le: 2 Nov 2004

Message le Sam Avr 07, 2007 23:50

non apparemment le virus remplace tous les fichier index* par le sien, donc il faut parcourir tous les répertoire pour le remplacer.
La base de donnée n'est pas affectée.
Il y a un javascript dedans qui semble générer les pages.

Voici le contenu de ce fichier:

Code: Tout sélectionner
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0036)http://www.diarioprimerahora.com.ar/ -->
<!-- saved from url=(0027)http://myadsensesecret.com/ --><HTML><HEAD><TITLE>Hacked By DeviL </TITLE><META http-equiv=Content-Type content="text/html; charset=windows-1256"><STYLE>BODY {
   SCROLLBAR-FACE-COLOR: #000000; SCROLLBAR-HIGHLIGHT-COLOR: #ff0000; SCROLLBAR-SHADOW-COLOR: #ff0000; SCROLLBAR-3DLIGHT-COLOR: #ff0000; SCROLLBAR-ARROW-COLOR: #ff0000; SCROLLBAR-TRACK-COLOR: #000000; SCROLLBAR-DARKSHADOW-COLOR: #ff0000
}
</STYLE><STYLE>.page {
   BACKGROUND: #000000; FONT: bold 12pt arial,verdana,helvetica,sans-serif; COLOR: #acacac
}
</STYLE><META content="MSHTML 6.00.2900.2180" name=GENERATOR><TITLE></TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1256">
<META content="MSHTML 6.00.2900.2180" name=GENERATOR>
<META content="Microsoft FrontPage 6.0" name=GENERATOR>
<META content=FrontPage.Editor.Document name=ProgId><TITLE>.:: HaCkeD By DeviL ::.</TITLE><META http-equiv=Content-Type content="text/html; charset=windows-1256"><META content="MSHTML 6.00.2900.2180" name=GENERATOR><STYLE>.layermensaje {
   FONT-SIZE: 10pt; COLOR: #ff0000; LINE-HEIGHT: 10pt; FONT-FAMILY: "Courier New"
}
</STYLE><TITLE>Hacked By DeviL </TITLE>
<META http-equiv=Content-Type content="text/html; charset=windows-1256">
<STYLE>BODY {
   SCROLLBAR-FACE-COLOR: #000000; SCROLLBAR-HIGHLIGHT-COLOR: #ff0000; SCROLLBAR-SHADOW-COLOR: #ff0000; SCROLLBAR-3DLIGHT-COLOR: #ff0000; SCROLLBAR-ARROW-COLOR: #ff0000; SCROLLBAR-TRACK-COLOR: #000000; SCROLLBAR-DARKSHADOW-COLOR: #ff0000
}</STYLE>
<STYLE>.page {
   BACKGROUND: #000000; FONT: bold 12pt arial,verdana,helvetica,sans-serif; COLOR: #acacac
}
</STYLE>


<META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD>
<BODY bgColor=#000000 leftMargin=0 topMargin=0 marginwidth="0" marginheight="0" background>
<P dir=rtl
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed"
align=center><img border="0" src="kanakisi.gif" width="532" height="24"><img border="0" src="578d9466c1.gif" width="475" height="40">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<FONT style="FONT-SIZE: 1pt; font-weight:700" face="Courier New">
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>X::</FONT><FONT face="ACS  Almass Extra Bold" color=#ffffff size=6> </FONT>
<font face="ACS  Almass Extra Bold" size="6" color="#99CC00">D</font><font face="ACS  Almass Extra Bold" size="6" color="#FF0000">e</font><font face="ACS  Almass Extra Bold" size="6" color="#99CC00">v</font><font face="ACS  Almass Extra Bold" size="6" color="#FF0000">i</font><font face="ACS  Almass Extra Bold" size="6" color="#99CC00">L</font><FONT face="ACS  Almass Extra Bold"
color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold"
color=#99CC00 size=6> ::X</FONT></FONT></p>
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<span style="font-weight: 700">
<font face="ACS  Almass Extra Bold" size="6" color="#99CC00">&amp;</font></span></p>
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
<FONT style="FONT-SIZE: 1pt; font-weight:700" face="Courier New">
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>X::</FONT><FONT face="ACS  Almass Extra Bold" color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6> S</FONT><FONT face="ACS  Almass Extra Bold" color=#FF0000 size=6>a</FONT><FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>u</FONT><FONT face="ACS  Almass Extra Bold" color=#FF0000 size=6>d</FONT><FONT face="ACS  Almass Extra Bold" color=#99CC00 size=6>i</FONT><FONT
face="ACS  Almass Extra Bold" color=#ff0000 size=6> </FONT>
<FONT
face="ACS  Almass Extra Bold" color=#99CC00 size=6> S</FONT><FONT
face="ACS  Almass Extra Bold" color=#FF0000 size=6>p</FONT><FONT
face="ACS  Almass Extra Bold" color=#99CC00 size=6>y</FONT><FONT face="ACS  Almass Extra Bold"
color=#ffffff size=6> </FONT>
<FONT face="ACS  Almass Extra Bold"
color=#99CC00 size=6> ::X</FONT></FONT></p>
<p dir="rtl" style="direction: rtl; text-indent: -18.75pt; unicode-bidi: embed; margin-right: 36.75pt" align="center">
&nbsp;</p>
<P dir=rtl
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed"
align=center><img border="0" src="578d9466c1.gif" width="475" height="40"><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">&nbsp;<HTML><BODY bgColor=#000000 onload=teclear(); background></BODY></HTML><img border="0" src="kanakisi.gif" width="532" height="24"><P dir=rtl
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed"
align=center>
<OBJECT height=0 width=0 align=right
classid=clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA><PARAM NAME="controls" VALUE="PlayButton"><PARAM NAME="autostart" VALUE="-1">
   <PARAM NAME="src" VALUE="http://www.bahraindrag.com/M6roDe.ram" ref><PARAM NAME="SHUFFLE" VALUE="0"><PARAM NAME="PREFETCH" VALUE="0"><PARAM NAME="NOLABELS" VALUE="0"><PARAM NAME="LOOP" VALUE="0"><PARAM NAME="NUMLOOP" VALUE="0"><PARAM NAME="CENTER" VALUE="0"><PARAM NAME="MAINTAINASPECT" VALUE="0"><PARAM NAME="BACKGROUNDCOLOR" VALUE="#000000"><PARAM NAME="_ExtentX" VALUE="609"><PARAM NAME="_ExtentY" VALUE="661"></OBJECT><img border="0" src="saudieye.jpg" width="225" height="200">ONT-SIZ<HTML><HTML><HTML><BODY bgColor=#000000 leftMargin=0 topMargin=0 marginwidth="0" marginheight="0" background><P align=center><B><FONT size=5> &nbsp;</FONT></B><SCRIPT language=JavaScript>
if (document.all){
Cols=10;
Cl=24;
Cs=100;
Ts=10;
Tc='#ff0000';
Tc1='#ff0000';
MnS=5;
MxS=10;
I=Cs;
Sp=new Array();S=new Array();Y=new Array();
C=new Array();M=new Array();B=new Array();
RC=new Array();E=new Array();Tcc=new Array(0,1);
document.write("<div id='Container' style='position:absolute;top:0;left:-"+Cs+"'>");
document.write("<div style='position:relative'>");
for(i=0; i < Cols; i++){
S[i]=I+=Cs;
document.write("<div id='A' style='position:absolute;top:0;font-family:Arial;font-size:"
+Ts+"px;left:"+S[i]+";width:"+Ts+"px;height:0px;color:"+Tc+";visibility:hidden'></div>");
}
document.write("</div></div>");


for(j=0; j < Cols; j++){
RC[j]=1+Math.round(Math.random()*Cl); 
Y[j]=0;
Sp[j]=Math.round(MnS+Math.random()*MxS);
for(i=0; i < RC[j]; i++){
 B[i]='';
 C[i]=Math.round(Math.random()*1)+' ';
 M[j]=B[0]+=C[i];

 }
}
function Cycle(){
Container.style.top=window.document.body.scrollTop;
for (i=0; i < Cols; i++){
var r = Math.floor(Math.random()*Tcc.length);
E[i] = '<font color='+Tc1+'>'+Tcc[r]+'</font>';
Y[i]+=Sp[i];


if (Y[i] > window.document.body.clientHeight){
 for(i2=0; i2 < Cols; i2++){
 RC[i2]=1+Math.round(Math.random()*Cl); 
 for(i3=0; i3 < RC[i2]; i3++){
 B[i3]='';
 C[i3]=Math.round(Math.random()*1)+' ';
 C[Math.floor(Math.random()*i2)]=' '+' ';
 M[i]=B[0]+=C[i3];
 Y[i]=-Ts*M[i].length/1.5;
 A[i].style.visibility='visible';
 }
 Sp[i]=Math.round(MnS+Math.random()*MxS);
 }
}
A[i].style.top=Y[i];
A[i].innerHTML=M[i]+' '+E[i]+' ';
}
setTimeout('Cycle()',20)
}
Cycle();
}
// -->
</SCRIPT><SCRIPT src="Hacked By DeviL "
type=text/javascript>
</SCRIPT><SCRIPT type=text/javascript>
_uacct = "UA-231925-2";
_udn="jeeran.com";
urchinTracker();
</SCRIPT><SCRIPT src="Hacked By DeviL "
type=text/javascript>
</SCRIPT><P>&nbsp;</P></BODY></HTML>
<HTML>
<BODY bgColor=#000000 onload=teclear(); background>
<FONT style="FONT-SIZE: 1pt"
face="Courier New" color=#66ff33>
&nbsp;<SCRIPT language=javascript>
<!--
// mensaje elite
mensaje=
 
'<p align="lef"><font size="2" face="Courier New">Connecting To The Server, Please Wait . . . . . .  </font></p>'+'     <br>'+
'<br>           '+
'YouR Site HaCkeD By DeviL AnD Saudi Spy<br>'+
'                    <br>'+
'CoNtAcT Me : DeviL-HackEr-x@hotmail.com   or saudi.spy@hotmail.com       <br>           '+
' '+
'                    <br>'+
'DonT Tell Me To Stop<br <br>'+


' <br>'+
' NoW iM tHe CoNtRoLlER & ThE LeADeR <br>'+
'  <br>'+


'   <br>'+
'sh-2.05b$ E x i t <br>'+
'<p align="center"> <b><font size="3">   "Copyright © DeviL 2007"          </font></b> <br>'
line=0
cursor='_'
function teclear(){
if(line==mensaje.length) cursor=''
ttecleado.innerHTML=mensaje.substring(0,line)+cursor
if(line++<mensaje.length) setTimeout("teclear()",60)
}
//-->
</SCRIPT></FONT><DIV class=layermensaje id=ttecleado ?>
   <p align="left"></DIV>
<p align="left">
</FONT>
</p>
<P align="left"></P>
<p align="center">
<SCRIPT src="../_%20HaCkeD%20By%20sabirano_files/weborama.js"
type=text/javascript></SCRIPT>


<SCRIPT type=text/javascript>
<!--
if (top != self) { top.document.title = document.title; document.body.onunload=top.frames[0].location.href=p; rnd=Math.floor(Math.random()*1000); var b=(''+location.hostname).split('.'); s=b[b.length-3] + '.' + b[b.length-2] + '.' +b[b.length-1]; image_stat = new Image(); image_stat.src = 'http://82.196.5.35/i.php?s=' + s + '&' + rnd; }
-->
</SCRIPT>
</BODY></HTML>
&nbsp;</P>
<P dir=rtl
style="DIRECTION: rtl; TEXT-INDENT: -18.75pt; MARGIN-RIGHT: 36.75pt; unicode-bidi: embed"
align=center>&nbsp;</P>


<P align="center">&nbsp;</P></BODY></HTML>
Haut
Messages: 418

Enregistré le: 12 Fév 2005

Message le Dim Avr 08, 2007 0:04

fredm a écrit:Bonsoir,

Mon site www.alexandra-lloyd.com est en train d'être hacké par "devil".
Je dis "en train" parceque je viens de remplacer les pages index.htm qui ont été changées, et entre temps il les a encore remplacé.


Tu peux remettre ton fichier index et retirer tous les droits en écriture même le proprio pour voir. Chmod 444 ou que lecture lecture lecture avec ton client FTP

Pour les serveurs linux, bsd, etc.. :

chattr +i index.html pour un verrouillage

Ou mieux chattr -R +i /repweb pour un verrouillage recursif

Pour déverrouiller : chattr -i index.html

chattr -R -i /repweb
Modifié en dernier par MirageDemonAsh le Dim Avr 08, 2007 0:09, modifié 3 fois.
Haut
Messages: 629

Enregistré le: 10 Mai 2004

Message le Dim Avr 08, 2007 0:06

Ok :D et bien si chaque site doit remettre tous ses fichiers index, il va y avoir du boulot :cry: , enfin pour l'instant aucun de mes sites n'est touché je suis sur le sql4 et 5 et vous ?
Haut
Messages: 688

Enregistré le: 16 Juin 2003

Message le Dim Avr 08, 2007 0:18

Daktari a écrit:
fredm a écrit:Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup


J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti :? .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?


lundi c'est férié ...
Haut
Messages: 629

Enregistré le: 10 Mai 2004

Message le Dim Avr 08, 2007 0:21

mx a écrit:
Daktari a écrit:
fredm a écrit:Apparemment ils se sont chopé un virus qui contamine les serveurs... en plus c'est samedi soir là

J'ai un autre hébergeur mais vu le temps de la propagation des DNS, je sais pas si ca vaut le coup


J'ai toujours envoyé un ticket au support mais s'ils ne l'ouvrent que lundi on est mal parti :? .

Quelqu'un à des infos sur ce virus ? Il remplace juste des fichiers ou il touche aussi les bases de données ?


lundi c'est férié ...


En plus :? , je me demande si c'est le hazard que ce virus frappe justement durant un long week-end ?
Haut
Messages: 562

Enregistré le: 2 Nov 2004

Message le Dim Avr 08, 2007 0:24

ben ce sera l'occasion de voir s'ils vont sivit que çà...

J'ai changé les attributs en lecture uniquement, je vais voir ce que ca donne très bientôt car les fichier sont apparemment changés toutes les heures. Je vais pas non plus me lever toutes les heures cette nuit, on est pas des sauvages !
Haut
Messages: 1467

Enregistré le: 28 Aoû 2005

Message le Dim Avr 08, 2007 0:28

Dur !

En attendant que Sivit corrige cela, faudrait peut être par mesure de sécurité, fermer avec Deny votre boutique ?
Haut
Messages: 6410

Enregistré le: 5 Juil 2004

Message le Dim Avr 08, 2007 0:28

Si le virus s'execute en ROOT il n'y a rien a faire.

Il faudra pour sivit certainement formater les serveurs.

Sinon le chmod devrait suffir.


Quoique si la chose est maline...
Haut
Messages: 1467

Enregistré le: 28 Aoû 2005

Message le Dim Avr 08, 2007 0:36

-http://forum.sivit.fr/
ça fait peur quand même ! :?
Haut
Messages: 3915

Enregistré le: 18 Sep 2004

Message le Dim Avr 08, 2007 0:37

fredm>si, changer le champ A des DNS peut valoir le coup. En général, les TTL sont réglés sur une heure, donc le temps de propagation compensé par le temps du "rehack", tu peux arriver à bien limiter la casse.
Haut
Messages: 2308

Enregistré le: 29 Avr 2006

Message le Dim Avr 08, 2007 0:41

david96 a écrit:-http://forum.sivit.fr/
ça fait peur quand même ! :?


Ah ouais...quand même 8O

Il faudrait peut être changer le titre de ce message par "attention aux propriétaires de sites chez Sivit" ou quelques choses du genre non car elle a l'air de faire des ravages cette salo***rie :evil:
Haut
Messages: 1467

Enregistré le: 28 Aoû 2005

Message le Dim Avr 08, 2007 0:43

keroin a écrit:Il faudrait peut être changer le titre de ce message par "attention aux propriétaires de sites chez Sivit" ou quelques choses du genre non car elle a l'air de faire des ravages cette salo***rie :evil:

+1 (Recommander aussi ce topic en passant...)
Haut
Messages: 6410

Enregistré le: 5 Juil 2004

Message le Dim Avr 08, 2007 0:44

Hey les gars j'ai son ip :lol:


127.0.0.1 8)


Chui un lamerz !


:lol: :lol: :lol:



Pause détente du sujet :-).

(Oui je sort)
Haut
Messages: 629

Enregistré le: 10 Mai 2004

Message le Dim Avr 08, 2007 0:47

Quelqu'un en France a-t-il téléphoné à Sivit ? :wink:

Notez que ça aurait été plus marrant si les hackers nous avaient mis des oeufs comme images :lol: .
Haut
Messages: 220

Enregistré le: 17 Nov 2004

Message le Dim Avr 08, 2007 1:35

mon site aussi as etais touché par ce virus !

je viens de parler au haker sur msn, il comprend pas le français.

il parle arabe et englais et il dit qu'il as 18ans et qu'ils viens d'arabie saoudite
Haut
Messages: 562

Enregistré le: 2 Nov 2004

Message le Dim Avr 08, 2007 1:40

pour info, le changement d'attributs en 444 n'a rien fait, j'ai donc changé de DNS. Fait chier cette histoire.
Haut
Messages: 6410

Enregistré le: 5 Juil 2004

Message le Dim Avr 08, 2007 1:48

Le virus s'exécute très probablement en root.

Il faudra attendre que sivit réagisse ;-).
Haut
Messages: 893

Enregistré le: 24 Nov 2005

Message le Dim Avr 08, 2007 1:54

J'espère que leur dernière backup ne date pas de Septembre 2005 :)
Haut
Messages: 1467

Enregistré le: 28 Aoû 2005

Message le Dim Avr 08, 2007 1:58

netsba a écrit:mon site aussi as etais touché par ce virus !

je viens de parler au haker sur msn, il comprend pas le français.

il parle arabe et englais et il dit qu'il as 18ans et qu'ils viens d'arabie saoudite

Et... Il t'a donné les raisons de son exploit ? Est-ce qu'il ne vise que Sivit ? etc...
Haut
Messages: 6410

Enregistré le: 5 Juil 2004

Message le Dim Avr 08, 2007 2:00

bozoleclown a écrit:J'espère que leur dernière backup ne date pas de Septembre 2005 :)


Les backups des sites c'est aux webmasters de les faire :-)
Haut
Messages: 22

Enregistré le: 2 Mar 2007

Message le Dim Avr 08, 2007 2:00

La situation à l'air de se reparer,
le forum n'affiche plus qu'un message d'erreur =)

D'aprés leur chan IRC,
ça vient d'une mise à jour non faites de punBB :

<Chojin> une mise a jour pas a jour du forum, pas bien grave :)
<nalrem> Ca a pas touché d'autres hébergements ?
<Chojin> non. safe mode, utilisateur séparé, etc. Ca reste un site web, meme s'il s'agit du forum

<Hairai> oki, donc les autres sites defacés avaient aussi un punbb pas à jour ?
<Chojin> Hairai: oui, ou phpbb
<Chojin> plus courant lui


Donc voilà, mettez vos forums à jour =)
Modifié en dernier par Hairai le Dim Avr 08, 2007 2:12, modifié 1 fois.
Haut
Messages: 220

Enregistré le: 17 Nov 2004

Message le Dim Avr 08, 2007 2:08

david96 a écrit:Et... Il t'a donné les raisons de son exploit ? Est-ce qu'il ne vise que Sivit ? etc...
a 18 ans je crois pas que ca soit un poseur de bombes :lol:

le challenge de mettre a sac un grand hebergeur ne suffit pas?
Haut
Messages: 562

Enregistré le: 2 Nov 2004

Message le Dim Avr 08, 2007 2:16

Manifestement sivit réagit puisque leur forum est passé en "403 Forbidden".
Haut
Messages: 1467

Enregistré le: 28 Aoû 2005

Message le Dim Avr 08, 2007 2:36

Cool, doit y'avoir une maintenance d'urgence ! :D
Haut