Mon site a été hacké

[acamar]

Apparemment la vidéo enregistré n'utilise pas de codec (pas de compression) une vidéo native, une vidéo bitmap en quelque sorte !!!

[Revealer]

Ah d'accord, en effet l'affichage est saccadé, c'est nickel pour faire des vidéos de démonstration en tout cas.

[Victor BRITO]

Apparemment la vidéo enregistré n'utilise pas de codec (pas de compression) une vidéo native, une vidéo bitmap en quelque sorte !!!

Donc une compression encore meilleure. CQFD

[acamar]

C'est une compression a première vu bien meilleur car c'est déjà non compressé, contrairement à une vidéo divx ou un morceau mp3 qui utilise déjà des compressions (codecs), en conséquent on obtient pas grand chose même avec des rar ou des 7z les plus lents...


Ca y est, je suis accro lol !!!

[netsba]

la prochaine fois quand je parle au petit je lui demande pour la compression

[efz]

Pas le temps de lire tout le topic, mais ton hacker a installé un c99 shell, un php shell, il profite d'une faille de type remote inclusion de ton phpbb à mon avis (problème de variable dans la partie admin).

Il faut que tu lances la commande suivante déjà pour virer tous les php shell qu'il a pu installer :
grep -n -r "c99" *
Ca peut également être un autre php shell, mais d'après les images de la vidéo ce serait le c99.
Il a très bien pu dissimuler ce phpshell dans des fichiers qu'il aurait pu nommer image.jpg par exemple, donc soit vigilant. Ta maj a phpbb3 devrait te couvrir, je pense qu'il peut tjs te pirater car il a tjs un phpshell en place sur ton serveur.

Par ailleurs ce n'est absolument pas la faute de sivit, donc inutile de les mettre en cause. Il s'agit simplement de tes scripts open-source. C'est bien mais tout le monde a le code, donc il est plutot facile de trouver des failles... Et ce n'est jamais évident de garder les scripts à jour.

je me suis fait hacké a plusieurs reprises ces jours si, et après avoir vu sur le forum de sivit sur ce sujet http://forum.sivit.fr/viewtopic.php?id=8608 que le problème viens de chez nous comme quoi il y aurai des failles de sécurité des scripts de nos sites alors en urgence j'ai du passé :

- de phpbb2 (2.0.22 stable et très bien référencé) à phpbb3 avec un rewriting qui na rien avoir avec l'ancien et qui me prend prés de 100mo de plus sur la bdd et avec le template de base puisque j'ai pas eu le temps d'en faire un spécialement pour mon site et avec la possibilité de saturé mon espace web 2 fois plus vite que prévu.

- de spip 1.8 aussi tres bien referencé à 1.9.2 avec qui pas mal de scripts ne marchent plus comme la pagination des rubriques, et j'arrive pas a trouver un mod qui me met les articles de la forme article1.html à article0001.html comme avant(compatible avec gg actualité) donc je perd aussi 1000 pages de plus indexé chez google. aussi j'ai vidé sur ma bdd les tables des statistiques accumulé sur 2ans pour pouvoir gagné quelques méga de plus.

- après 2 jours de hackage intensif j'ai mis une redirection 301 de www.actudz.com vers algerie.actudz.com en pensant pouvoir arrêté le hacker qui d'apres moi utilisai tjr une faille dans mes scripts et pendant 1 journée plus hack et hop sa recommence.

conclusion j'ai etais obligé de négocier sur msn avec un jeune de 18 ans et me rabaissé a son niveau qui voulais que j'efface la rubrique sexualité de mon forum et religions. heureusement que c'etais un algérien comme moi et qu'il veux bien me laissé tranquille.

le nombre de mes visiteurs a significativement baissé ces derniers jours.

finalement, le hacker le 30 décembre m'explique que la faille finalement ne viens pas de chez moi il ma meme fait une video pour me montré son exploit http://dl.free.fr/mWk2CAOt6/actudzhacked.rar (le soir meme apres que j'avais sur mon espace qu'un phpbb fraichement installé et tres peux modifier et un spip a jour avec un template en html basique) alors la je suis fou de rage et je demande réparation et je trouve que je suis dans mon droit.

j'ai envoyé a sivit une copie de la video pour connaitre leurs version et demander réparation, et leur réponse la voila

Merci de votre avertissement, il s'agit en fait d'une faille dans votre cms
qui a permis l'implatation de code malicieux.

- Le pirate met en place ce code malicieux sur votre compte mutualisé
- Il execute ce code qui permet d'établir une connexion à son poste
- Il manipule les fichiers via une faille de php qui a été corrigé depuis
quelques jours déjà

Il en résulte néanmoins qu'a l'origine, cette situation est du à une faille
dans un cms et non pas directement de la structure du mutualisée.

La situation est maintenant corrigé selon les administrateurs des services
mutualisés.

Cordialement,

je veux bien les croire mais cette histoire dure bien depuis le 16 décembre d'après le poste chez sivit, et la soirée de 30 du mois étais encore pas colmaté.

j'ai perdu presque 100mo d'espace et maintenant je me retrouve a l'étroit alors que j'ai renouvelé mon hébergement pour 2ans il y a 6mois.

moi je voulais pas passé sur phpbb3 aussi rapidement et encore moins changé mes url du forum et perdre tout les pages indexé

j'ai aussi un problème de caractères sur le forum : les é sont remplacé par é si il y a une solution je suis preneur

qu'es que vous en pensez ?

[dd32]

ton hacker a installé un c99 shell, un php shell, il profite d'une faille de type remote inclusion de ton phpbb à mon avis (problème de variable dans la partie admin).

Par ailleurs ce n'est absolument pas la faute de sivit, donc inutile de les mettre en cause. Il s'agit simplement de tes scripts open-source. C'est bien mais tout le monde a le code, donc il est plutot facile de trouver des failles... Et ce n'est jamais évident de garder les scripts à jour.

Voilà une bonne explication que je me permets d'appuyer car cela m'est déjà arrivé, j'avais une application open source du nom de dotproject.
C'est fréquent et très facile à faire.
Donc prudence

[efz]

Il faut que tu lances la commande suivante déjà pour virer tous les php shell qu'il a pu installer :
grep -n -r "c99" *

Désolé, je "m'autocite" mais cette commande ne fera que lister les fichiers qui contiennent la chaine "c99". Lance la a la racine de ton serveur pour trouver les fichiers, ensuite, supprime les. Tu peux même jouer un vilain tour a ton hacker en remplacant ces fichiers par des s.aloperies puisqu'il risque de les relancer à nouveau

[efz]

Pour les gens un peu inquiets, ces quelques lignes à placer dans vos .htaccess ne vous feront pas de mal

Pour netsba, c'est surtout la 1ère ligne qui aurait pu le protéger.

Ca ne protège pas de tout, mais c'est déjà un petit plus.

Attention, je vous suggère de tester ces lignes avec précaution, cela peut affecter vos scripts (enfin vous n'aure qu'à commenter les lignes pour que tout rentre dans l'ordre).

Code: Tout sélectionner

RewriteCond %{REQUEST_URI} .*((php|my)?shell|remview.*|phpremoteview.*|sshphp.*|pcom|nstview.*|c99shell.*|r57shell.*|webadmin.*|phpget.*|phpwriter.*|fileditor.*)\.(php[3-9]{0,1}|txt) [NC,OR]
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)=/home(.+)?/web/DOSSIER_A_MODIFIER/(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^work_dir=.*$ [OR]
RewriteCond %{QUERY_STRING} ^command=.*&output.*$ [OR]
RewriteCond %{QUERY_STRING} ^c=(t|setup|codes)$ [OR]
RewriteCond %{QUERY_STRING} ^act=((about|cmd|selfremove|upload.*)|((chmod|f)&f=.*))$ [OR]
RewriteCond %{QUERY_STRING} ^act=(ls|search|fsbuff|encoder|tools|processes|ftpquickbrute|security|sql|eval|update|feedback|cmd|gofile|mkfile)&d=.*$ [OR]
RewriteCond %{QUERY_STRING} ^&?c=(l?v?i?&d=|v&fnot=|setup&ref=|l&r=|d&d=|tree&d|t&d=|e&d=|i&d=|codes|md5crack).*$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(cmd|command|[-_a-z]{1,15})=(ls|cd|cat|rm|mv|vim|chmod|chdir|mkdir|rmdir|pwd|clear|whoami|uname|tar|zip|unzip|tar|gzip|gunzip|grep|more|ln|umask|telnet|ssh|ftp|head|tail|which|mkmode|touch|logname|edit_file|search_text|find_text|php_eval|download_file|ftp_file_down|ftp_file_up|ftp_brute|mail_file|mysql|mysql_dump|db_query)([^a-zA-Z0-9].+)*$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(wget|shell_exec|passthru|system|exec|popen|proc_open)(.*)$
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$
RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^[0-9a-z]{15,}|^[0-9A-Za-z]{19,} [OR]


[Suede]

Est-ce que tu as supprimé tous tes fichiers avant de faire une ré-installation propre?

[efz]

C'est fréquent et très facile à faire.

C'est comme l'a dit dd32 très facile à faire, puisqu'il suffit de taper une URL


En revanche il est arrivé par le passé que des hébergeurs aient mal configuré des comptes de mutualisés, en gros il suffisait de pirater un compte mutualisé pour avoir un accès root sur le serveur mutualisé complet.


C'est comme cela que des pirates ont réussi en quelques minutes à pirater plus de 20.000 sites... Effrayant

[YoyoS]

je pense qu'il peut tjs te pirater car il a tjs un phpshell en place sur ton serveur.

Il dit qu'il est en mutualisé donc ce n'est pas son serveur non ?

[efz]

Si c'est un mutualisé ca ne change pas grand chose, le "hacker" (entre guillemets car ce genre de "hack" ne nécessite aucune connaissance) a simplement un phpshell sur son hébergement. Il doit avoir tous les droits sur le compte de netsba seulement.

[YoyoS]

Et comment expliquer que seulement les hébergements mutualisés sivit sont touchés ?

[efz]

N'importe quel hébergeur peut être touché... Cela m'est arrivé chez d'autres hébergeurs que Sivit