Mon site a été hacké

Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics

netsba
WRInaute discret
WRInaute discret
 
Messages: 220
Enregistré le: 17 Nov 2004

Mon site a été hacké

Message le Mer Jan 02, 2008 14:18

je me suis fait hacké a plusieurs reprises ces jours si, et après avoir vu sur le forum de sivit sur ce sujet http://forum.sivit.fr/viewtopic.php?id=8608 que le problème viens de chez nous comme quoi il y aurai des failles de sécurité des scripts de nos sites alors en urgence j'ai du passé :

- de phpbb2 (2.0.22 stable et très bien référencé) à phpbb3 avec un rewriting qui na rien avoir avec l'ancien et qui me prend prés de 100mo de plus sur la bdd et avec le template de base puisque j'ai pas eu le temps d'en faire un spécialement pour mon site et avec la possibilité de saturé mon espace web 2 fois plus vite que prévu.

- de spip 1.8 aussi tres bien referencé à 1.9.2 avec qui pas mal de scripts ne marchent plus comme la pagination des rubriques, et j'arrive pas a trouver un mod qui me met les articles de la forme article1.html à article0001.html comme avant(compatible avec gg actualité) donc je perd aussi 1000 pages de plus indexé chez google. aussi j'ai vidé sur ma bdd les tables des statistiques accumulé sur 2ans pour pouvoir gagné quelques méga de plus.

- après 2 jours de hackage intensif j'ai mis une redirection 301 de www.actudz.com vers algerie.actudz.com en pensant pouvoir arrêté le hacker qui d'apres moi utilisai tjr une faille dans mes scripts et pendant 1 journée plus hack et hop sa recommence.

conclusion j'ai etais obligé de négocier sur msn avec un jeune de 18 ans et me rabaissé a son niveau qui voulais que j'efface la rubrique sexualité de mon forum et religions. heureusement que c'etais un algérien comme moi et qu'il veux bien me laissé tranquille.

le nombre de mes visiteurs a significativement baissé ces derniers jours.

finalement, le hacker le 30 décembre m'explique que la faille finalement ne viens pas de chez moi il ma meme fait une video pour me montré son exploit http://dl.free.fr/mWk2CAOt6/actudzhacked.rar (le soir meme apres que j'avais sur mon espace qu'un phpbb fraichement installé et tres peux modifier et un spip a jour avec un template en html basique) alors la je suis fou de rage et je demande réparation et je trouve que je suis dans mon droit.

j'ai envoyé a sivit une copie de la video pour connaitre leurs version et demander réparation, et leur réponse la voila

Merci de votre avertissement, il s'agit en fait d'une faille dans votre cms
qui a permis l'implatation de code malicieux.

- Le pirate met en place ce code malicieux sur votre compte mutualisé
- Il execute ce code qui permet d'établir une connexion à son poste
- Il manipule les fichiers via une faille de php qui a été corrigé depuis
quelques jours déjà

Il en résulte néanmoins qu'a l'origine, cette situation est du à une faille
dans un cms et non pas directement de la structure du mutualisée.

La situation est maintenant corrigé selon les administrateurs des services
mutualisés.

Cordialement,


je veux bien les croire mais cette histoire dure bien depuis le 16 décembre d'après le poste chez sivit, et la soirée de 30 du mois étais encore pas colmaté.

j'ai perdu presque 100mo d'espace et maintenant je me retrouve a l'étroit :( alors que j'ai renouvelé mon hébergement pour 2ans il y a 6mois.

moi je voulais pas passé sur phpbb3 aussi rapidement et encore moins changé mes url du forum et perdre tout les pages indexé

j'ai aussi un problème de caractères sur le forum : les é sont remplacé par é si il y a une solution je suis preneur

qu'es que vous en pensez ?


e-kiwi
Modérateur
Modérateur
 
Messages: 15815
Enregistré le: 23 Déc 2003

Message le Mer Jan 02, 2008 14:26

change le jeu de caractère qui est en utf8 et qu'il faut mettre en Iso

ce que j en pense : toujours avoir la derniere version de PhpBB, ne pas attendre. :)

Koxin-L
WRInaute passionné
WRInaute passionné
 
Messages: 1925
Enregistré le: 29 Mar 2007

Message le Mer Jan 02, 2008 14:33

e-kiwi a écrit:ce que j en pense : toujours avoir la derniere version de PhpBB, ne pas attendre. :)

Parce que tu crois qu'une faille de la dernière V2 viens d'être découverte dès la sortie de la V3 ?


Moi, perso, j'aurai commencé par tout sauvegarder et de modifier script par script afin de trouver le vilain petit canard.
Certes, ça aurait fait merdé le site durant peut-être 3 ou 4 jours, mais tu aurais pas eu à le modifier totalement.

Victor BRITO
WRInaute occasionnel
WRInaute occasionnel
 
Messages: 423
Enregistré le: 21 Déc 2006

Message le Mer Jan 02, 2008 14:44

e-kiwi a écrit:change le jeu de caractère qui est en utf8 et qu'il faut mettre en Iso

C'est plutôt l'inverse, vu que phpBB 3 se base sur l'UTF-8.

Quant à la faille, il se peut qu'elle provienne de SPIP, vu que c'était ce CMS qui n'était pas à jour.

Meeuuuhhh
WRInaute passionné
WRInaute passionné
 
Messages: 2084
Enregistré le: 8 Jan 2007

Message le Mer Jan 02, 2008 15:05

Comme toujours le problème concerne les CMS et autres forums dont tout le monde à le code.

Tilt
WRInaute impliqué
WRInaute impliqué
 
Messages: 861
Enregistré le: 26 Mar 2005

Re: site hacké chez sivit

Message le Mer Jan 02, 2008 15:06

netsba a écrit:conclusion j'ai etais obligé de négocier sur msn avec un jeune de 18 ans et me rabaissé a son niveau qui voulais que j'efface la rubrique sexualité de mon forum et religions. heureusement que c'etais un algérien comme moi et qu'il veux bien me laissé tranquille.

C'est ça qui m'interpelle tout de suite.
Je trouve que ça mérite une petite explication d'homme à homme (avec une petite redirection 302 de sa tête vers ta main).

Moins prosaïquement, puisque tu as discuté avec lui et que tu souhaites être indemnisé, c'est à lui qu'il faut demander réparation.

netsba
WRInaute discret
WRInaute discret
 
Messages: 220
Enregistré le: 17 Nov 2004

Message le Mer Jan 02, 2008 16:33

le problème est qu'après avoir effacé tout le contenu de mon espace ftp (et non pas ma bdd) et avoir tout réinstallé je me suis fait haké encore et encore donc en conclusion l'erreur ne viens pas de mon site.

meme maintenant si le hackeur veux me hacké de nouveau je suis tjr a sa mercis

Koxin-L
WRInaute passionné
WRInaute passionné
 
Messages: 1925
Enregistré le: 29 Mar 2007

Message le Mer Jan 02, 2008 17:13

A tu pensé à modifier tout tes pass ?

A tu pensé que le hackeur à pu t'installé un trojan sur ton PC après avoir pris le contrôle de ton hébergement?

Perso, j'ai du mal à mettre en doute les affirmation de l'hébergeur sur ce coup.

netsba
WRInaute discret
WRInaute discret
 
Messages: 220
Enregistré le: 17 Nov 2004

Message le Mer Jan 02, 2008 19:58

et il a surement hacké que moi :lol:

http://www.google.com/search?hl=fr&clie ... ercher&lr=

sérieusement je ne sais pas quoi pensé.


YoyoS
WRInaute accro
WRInaute accro
 
Messages: 4024
Enregistré le: 14 Sep 2006

Message le Mer Jan 02, 2008 20:14

Bon c'est quoi la faille alors! Par reussi à choper l'archive pour voir ce que c'était.

netsba
WRInaute discret
WRInaute discret
 
Messages: 220
Enregistré le: 17 Nov 2004

Message le Mer Jan 02, 2008 20:57

voila la video http://algerie.actudz.com/actudz.rar pour ceux qui n'arrivent pas a l'avoir


YoyoS
WRInaute accro
WRInaute accro
 
Messages: 4024
Enregistré le: 14 Sep 2006

Message le Mer Jan 02, 2008 21:09

Et beh, c'est du joli avec quelle facilité il s'infiltre 0_o

netsba
WRInaute discret
WRInaute discret
 
Messages: 220
Enregistré le: 17 Nov 2004

Message le Mer Jan 02, 2008 22:01

Koxin-L a écrit:A tu pensé à modifier tout tes pass ?

envirent 5 fois minimum depuis le debut de l'attaque et le passe ftp n'est pas le meme que celui des bdd

Koxin-L a écrit:A tu pensé que le hackeur à pu t'installé un trojan sur ton PC après avoir pris le contrôle de ton hébergement?

non mais je le pense pas quoi que rien n'est sure

apres avoir tu repris depuis le debut je me fait encore hacké ! va comprendre comment il fait. mais vu que je suis pas le seul dans ce cas je pense pas qu'il s'agisse d'une faille dans phpbb ou spip


YoyoS
WRInaute accro
WRInaute accro
 
Messages: 4024
Enregistré le: 14 Sep 2006

Message le Mer Jan 02, 2008 22:31

Oui, c'est un trou de sécurité chez sivit, tu n'y es pour rien.

mahefarivony
WRInaute accro
WRInaute accro
 
Messages: 11405
Enregistré le: 14 Oct 2002

Message le Mer Jan 02, 2008 23:20

hum, j'hésites a le télécharger le .rar la.....
pas moyen de mettre ça sur youtube ? sinon y a quoi dessus ?

Il faut aussi vérifier que la BDD ne contienne pas de code malicieux : du html qui n'a rien a y faire, genre "<iframe src="

bon courage

Koxin-L
WRInaute passionné
WRInaute passionné
 
Messages: 1925
Enregistré le: 29 Mar 2007

Message le Mer Jan 02, 2008 23:51

Bon, j'ai save mes bases au cas ou...

:-)


YoyoS
WRInaute accro
WRInaute accro
 
Messages: 4024
Enregistré le: 14 Sep 2006

Message le Jeu Jan 03, 2008 1:05

Pas de problèmes avec l'archive hihi

Sauf si on peut mettre un virus à l'intérieur d'un .avi qui serait invisible au meilleur des antivirus :D

Elvis
WRInaute discret
WRInaute discret
 
Messages: 114
Enregistré le: 20 Mai 2005

Message le Jeu Jan 03, 2008 11:00

Tu peux pas regarder tes logs d'accès, ou demander à sivit de le faire pour identifier l'IP du gars ?
Si ça se trouve, tout bon hackeur qu'il est, il a laissé une trace de lui...


Suede
WRInaute accro
WRInaute accro
 
Messages: 3722
Enregistré le: 4 Oct 2002

Message le Jeu Jan 03, 2008 11:23

YoyoS a écrit:Oui, c'est un trou de sécurité chez sivit, tu n'y es pour rien.


A priori, c'est du combiné :
- Une faille dans spip pas mis à jour
- Une faille php qui a pu etre utilisée via la faille de spip

François


YoyoS
WRInaute accro
WRInaute accro
 
Messages: 4024
Enregistré le: 14 Sep 2006

Message le Jeu Jan 03, 2008 11:59

On dirait pourtant qu'il se connecte en root sur le serveur ! Une faille d'un cms sur l'espace d'un client peut donner accès à tout le serveur ??


Suede
WRInaute accro
WRInaute accro
 
Messages: 3722
Enregistré le: 4 Oct 2002

Message le Jeu Jan 03, 2008 12:35

Il s'agit de mutualisé donc pas d'acces root au serveur, juste à l'espace www. Si il utilise le mot de passe root pour ses sites et non pas un mot de passe par site, c'est facile de les recuperer.


YoyoS
WRInaute accro
WRInaute accro
 
Messages: 4024
Enregistré le: 14 Sep 2006

Message le Jeu Jan 03, 2008 12:47

Oue dans ce cas, il a surement un dédié parce qu'on le voit faire un cd /home/......./www/


Suede
WRInaute accro
WRInaute accro
 
Messages: 3722
Enregistré le: 4 Oct 2002

Message le Jeu Jan 03, 2008 14:04

YoyoS a écrit:Oue dans ce cas, il a surement un dédié parce qu'on le voit faire un cd /home/......./www/


S'il a un dédié, je ne vois pas ce que sivit a à faire dans son serveur : c'est à lui de mettre à jour son serveur. Mais en voyant le lien vers le forum de sivit, j'en déduirais qu'il a un mutualisé.


YoyoS
WRInaute accro
WRInaute accro
 
Messages: 4024
Enregistré le: 14 Sep 2006

Message le Jeu Jan 03, 2008 14:37

Donc il a réussi a avoir les accès root sur le mutualisé sivit ? :mrgreen: Je sais je suis chiant mais on tourne en rond la :lol:

Koxin-L
WRInaute passionné
WRInaute passionné
 
Messages: 1925
Enregistré le: 29 Mar 2007

Message le Jeu Jan 03, 2008 14:52

De toute façon, la méthode de hack est toujours la même.
Tentative via un script non sécurisé, tentative de récupération des pass du webmaster, etc... Le hack passant directement par l'herbergeur arrive bien après, sauf si c'est lui qui est visé.


Suede
WRInaute accro
WRInaute accro
 
Messages: 3722
Enregistré le: 4 Oct 2002

Message le Jeu Jan 03, 2008 14:56

ns, ce sont les mutu chez sivit donc c'est bien en sivit.
Et comme il l'a dit avant, c'est une faille php exploitée via une faille de spip.

netsba
WRInaute discret
WRInaute discret
 
Messages: 220
Enregistré le: 17 Nov 2004

Message le Jeu Jan 03, 2008 23:54

désolé du retard, oui c'est bien du mutualisé.

si c'est spip qui est incriminé, pourquoi apres avoir passé de la version 1.8 a la derniere version et apres avoir vidé tout mon compte ftp il pouvais encore entré modifier mes fichiers sans problèmes?

moi je pense que c'est plutot sivit qui fait pas correctement son travail.


Leonick
WRInaute accro
WRInaute accro
 
Messages: 22678
Enregistré le: 8 Aoû 2004

Message le Ven Jan 04, 2008 0:31

netsba a écrit:désolé du retard, oui c'est bien du mutualisé.

si c'est spip qui est incriminé, pourquoi apres avoir passé de la version 1.8 a la derniere version et apres avoir vidé tout mon compte ftp il pouvais encore entré modifier mes fichiers sans problèmes?
et changé de password pour le ftp et sécurisé tous les répertoires admin ?

netsba
WRInaute discret
WRInaute discret
 
Messages: 220
Enregistré le: 17 Nov 2004

Message le Ven Jan 04, 2008 0:59

deja répondu, j'ai repris a zero avec des pass neuf et la meme bdd, j'ai changer tout les fichiers.

Victor BRITO
WRInaute occasionnel
WRInaute occasionnel
 
Messages: 423
Enregistré le: 21 Déc 2006

Message le Ven Jan 04, 2008 2:22

netsba a écrit:deja répondu, j'ai repris a zero avec des pass neuf et la meme bdd, j'ai changer tout les fichiers.

Je me demande s'il n'utiliserait pas une faille située ailleurs que dans tes CMS... :roll:


Formation recommandée sur ce thème :

Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.

Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.