Messages: 220

Enregistré le: 17 Nov 2004

Message le Mer Jan 02, 2008 15:18

je me suis fait hacké a plusieurs reprises ces jours si, et après avoir vu sur le forum de sivit sur ce sujet http://forum.sivit.fr/viewtopic.php?id=8608 que le problème viens de chez nous comme quoi il y aurai des failles de sécurité des scripts de nos sites alors en urgence j'ai du passé :

- de phpbb2 (2.0.22 stable et très bien référencé) à phpbb3 avec un rewriting qui na rien avoir avec l'ancien et qui me prend prés de 100mo de plus sur la bdd et avec le template de base puisque j'ai pas eu le temps d'en faire un spécialement pour mon site et avec la possibilité de saturé mon espace web 2 fois plus vite que prévu.

- de spip 1.8 aussi tres bien referencé à 1.9.2 avec qui pas mal de scripts ne marchent plus comme la pagination des rubriques, et j'arrive pas a trouver un mod qui me met les articles de la forme article1.html à article0001.html comme avant(compatible avec gg actualité) donc je perd aussi 1000 pages de plus indexé chez google. aussi j'ai vidé sur ma bdd les tables des statistiques accumulé sur 2ans pour pouvoir gagné quelques méga de plus.

- après 2 jours de hackage intensif j'ai mis une redirection 301 de www.actudz.com vers algerie.actudz.com en pensant pouvoir arrêté le hacker qui d'apres moi utilisai tjr une faille dans mes scripts et pendant 1 journée plus hack et hop sa recommence.

conclusion j'ai etais obligé de négocier sur msn avec un jeune de 18 ans et me rabaissé a son niveau qui voulais que j'efface la rubrique sexualité de mon forum et religions. heureusement que c'etais un algérien comme moi et qu'il veux bien me laissé tranquille.

le nombre de mes visiteurs a significativement baissé ces derniers jours.

finalement, le hacker le 30 décembre m'explique que la faille finalement ne viens pas de chez moi il ma meme fait une video pour me montré son exploit http://dl.free.fr/mWk2CAOt6/actudzhacked.rar (le soir meme apres que j'avais sur mon espace qu'un phpbb fraichement installé et tres peux modifier et un spip a jour avec un template en html basique) alors la je suis fou de rage et je demande réparation et je trouve que je suis dans mon droit.

j'ai envoyé a sivit une copie de la video pour connaitre leurs version et demander réparation, et leur réponse la voila

Merci de votre avertissement, il s'agit en fait d'une faille dans votre cms
qui a permis l'implatation de code malicieux.

- Le pirate met en place ce code malicieux sur votre compte mutualisé
- Il execute ce code qui permet d'établir une connexion à son poste
- Il manipule les fichiers via une faille de php qui a été corrigé depuis
quelques jours déjà

Il en résulte néanmoins qu'a l'origine, cette situation est du à une faille
dans un cms et non pas directement de la structure du mutualisée.

La situation est maintenant corrigé selon les administrateurs des services
mutualisés.

Cordialement,


je veux bien les croire mais cette histoire dure bien depuis le 16 décembre d'après le poste chez sivit, et la soirée de 30 du mois étais encore pas colmaté.

j'ai perdu presque 100mo d'espace et maintenant je me retrouve a l'étroit :( alors que j'ai renouvelé mon hébergement pour 2ans il y a 6mois.

moi je voulais pas passé sur phpbb3 aussi rapidement et encore moins changé mes url du forum et perdre tout les pages indexé

j'ai aussi un problème de caractères sur le forum : les é sont remplacé par é si il y a une solution je suis preneur

qu'es que vous en pensez ?
Haut
75 Réponses
Messages: 15815

Enregistré le: 23 Déc 2003

Message le Mer Jan 02, 2008 15:26

change le jeu de caractère qui est en utf8 et qu'il faut mettre en Iso

ce que j en pense : toujours avoir la derniere version de PhpBB, ne pas attendre. :)
Haut
Messages: 1925

Enregistré le: 29 Mar 2007

Message le Mer Jan 02, 2008 15:33

e-kiwi a écrit:ce que j en pense : toujours avoir la derniere version de PhpBB, ne pas attendre. :)

Parce que tu crois qu'une faille de la dernière V2 viens d'être découverte dès la sortie de la V3 ?


Moi, perso, j'aurai commencé par tout sauvegarder et de modifier script par script afin de trouver le vilain petit canard.
Certes, ça aurait fait merdé le site durant peut-être 3 ou 4 jours, mais tu aurais pas eu à le modifier totalement.
Haut
Messages: 423

Enregistré le: 21 Déc 2006

Message le Mer Jan 02, 2008 15:44

e-kiwi a écrit:change le jeu de caractère qui est en utf8 et qu'il faut mettre en Iso

C'est plutôt l'inverse, vu que phpBB 3 se base sur l'UTF-8.

Quant à la faille, il se peut qu'elle provienne de SPIP, vu que c'était ce CMS qui n'était pas à jour.
Haut
Messages: 2084

Enregistré le: 8 Jan 2007

Message le Mer Jan 02, 2008 16:05

Comme toujours le problème concerne les CMS et autres forums dont tout le monde à le code.
Haut
Messages: 861

Enregistré le: 26 Mar 2005

Message le Mer Jan 02, 2008 16:06

Re: site hacké chez sivit

netsba a écrit:conclusion j'ai etais obligé de négocier sur msn avec un jeune de 18 ans et me rabaissé a son niveau qui voulais que j'efface la rubrique sexualité de mon forum et religions. heureusement que c'etais un algérien comme moi et qu'il veux bien me laissé tranquille.

C'est ça qui m'interpelle tout de suite.
Je trouve que ça mérite une petite explication d'homme à homme (avec une petite redirection 302 de sa tête vers ta main).

Moins prosaïquement, puisque tu as discuté avec lui et que tu souhaites être indemnisé, c'est à lui qu'il faut demander réparation.
Haut
Messages: 220

Enregistré le: 17 Nov 2004

Message le Mer Jan 02, 2008 17:33

le problème est qu'après avoir effacé tout le contenu de mon espace ftp (et non pas ma bdd) et avoir tout réinstallé je me suis fait haké encore et encore donc en conclusion l'erreur ne viens pas de mon site.

meme maintenant si le hackeur veux me hacké de nouveau je suis tjr a sa mercis
Haut
Messages: 1925

Enregistré le: 29 Mar 2007

Message le Mer Jan 02, 2008 18:13

A tu pensé à modifier tout tes pass ?

A tu pensé que le hackeur à pu t'installé un trojan sur ton PC après avoir pris le contrôle de ton hébergement?

Perso, j'ai du mal à mettre en doute les affirmation de l'hébergeur sur ce coup.
Haut
Messages: 220

Enregistré le: 17 Nov 2004

Message le Mer Jan 02, 2008 20:58

et il a surement hacké que moi :lol:

http://www.google.com/search?hl=fr&clie ... ercher&lr=

sérieusement je ne sais pas quoi pensé.
Haut
Messages: 4024

Enregistré le: 14 Sep 2006

Message le Mer Jan 02, 2008 21:14

Bon c'est quoi la faille alors! Par reussi à choper l'archive pour voir ce que c'était.
Haut
Messages: 220

Enregistré le: 17 Nov 2004

Message le Mer Jan 02, 2008 21:57

voila la video http://algerie.actudz.com/actudz.rar pour ceux qui n'arrivent pas a l'avoir
Haut
Messages: 4024

Enregistré le: 14 Sep 2006

Message le Mer Jan 02, 2008 22:09

Et beh, c'est du joli avec quelle facilité il s'infiltre 0_o
Haut
Messages: 220

Enregistré le: 17 Nov 2004

Message le Mer Jan 02, 2008 23:01

Koxin-L a écrit:A tu pensé à modifier tout tes pass ?

envirent 5 fois minimum depuis le debut de l'attaque et le passe ftp n'est pas le meme que celui des bdd

Koxin-L a écrit:A tu pensé que le hackeur à pu t'installé un trojan sur ton PC après avoir pris le contrôle de ton hébergement?

non mais je le pense pas quoi que rien n'est sure

apres avoir tu repris depuis le debut je me fait encore hacké ! va comprendre comment il fait. mais vu que je suis pas le seul dans ce cas je pense pas qu'il s'agisse d'une faille dans phpbb ou spip
Haut
Messages: 4024

Enregistré le: 14 Sep 2006

Message le Mer Jan 02, 2008 23:31

Oui, c'est un trou de sécurité chez sivit, tu n'y es pour rien.
Haut
Messages: 11405

Enregistré le: 14 Oct 2002

Message le Jeu Jan 03, 2008 0:20

hum, j'hésites a le télécharger le .rar la.....
pas moyen de mettre ça sur youtube ? sinon y a quoi dessus ?

Il faut aussi vérifier que la BDD ne contienne pas de code malicieux : du html qui n'a rien a y faire, genre "<iframe src="

bon courage
Haut
Messages: 1925

Enregistré le: 29 Mar 2007

Message le Jeu Jan 03, 2008 0:51

Bon, j'ai save mes bases au cas ou...

:-)
Haut
Messages: 4024

Enregistré le: 14 Sep 2006

Message le Jeu Jan 03, 2008 2:05

Pas de problèmes avec l'archive hihi

Sauf si on peut mettre un virus à l'intérieur d'un .avi qui serait invisible au meilleur des antivirus :D
Haut
Messages: 114

Enregistré le: 20 Mai 2005

Message le Jeu Jan 03, 2008 12:00

Tu peux pas regarder tes logs d'accès, ou demander à sivit de le faire pour identifier l'IP du gars ?
Si ça se trouve, tout bon hackeur qu'il est, il a laissé une trace de lui...
Haut
Messages: 3722

Enregistré le: 4 Oct 2002

Message le Jeu Jan 03, 2008 12:23

YoyoS a écrit:Oui, c'est un trou de sécurité chez sivit, tu n'y es pour rien.


A priori, c'est du combiné :
- Une faille dans spip pas mis à jour
- Une faille php qui a pu etre utilisée via la faille de spip

François
Haut
Messages: 4024

Enregistré le: 14 Sep 2006

Message le Jeu Jan 03, 2008 12:59

On dirait pourtant qu'il se connecte en root sur le serveur ! Une faille d'un cms sur l'espace d'un client peut donner accès à tout le serveur ??
Haut
Messages: 3722

Enregistré le: 4 Oct 2002

Message le Jeu Jan 03, 2008 13:35

Il s'agit de mutualisé donc pas d'acces root au serveur, juste à l'espace www. Si il utilise le mot de passe root pour ses sites et non pas un mot de passe par site, c'est facile de les recuperer.
Haut
Messages: 4024

Enregistré le: 14 Sep 2006

Message le Jeu Jan 03, 2008 13:47

Oue dans ce cas, il a surement un dédié parce qu'on le voit faire un cd /home/......./www/
Haut
Messages: 3722

Enregistré le: 4 Oct 2002

Message le Jeu Jan 03, 2008 15:04

YoyoS a écrit:Oue dans ce cas, il a surement un dédié parce qu'on le voit faire un cd /home/......./www/


S'il a un dédié, je ne vois pas ce que sivit a à faire dans son serveur : c'est à lui de mettre à jour son serveur. Mais en voyant le lien vers le forum de sivit, j'en déduirais qu'il a un mutualisé.
Haut
Messages: 4024

Enregistré le: 14 Sep 2006

Message le Jeu Jan 03, 2008 15:37

Donc il a réussi a avoir les accès root sur le mutualisé sivit ? :mrgreen: Je sais je suis chiant mais on tourne en rond la :lol:
Haut
Messages: 1925

Enregistré le: 29 Mar 2007

Message le Jeu Jan 03, 2008 15:52

De toute façon, la méthode de hack est toujours la même.
Tentative via un script non sécurisé, tentative de récupération des pass du webmaster, etc... Le hack passant directement par l'herbergeur arrive bien après, sauf si c'est lui qui est visé.
Haut
Messages: 3722

Enregistré le: 4 Oct 2002

Message le Jeu Jan 03, 2008 15:56

ns, ce sont les mutu chez sivit donc c'est bien en sivit.
Et comme il l'a dit avant, c'est une faille php exploitée via une faille de spip.
Haut
Messages: 220

Enregistré le: 17 Nov 2004

Message le Ven Jan 04, 2008 0:54

désolé du retard, oui c'est bien du mutualisé.

si c'est spip qui est incriminé, pourquoi apres avoir passé de la version 1.8 a la derniere version et apres avoir vidé tout mon compte ftp il pouvais encore entré modifier mes fichiers sans problèmes?

moi je pense que c'est plutot sivit qui fait pas correctement son travail.
Haut
Messages: 22678

Enregistré le: 8 Aoû 2004

Message le Ven Jan 04, 2008 1:31

netsba a écrit:désolé du retard, oui c'est bien du mutualisé.

si c'est spip qui est incriminé, pourquoi apres avoir passé de la version 1.8 a la derniere version et apres avoir vidé tout mon compte ftp il pouvais encore entré modifier mes fichiers sans problèmes?
et changé de password pour le ftp et sécurisé tous les répertoires admin ?
Haut
Messages: 220

Enregistré le: 17 Nov 2004

Message le Ven Jan 04, 2008 1:59

deja répondu, j'ai repris a zero avec des pass neuf et la meme bdd, j'ai changer tout les fichiers.
Haut
Messages: 423

Enregistré le: 21 Déc 2006

Message le Ven Jan 04, 2008 3:22

netsba a écrit:deja répondu, j'ai repris a zero avec des pass neuf et la meme bdd, j'ai changer tout les fichiers.

Je me demande s'il n'utiliserait pas une faille située ailleurs que dans tes CMS... :roll:
Haut