Mon site a été hacké

WRInaute discret
je me suis fait hacké a plusieurs reprises ces jours si, et après avoir vu sur le forum de sivit sur ce sujet http://forum.sivit.fr/viewtopic.php?id=8608 que le problème viens de chez nous comme quoi il y aurai des failles de sécurité des scripts de nos sites alors en urgence j'ai du passé :

- de phpbb2 (2.0.22 stable et très bien référencé) à phpbb3 avec un rewriting qui na rien avoir avec l'ancien et qui me prend prés de 100mo de plus sur la bdd et avec le template de base puisque j'ai pas eu le temps d'en faire un spécialement pour mon site et avec la possibilité de saturé mon espace web 2 fois plus vite que prévu.

- de spip 1.8 aussi tres bien referencé à 1.9.2 avec qui pas mal de scripts ne marchent plus comme la pagination des rubriques, et j'arrive pas a trouver un mod qui me met les articles de la forme article1.html à article0001.html comme avant(compatible avec gg actualité) donc je perd aussi 1000 pages de plus indexé chez google. aussi j'ai vidé sur ma bdd les tables des statistiques accumulé sur 2ans pour pouvoir gagné quelques méga de plus.

- après 2 jours de hackage intensif j'ai mis une redirection 301 de www.actudz.com vers algerie.actudz.com en pensant pouvoir arrêté le hacker qui d'apres moi utilisai tjr une faille dans mes scripts et pendant 1 journée plus hack et hop sa recommence.

conclusion j'ai etais obligé de négocier sur msn avec un jeune de 18 ans et me rabaissé a son niveau qui voulais que j'efface la rubrique sexualité de mon forum et religions. heureusement que c'etais un algérien comme moi et qu'il veux bien me laissé tranquille.

le nombre de mes visiteurs a significativement baissé ces derniers jours.

finalement, le hacker le 30 décembre m'explique que la faille finalement ne viens pas de chez moi il ma meme fait une video pour me montré son exploit http://dl.free.fr/mWk2CAOt6/actudzhacked.rar (le soir meme apres que j'avais sur mon espace qu'un phpbb fraichement installé et tres peux modifier et un spip a jour avec un template en html basique) alors la je suis fou de rage et je demande réparation et je trouve que je suis dans mon droit.

j'ai envoyé a sivit une copie de la video pour connaitre leurs version et demander réparation, et leur réponse la voila

Merci de votre avertissement, il s'agit en fait d'une faille dans votre cms
qui a permis l'implatation de code malicieux.

- Le pirate met en place ce code malicieux sur votre compte mutualisé
- Il execute ce code qui permet d'établir une connexion à son poste
- Il manipule les fichiers via une faille de php qui a été corrigé depuis
quelques jours déjà

Il en résulte néanmoins qu'a l'origine, cette situation est du à une faille
dans un cms et non pas directement de la structure du mutualisée.

La situation est maintenant corrigé selon les administrateurs des services
mutualisés.

Cordialement,

je veux bien les croire mais cette histoire dure bien depuis le 16 décembre d'après le poste chez sivit, et la soirée de 30 du mois étais encore pas colmaté.

j'ai perdu presque 100mo d'espace et maintenant je me retrouve a l'étroit :( alors que j'ai renouvelé mon hébergement pour 2ans il y a 6mois.

moi je voulais pas passé sur phpbb3 aussi rapidement et encore moins changé mes url du forum et perdre tout les pages indexé

j'ai aussi un problème de caractères sur le forum : les é sont remplacé par é si il y a une solution je suis preneur

qu'es que vous en pensez ?
 
WRInaute accro
change le jeu de caractère qui est en utf8 et qu'il faut mettre en Iso

ce que j en pense : toujours avoir la derniere version de PhpBB, ne pas attendre. :)
 
WRInaute passionné
e-kiwi a dit:
ce que j en pense : toujours avoir la derniere version de PhpBB, ne pas attendre. :)
Parce que tu crois qu'une faille de la dernière V2 viens d'être découverte dès la sortie de la V3 ?


Moi, perso, j'aurai commencé par tout sauvegarder et de modifier script par script afin de trouver le vilain petit canard.
Certes, ça aurait fait merdé le site durant peut-être 3 ou 4 jours, mais tu aurais pas eu à le modifier totalement.
 
WRInaute occasionnel
e-kiwi a dit:
change le jeu de caractère qui est en utf8 et qu'il faut mettre en Iso
C'est plutôt l'inverse, vu que phpBB 3 se base sur l'UTF-8.

Quant à la faille, il se peut qu'elle provienne de SPIP, vu que c'était ce CMS qui n'était pas à jour.
 
WRInaute impliqué
Re: site hacké chez sivit

netsba a dit:
conclusion j'ai etais obligé de négocier sur msn avec un jeune de 18 ans et me rabaissé a son niveau qui voulais que j'efface la rubrique sexualité de mon forum et religions. heureusement que c'etais un algérien comme moi et qu'il veux bien me laissé tranquille.
C'est ça qui m'interpelle tout de suite.
Je trouve que ça mérite une petite explication d'homme à homme (avec une petite redirection 302 de sa tête vers ta main).

Moins prosaïquement, puisque tu as discuté avec lui et que tu souhaites être indemnisé, c'est à lui qu'il faut demander réparation.
 
WRInaute discret
le problème est qu'après avoir effacé tout le contenu de mon espace ftp (et non pas ma bdd) et avoir tout réinstallé je me suis fait haké encore et encore donc en conclusion l'erreur ne viens pas de mon site.

meme maintenant si le hackeur veux me hacké de nouveau je suis tjr a sa mercis
 
WRInaute passionné
A tu pensé à modifier tout tes pass ?

A tu pensé que le hackeur à pu t'installé un trojan sur ton PC après avoir pris le contrôle de ton hébergement?

Perso, j'ai du mal à mettre en doute les affirmation de l'hébergeur sur ce coup.
 
WRInaute discret
Koxin-L a dit:
A tu pensé à modifier tout tes pass ?
envirent 5 fois minimum depuis le debut de l'attaque et le passe ftp n'est pas le meme que celui des bdd

Koxin-L a dit:
A tu pensé que le hackeur à pu t'installé un trojan sur ton PC après avoir pris le contrôle de ton hébergement?
non mais je le pense pas quoi que rien n'est sure

apres avoir tu repris depuis le debut je me fait encore hacké ! va comprendre comment il fait. mais vu que je suis pas le seul dans ce cas je pense pas qu'il s'agisse d'une faille dans phpbb ou spip
 
WRInaute accro
hum, j'hésites a le télécharger le .rar la.....
pas moyen de mettre ça sur youtube ? sinon y a quoi dessus ?

Il faut aussi vérifier que la BDD ne contienne pas de code malicieux : du html qui n'a rien a y faire, genre "<iframe src="

bon courage
 
WRInaute accro
Pas de problèmes avec l'archive hihi

Sauf si on peut mettre un virus à l'intérieur d'un .avi qui serait invisible au meilleur des antivirus :D
 
WRInaute discret
Tu peux pas regarder tes logs d'accès, ou demander à sivit de le faire pour identifier l'IP du gars ?
Si ça se trouve, tout bon hackeur qu'il est, il a laissé une trace de lui...
 
WRInaute passionné
YoyoS a dit:
Oui, c'est un trou de sécurité chez sivit, tu n'y es pour rien.

A priori, c'est du combiné :
- Une faille dans spip pas mis à jour
- Une faille php qui a pu etre utilisée via la faille de spip

François
 
WRInaute accro
On dirait pourtant qu'il se connecte en root sur le serveur ! Une faille d'un cms sur l'espace d'un client peut donner accès à tout le serveur ??
 
WRInaute passionné
Il s'agit de mutualisé donc pas d'acces root au serveur, juste à l'espace www. Si il utilise le mot de passe root pour ses sites et non pas un mot de passe par site, c'est facile de les recuperer.
 
WRInaute passionné
YoyoS a dit:
Oue dans ce cas, il a surement un dédié parce qu'on le voit faire un cd /home/......./www/

S'il a un dédié, je ne vois pas ce que sivit a à faire dans son serveur : c'est à lui de mettre à jour son serveur. Mais en voyant le lien vers le forum de sivit, j'en déduirais qu'il a un mutualisé.
 
WRInaute accro
Donc il a réussi a avoir les accès root sur le mutualisé sivit ? :mrgreen: Je sais je suis chiant mais on tourne en rond la :lol:
 
WRInaute passionné
De toute façon, la méthode de hack est toujours la même.
Tentative via un script non sécurisé, tentative de récupération des pass du webmaster, etc... Le hack passant directement par l'herbergeur arrive bien après, sauf si c'est lui qui est visé.
 
WRInaute passionné
ns, ce sont les mutu chez sivit donc c'est bien en sivit.
Et comme il l'a dit avant, c'est une faille php exploitée via une faille de spip.
 
WRInaute discret
désolé du retard, oui c'est bien du mutualisé.

si c'est spip qui est incriminé, pourquoi apres avoir passé de la version 1.8 a la derniere version et apres avoir vidé tout mon compte ftp il pouvais encore entré modifier mes fichiers sans problèmes?

moi je pense que c'est plutot sivit qui fait pas correctement son travail.
 
WRInaute accro
netsba a dit:
désolé du retard, oui c'est bien du mutualisé.

si c'est spip qui est incriminé, pourquoi apres avoir passé de la version 1.8 a la derniere version et apres avoir vidé tout mon compte ftp il pouvais encore entré modifier mes fichiers sans problèmes?
et changé de password pour le ftp et sécurisé tous les répertoires admin ?
 
WRInaute accro
Quasi sure que c'est la bécane qui est piratée. Récupérer un shell root, c'est bien plus qu'une faille spip à mon avis.

Faudrait leur montrer la vidéo, chez sivit, si ce n'est fait. Vont se marrer ;)
 
WRInaute discret
HAHA la vidéo

"t'as vu Admin je peux le fait à la page d'acceuil aussi mais je ss un peu fatigué :)"

comment ça chambre :roll:

Il a un compte sur 110mb.com (his0k4.110mb.com), tu peut les contacter en leur expliquant le problème.
Il peuvent peut être t'aider à le coincer, surtout qu'ils affichent fièrement sur leur site :

110mb has already captured your REAL I.P. address via multiple advanced protocols (even if it's being faked by Proxy services). Should we find you spamming or phishing (like eBay, MySpace, PayPal, etc...), your ISP will be contacted to have your internet connection shut down.

Contact aussi les webmasters des autres sites hacké pour entamer une procédure contre lui.
 
WRInaute passionné
ce que j'ai pigé de la vidéo, c'est que la gars a un script comme ca :
http://209.85.135.104/search?q=cache:fV ... cd=2&gl=fr

qu'il a placé sur le serveur de http://france-vet-international.org (car on voit une requete au debut de la vid vers http://france-vet-international.org/vis ... c.......... )

et il utilise Metasploit Framework http://framework.metasploit.com avec un module d'exploit (je sais pas lequel)

apres j'sais pas comment il fait son truc mais ca a vraiment l'air a la porté de tout le monde une fois l'astuce trouvée c grave...
 
WRInaute accro
oue, il suffit d'avoir le shellcode, metasploit et un écouteur de ports (netcat) et on se prend pour le roi du monde ... :roll:

Si ca se trouve, la faille chez sivit existait depuis très longtemps.
Mais c'est le premier abruti qui la dévoile et il va surement en faire enrager plus d'un, et pas que des webmasters ... lol
 
WRInaute occasionnel
Revealer a dit:
Contact aussi les webmasters des autres sites hacké pour entamer une procédure contre lui.
c'est un algerien qui vie en Algerie , alors je ne croit pas qu'ils pourron faire qq chose contre lui
 
WRInaute discret
c'est un algerien qui vie en Algerie , alors je ne croit pas qu'ils pourron faire qq chose contre lui

Du moins c'est ce qu'il dit, information à vérifier. Si c'est vrai ça vaut quand même la peine d'essayer.
 
WRInaute discret
c'est un algerien de 18ans qui vie a mostaganem (un villle a 120klm de chez moi)

j'ai parler avec lui sur msn, il dit que la faille n'est pas chez moi mais chez sivit.

moi ce que je veux c'est que sivit dise oui la faille est bien chez nous et nous nous excusons mais ils sont trop borné pour le reconnaitre.
 
WRInaute discret
je sais pas si il est fiable mais il sais faire des videos de 150mo compressé dans un fichier de 2mo

il rentre quand il veux dans les serveurs de sivit, donc va comprendre
 
WRInaute discret
Nouvel épisode dans la passoire sivit :
Je viens de parler au hacker sur msn et il ma refilé mon nouveau pass de ma bdd, il dit que sivit on sécurisé leurs serveurs apache mais que ce n’est pas assé.

il foutent quoi chez sivit?
 
WRInaute discret
conclusion j'ai etais obligé de négocier sur msn avec un jeune de 18 ans et me rabaissé a son niveau qui voulais que j'efface la rubrique sexualité de mon forum et religions.

Ben dis donc c'est du hacker engagé :lol:

je sais pas si il est fiable mais il sais faire des videos de 150mo compressé dans un fichier de 2mo

Je savais pas qu'on pouvais réduire autant une vidéo en compression. J'ai décompressé l'archive puis recompressé avec winrar en utilisant la compression la plus forte, j'ai obtenu un fichier encore plus petit que le sien. Je pense que c'est du au codec utilisé pour la capture qui se prete bien à la compression. Faudrait lui demander ce qu'il a utilisé comme logiciel pour enregistrer sa vidéo.
 
WRInaute passionné
Apparemment la vidéo enregistré n'utilise pas de codec (pas de compression) une vidéo native, une vidéo bitmap en quelque sorte !!!
 
WRInaute discret
Ah d'accord, en effet l'affichage est saccadé, c'est nickel pour faire des vidéos de démonstration en tout cas.
 
WRInaute passionné
C'est une compression a première vu bien meilleur car c'est déjà non compressé, contrairement à une vidéo divx ou un morceau mp3 qui utilise déjà des compressions (codecs), en conséquent on obtient pas grand chose même avec des rar ou des 7z les plus lents...


Ca y est, je suis accro lol !!!
 
WRInaute discret
Re: site hacké chez sivit

Pas le temps de lire tout le topic, mais ton hacker a installé un c99 shell, un php shell, il profite d'une faille de type remote inclusion de ton phpbb à mon avis (problème de variable dans la partie admin).

Il faut que tu lances la commande suivante déjà pour virer tous les php shell qu'il a pu installer :
grep -n -r "c99" *
Ca peut également être un autre php shell, mais d'après les images de la vidéo ce serait le c99.
Il a très bien pu dissimuler ce phpshell dans des fichiers qu'il aurait pu nommer image.jpg par exemple, donc soit vigilant. Ta maj a phpbb3 devrait te couvrir, je pense qu'il peut tjs te pirater car il a tjs un phpshell en place sur ton serveur.

Par ailleurs ce n'est absolument pas la faute de sivit, donc inutile de les mettre en cause. Il s'agit simplement de tes scripts open-source. C'est bien mais tout le monde a le code, donc il est plutot facile de trouver des failles... Et ce n'est jamais évident de garder les scripts à jour.

netsba a dit:
je me suis fait hacké a plusieurs reprises ces jours si, et après avoir vu sur le forum de sivit sur ce sujet http://forum.sivit.fr/viewtopic.php?id=8608 que le problème viens de chez nous comme quoi il y aurai des failles de sécurité des scripts de nos sites alors en urgence j'ai du passé :

- de phpbb2 (2.0.22 stable et très bien référencé) à phpbb3 avec un rewriting qui na rien avoir avec l'ancien et qui me prend prés de 100mo de plus sur la bdd et avec le template de base puisque j'ai pas eu le temps d'en faire un spécialement pour mon site et avec la possibilité de saturé mon espace web 2 fois plus vite que prévu.

- de spip 1.8 aussi tres bien referencé à 1.9.2 avec qui pas mal de scripts ne marchent plus comme la pagination des rubriques, et j'arrive pas a trouver un mod qui me met les articles de la forme article1.html à article0001.html comme avant(compatible avec gg actualité) donc je perd aussi 1000 pages de plus indexé chez google. aussi j'ai vidé sur ma bdd les tables des statistiques accumulé sur 2ans pour pouvoir gagné quelques méga de plus.

- après 2 jours de hackage intensif j'ai mis une redirection 301 de www.actudz.com vers algerie.actudz.com en pensant pouvoir arrêté le hacker qui d'apres moi utilisai tjr une faille dans mes scripts et pendant 1 journée plus hack et hop sa recommence.

conclusion j'ai etais obligé de négocier sur msn avec un jeune de 18 ans et me rabaissé a son niveau qui voulais que j'efface la rubrique sexualité de mon forum et religions. heureusement que c'etais un algérien comme moi et qu'il veux bien me laissé tranquille.

le nombre de mes visiteurs a significativement baissé ces derniers jours.

finalement, le hacker le 30 décembre m'explique que la faille finalement ne viens pas de chez moi il ma meme fait une video pour me montré son exploit http://dl.free.fr/mWk2CAOt6/actudzhacked.rar (le soir meme apres que j'avais sur mon espace qu'un phpbb fraichement installé et tres peux modifier et un spip a jour avec un template en html basique) alors la je suis fou de rage et je demande réparation et je trouve que je suis dans mon droit.

j'ai envoyé a sivit une copie de la video pour connaitre leurs version et demander réparation, et leur réponse la voila

Merci de votre avertissement, il s'agit en fait d'une faille dans votre cms
qui a permis l'implatation de code malicieux.

- Le pirate met en place ce code malicieux sur votre compte mutualisé
- Il execute ce code qui permet d'établir une connexion à son poste
- Il manipule les fichiers via une faille de php qui a été corrigé depuis
quelques jours déjà

Il en résulte néanmoins qu'a l'origine, cette situation est du à une faille
dans un cms et non pas directement de la structure du mutualisée.

La situation est maintenant corrigé selon les administrateurs des services
mutualisés.

Cordialement,

je veux bien les croire mais cette histoire dure bien depuis le 16 décembre d'après le poste chez sivit, et la soirée de 30 du mois étais encore pas colmaté.

j'ai perdu presque 100mo d'espace et maintenant je me retrouve a l'étroit :( alors que j'ai renouvelé mon hébergement pour 2ans il y a 6mois.

moi je voulais pas passé sur phpbb3 aussi rapidement et encore moins changé mes url du forum et perdre tout les pages indexé

j'ai aussi un problème de caractères sur le forum : les é sont remplacé par é si il y a une solution je suis preneur

qu'es que vous en pensez ?
 
WRInaute accro
Re: site hacké chez sivit

efz a dit:
ton hacker a installé un c99 shell, un php shell, il profite d'une faille de type remote inclusion de ton phpbb à mon avis (problème de variable dans la partie admin).

efz a dit:
Par ailleurs ce n'est absolument pas la faute de sivit, donc inutile de les mettre en cause. Il s'agit simplement de tes scripts open-source. C'est bien mais tout le monde a le code, donc il est plutot facile de trouver des failles... Et ce n'est jamais évident de garder les scripts à jour.

Voilà une bonne explication que je me permets d'appuyer car cela m'est déjà arrivé, j'avais une application open source du nom de dotproject.
C'est fréquent et très facile à faire.
Donc prudence :)
 
WRInaute discret
Re: site hacké chez sivit

efz a dit:
Il faut que tu lances la commande suivante déjà pour virer tous les php shell qu'il a pu installer :
grep -n -r "c99" *

Désolé, je "m'autocite" mais cette commande ne fera que lister les fichiers qui contiennent la chaine "c99". Lance la a la racine de ton serveur pour trouver les fichiers, ensuite, supprime les. Tu peux même jouer un vilain tour a ton hacker en remplacant ces fichiers par des s.aloperies puisqu'il risque de les relancer à nouveau ;)
 
WRInaute discret
Pour les gens un peu inquiets, ces quelques lignes à placer dans vos .htaccess ne vous feront pas de mal ;)

Pour netsba, c'est surtout la 1ère ligne qui aurait pu le protéger.

Ca ne protège pas de tout, mais c'est déjà un petit plus.

Attention, je vous suggère de tester ces lignes avec précaution, cela peut affecter vos scripts (enfin vous n'aure qu'à commenter les lignes pour que tout rentre dans l'ordre).

Code:
RewriteCond %{REQUEST_URI} .*((php|my)?shell|remview.*|phpremoteview.*|sshphp.*|pcom|nstview.*|c99shell.*|r57shell.*|webadmin.*|phpget.*|phpwriter.*|fileditor.*)\.(php[3-9]{0,1}|txt) [NC,OR]
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)=/home(.+)?/web/DOSSIER_A_MODIFIER/(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^work_dir=.*$ [OR]
RewriteCond %{QUERY_STRING} ^command=.*&output.*$ [OR]
RewriteCond %{QUERY_STRING} ^c=(t|setup|codes)$ [OR]
RewriteCond %{QUERY_STRING} ^act=((about|cmd|selfremove|upload.*)|((chmod|f)&f=.*))$ [OR]
RewriteCond %{QUERY_STRING} ^act=(ls|search|fsbuff|encoder|tools|processes|ftpquickbrute|security|sql|eval|update|feedback|cmd|gofile|mkfile)&d=.*$ [OR]
RewriteCond %{QUERY_STRING} ^&?c=(l?v?i?&d=|v&fnot=|setup&ref=|l&r=|d&d=|tree&d|t&d=|e&d=|i&d=|codes|md5crack).*$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(cmd|command|[-_a-z]{1,15})=(ls|cd|cat|rm|mv|vim|chmod|chdir|mkdir|rmdir|pwd|clear|whoami|uname|tar|zip|unzip|tar|gzip|gunzip|grep|more|ln|umask|telnet|ssh|ftp|head|tail|which|mkmode|touch|logname|edit_file|search_text|find_text|php_eval|download_file|ftp_file_down|ftp_file_up|ftp_brute|mail_file|mysql|mysql_dump|db_query)([^a-zA-Z0-9].+)*$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(wget|shell_exec|passthru|system|exec|popen|proc_open)(.*)$
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$
RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^[0-9a-z]{15,}|^[0-9A-Za-z]{19,} [OR]
 
WRInaute discret
Re: site hacké chez sivit

dd32 a dit:
C'est fréquent et très facile à faire.

C'est comme l'a dit dd32 très facile à faire, puisqu'il suffit de taper une URL :x


En revanche il est arrivé par le passé que des hébergeurs aient mal configuré des comptes de mutualisés, en gros il suffisait de pirater un compte mutualisé pour avoir un accès root sur le serveur mutualisé complet.


C'est comme cela que des pirates ont réussi en quelques minutes à pirater plus de 20.000 sites... Effrayant :evil:
 
WRInaute discret
Si c'est un mutualisé ca ne change pas grand chose, le "hacker" (entre guillemets car ce genre de "hack" ne nécessite aucune connaissance) a simplement un phpshell sur son hébergement. Il doit avoir tous les droits sur le compte de netsba seulement.
 
WRInaute discret
N'importe quel hébergeur peut être touché... Cela m'est arrivé chez d'autres hébergeurs que Sivit ;)
 
Nouveau WRInaute
je connais rien en programmation, mais je suis fort en recherche !

alors ce hacker est adapte d'un forum de hackers arabes, il est sous le pseudo de zakism

http://www.hadileshop.com/vb/

obligé de s'inscrire sous un autre pseudo pour qu'il ne trouve pas mes sites
 
Nouveau WRInaute
Je n'ai pas pris le temps de tout lire, mais dans ce que j'ai lu personne ne parle de porter plainte...

Est-ce que tu y as pensé ?

J'ai un site qui s'est fait hacké, j'ai porté plainte auprès de la B.E.F.T.I. et le hackeur va passer en jugement.

Pourtant ce n'était pas grand chose, tout comme toi une attaque par phpBB sur un site plutôt modeste. Ca vaut le coup d'essayer :wink:

En plus de ça, le chantage qu'il a fait sur toi est sûrement une circonstance agravante
 
WRInaute accro
Cpt America a dit:
J'ai un site qui s'est fait hacké, j'ai porté plainte auprès de la B.E.F.T.I. et le hackeur va passer en jugement.
ton hackeur est français ? car là, il est algérien. Mais il serait de n'importe quelle autre nationalité, ça ne changerait rien : dès qu'il faut s'attaquer à un ressortissant d'un autre pays, ça fait des frais à avancer sans être sûr de l'issue
 
WRInaute discret
je viens de parlé encore a mon hackeur, il ma refilé le lien d'une nouvelle victime http://hackersrealm.net/forums/

un forum spécialisé en hacking :lol:

il a fait une nouvelle video http://peace2all.org/iss.rar pour les amateurs.

il dis qu'il a utilisé cam studio pour faire les videos.

et pour l'info j'ai effacé tout mes fichiers sur mon ftp et j'ai remis une version neuve de phpbb3 (j'etais en V2) et il ma encore hacké.

j'ai changé a plusieurs reprises les mots de pass et nada tjr pareil, il les retrouve sans problèmes.

d'après lui le problème viens de sivit qui n'est pas asse sécurisé.

Ps : j'ai ni les moyens ni l'envi d'attaqué un jeune de 18ans en justice, sans parlé du vide juridique qui existe en algerie (windows vista ici ce vend chez le marchand du coin a moins d'un euro gravé en vitrine avec pochette)
 
WRInaute discret
Ah merci pour l'info netsba.

Elle flash la page d'accueil qu'il a collé sur le site hackersrealm.net

One question Admin...

Where is the Security!!!

La vieille provoque :roll:

Sympa la vidéo, j'adore les documents sur son bureau..."must be hacked.txt" "msn à pirater.txt" :lol:

Fais quand même gaffe qu'il n'ai pas pour projet de s'incruster dans ton PC perso (si ça n'est pas déjà fait :lol: )
 
WRInaute discret
netsba a dit:
je viens de parlé encore a mon hackeur, il ma refilé le lien d'une nouvelle victime http://hackersrealm.net/forums/

un forum spécialisé en hacking :lol:

il a fait une nouvelle video http://peace2all.org/iss.rar pour les amateurs.

il dis qu'il a utilisé cam studio pour faire les videos.

et pour l'info j'ai effacé tout mes fichiers sur mon ftp et j'ai remis une version neuve de phpbb3 (j'etais en V2) et il ma encore hacké.

j'ai changé a plusieurs reprises les mots de pass et nada tjr pareil, il les retrouve sans problèmes.

d'après lui le problème viens de sivit qui n'est pas asse sécurisé.

Ps : j'ai ni les moyens ni l'envi d'attaqué un jeune de 18ans en justice, sans parlé du vide juridique qui existe en algerie (windows vista ici ce vend chez le marchand du coin a moins d'un euro gravé en vitrine avec pochette)

Euhhh... Je veux bien t'aider, mais si tu prends pas la peine de lire ce que je te dis... Toute la solution est dans mon 1er post.
 
WRInaute impliqué
efz a dit:
Pour les gens un peu inquiets, ces quelques lignes à placer dans vos .htaccess ne vous feront pas de mal ;)

Pour netsba, c'est surtout la 1ère ligne qui aurait pu le protéger.

Ca ne protège pas de tout, mais c'est déjà un petit plus.

Attention, je vous suggère de tester ces lignes avec précaution, cela peut affecter vos scripts (enfin vous n'aure qu'à commenter les lignes pour que tout rentre dans l'ordre).

Code:
RewriteCond %{REQUEST_URI} .*((php|my)?shell|remview.*|phpremoteview.*|sshphp.*|pcom|nstview.*|c99shell.*|r57shell.*|webadmin.*|phpget.*|phpwriter.*|fileditor.*)\.(php[3-9]{0,1}|txt) [NC,OR]
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)=/home(.+)?/web/DOSSIER_A_MODIFIER/(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^work_dir=.*$ [OR]
RewriteCond %{QUERY_STRING} ^command=.*&output.*$ [OR]
RewriteCond %{QUERY_STRING} ^c=(t|setup|codes)$ [OR]
[...]

Avec ce code placé sur le htaccess a la racine de mon site cela marche-t-il ? Le forum est placé dans un sous dossier /forum.

Merci :)
 
Nouveau WRInaute
bonjour à tous/toutes

efz a dit:
Euhhh... Je veux bien t'aider, mais si tu prends pas la peine de lire ce que je te dis... Toute la solution est dans mon 1er post.

Justement il a dit qu'il avait changé tous les éléments liés à son hébergement.
mot de passe FTP / mot de passe BDD / applies utilisées et pourtout ca a l'air de continuer.

Je pencherais donc, comme le "pirate" à l'air de dire, d'un problème de sécurité sur le serveur.
Si jamais il a réussi à pirater un autre compte du serveur mutualisé (peu importe la méthode) et qu'il arrive à passer des fichiers d'un compte mutualisé à un autre (normalement il y a des barrieres mais bon), on peut faire ce qu'on veut sur ses propres fichiers ca ne corrigera pas le problème de sécurité, donc la faille.

pour etre sur il faudrait supprimer TOUT ce qu'il y a sur l'hébergement, mettre une simple page d'accueil, changer les mot de passe, et demander au pirate de mettre en place une page disant que le site est hacké. cela ne pourra que prouver que cela vient de l'hébergement.

en tout cas, il est "cool" ce pirate de continuer à discuter, parce que certains ne se donneraient meme pas la peine, et utiliserait juste les infos trouvées sans meme dire qu'ils les ont récupérées.

Courage et tiens nous au courant.
Biz
 
WRInaute impliqué
Chez Sivit, seront-ils assez humbles pour demander des infos aux hackers ? car il semble coopératif, sinon ce sera des heures de recherches sur le net pour trouver un ou plusieurs remèdes.

apparemment le hacker a la possibilité de lire les fichiers config de phpBB, les pages semblent apache-writables, et pour commencer je ferai un check avec un anti-virus type f-prot pour voir s'il n'y a pas un r57shell qui traine dans les parages.
 
Nouveau WRInaute
Bon dans sa vidéo je vois qu'il utilise un script php, qu'il a du placer soit dans ton site, soit dans le disque dur de sivit ou y'a ton site
En effet, c'est possible vu ce qu'il utilise.

Pour info il utilise le c99team shell, je l'ai en ma possession si ça intéresse qqn (un hacker l'a uploadé sur mon site, mais n'a pas pu l'utiliser, ou alors il n'a pas pris la peine... ou alors c'était fait par un robot)

Il utilise aussi netcat pour récupérer des infos et executer des commandes...

Si tu veux que je regarde si y'a son fichier qq part, contacte moi par msn ou mail joora @ hotmail . fr
Je peux aussi donner le fichier de la team c99 à ceux qui veulent pour tester la sécurité de votre hébergeur... mais le mieux est de laisser l'hébergeur faire car sinon vous faites du piratage!

bonne chance ;)
 
Discussions similaires
Haut