omg: mon site vient d'etre hacké

[bangdai]

Bonjour,

Ce matin je suis allé faire un tour sur mon site et quel choc, mon site vient d'etre hacké
Je suis en panique...
Hier soir il fonctionnait encore, et puis, la d'un coup; un ecran noir.
Que devrais je faire? je suis au bureau et ça me perturbe, je ne peux meme plus bosser.
Je n'ai pas acces SSH et ni FTP (tout est bloqué ici)...

le site en question : http://www.karaokemtv.com
hebergement : 1and1 mutualisé.

ps: Sur le meme serveur, j'ai d'autres sites qui ont l'air de bien fonctionner.

la sécurité, j'entends parler mais la c'est la réalité et c'est moins drole

[bangdai]

je viens d'effacer les fichiers qui ont ete ajoutés.
Il y a un script php qui permet de lister tous les fichiers disponibles sur le serveur, d'executer des commandes (acces refusé) et de uploader des fichiers (ça craint).

Mais je ne comprends pas comment le hacker à pu mettre ce fameux script php... sinon je serai hacker.

[BadProcESs]

Il est possible que ce soit une faille sur les mutalisés de 1&1, surtout il faut que tu leur en parle amha.

[bruno212]

bonjour,

Il y a peut-être une faille dans les scripts que tu as installé ?
Avec les logs du serveur, il est possible que tu trouves par où est passé l'intrus.
à plus

[visites-web]

Bonjour,

j'ai déjà eu des sites qui ont été piratés sur 1&1, à déconseiller dès qu'on a un problème.
Réponse de leur service technique: Nous nous occupons pas de la sécurité de votre code.

( c'était des simples pages web sans flash, sans javascript, que du html ..)

C'est arrivé 2 fois de suite en un mois.

Conséquence: je suis parti chez un concurrent.

[bangdai]

merci pour vos reponses.
Il est vrai que je ne connais pas l'origine de la faille, ce qui est dommage.
Meme si je viens d'effacer tous les scripts suspicieux je pense que le hacker peut recommencer.
C'est la 2e fois que ça arrive dans ce mois d'avril pour un site qui existe depuis +2ans.
La 1ere fois, en allant sur mon FTP, j'avais remarqué un script.php qui listait tous les fichiers du serveurs et d'autres infos bien utiles. En voyant cela, je l'ai direct effacé, mais je vois qu'une semaine apres, une attaque de nouveau.

Ce qui est bisar, c'est que le hacker à juste détruit mon index.php mais pas le reste, et il a meme laissé ses coordonnées.
Est ce une façon de faire la promotion de leur team (sécurité)?

Sinon, j'ai déja un dédié chez OVH, que je n'exploite pas encore pour ce site, mais ça ne va plus tarder.
Pour les connaisseurs de mutualisé 1and1, il y a un dossier "logs" que je ne peux modifier. Et dedans un .htacces dans lequel des IP etranges ont été autorisé à acceder. Je pense que ça pourrai venir de la, mais je ne peux rien faire sur ce .htaccess et pas de SSH.

[aladdin]

Je peux peut être t'aider à trouver l'origine de la faille si tu me réponds à ces quelques questions :

1 - c'est toi qui a développé ton site ? ou tu as utilisé un script tout fait ? dans ce cas lequel ?
2 - tu as des répertoire en chmod 777 ?
3 - tu as des formulaires de contact sur ton site ?
4 - peux tu vérifier (via SSH par ex) les dates de dernières modifs de tous tes sites sur ce serveurs et voir s'il n y a pas eu de modifs dernièrement (des modifs que tu as pas faite toi même bien entendu).


ensuite il y a cet indice très interessant :

Ce qui est bisar, c'est que le hacker à juste détruit mon index.php mais pas le reste, et il a meme laissé ses coordonnées.
Est ce une façon de faire la promotion de leur team (sécurité)?

ceci ressemble plus aux méthodes de hackers amateurs (je ne dirais même pas que c'est des hackers ...) qui utilisent des scripts tout faits. le script tente plusieurs failles connues pour s'installer sur le site et donner la main au pirate.
Les coordonnées sont celle de la team qui a développé ce script et pas de celui qui l'as utilisé.




dans tout les cas, moi je dis toujours et je repète, que la meilleurs sécurité pour un site, c'est d'avoir des sauvegardes quotidiennes (en plus des sauvegardes faites par l'hébergeur on sait jamais ...)
Les sauvegardes ne servent à rien .... jusqu'au jour ou elles nous sauvent la vie .

[aladdin]

je viens de trouver autre chose en cherchant sur google .

http://209.85.229.132/search?q=cache:kg19PpaaK54J:www.karaokemtv.com/r ... =firefox-a


ça date du 14avril ... apparemment ton site est la cible d'attaques depuis pas mal de temps.


et au passage : tu aurais pas mis dans ton robots.txt les chemins vers ton interface d'admin ou autre chemins privés afin d'empêcher le moteur de les indexer ?

[bangdai]

oulala tout cela commence a devenir vraiment tres interessant, et meme si j'ai deja lu qq article concernant la sécurité web, j'en apprends d'avantage dans un cas concret qui mon concerne tout particulierement, merci a tous.

Pour repondre a vos questions:

@aladdin:
1.j'ai codé a la main mon site entierement. Est ce mieux d'utilises des scripts? j'imagine que dans le cas des scripts ou moteur, tout les gens connaissent les sources. Sinon, je suis entrain de refaire le site de 0 à partir de cakePHP (simpa)

2.aucun repertoire en 777 heuresement. Fichier en 404 et dir en 505. Le seul dossier en 755 est le rep (logs) ou je peux rien changer et qui contient un .htaccess modifié avec des ip etrange. Mais je peux ni modifier ce fichier ni le supprimer.

3. pas de formulaire de contact mais d'inscription

4. les derniers modif date du 22 avril donc le jour ou j'ai eté hacké.
-index.php modifié
-index.html ajouté
-robots.txt modifié (le 14/04) il me semble
-punks.php (script pour voir et lancer ds cmd sur mon serveur)

bien entendu j'ai tout effacé et mon site est de nouveau en ligne. J'avais fait une sauvegarde une semaine avant, car j'avais constaté un script.php etrangé sur mon serveur il y a 1 ou 2 semaine.

Pour le cache google, quel mot clé as tu utilisé pour avoir ces resultats? en effet mon robots.txt a ete modifié et qui contenait un simple lien vers mon sitemap.xml

Encore merci pour ton aide.

[aladdin]

1.j'ai codé a la main mon site entierement. Est ce mieux d'utilises des scripts? j'imagine que dans le cas des scripts ou moteur, tout les gens connaissent les sources. Sinon, je suis entrain de refaire le site de 0 à partir de cakePHP (simpa)

Il y a script et script, si tu es sure de maitriser la sécurité de tes script, oui il vaut mieux le développer toi même ... dans le cas contraire, utiliser un script connu (mais mure et avec une large communauté) est plus sure, car les failles sont vite détéctées et corrigés par la communauté.

si tu te base sur un framework (cakePHP pour toi) il faut être sur de bien le maitriser pour ne pas créer de failles dans ton site justement.

Le seul dossier en 755 est le rep (logs) ou je peux rien changer et qui contient un .htaccess modifié avec des ip etrange. Mais je peux ni modifier ce fichier ni le supprimer.

Interessant, 755 ca veux dire que seul le user peut écrire dans ce dossier, .htaccess modifié ca veux dire que le pirate a réussi à détourner tes droits.

PS : il faut absolument supprimer tout ce dossier et en créer un autre pour ton prochain site. je dirai même supprimer ton site à la racine et recréer un autre

3. pas de formulaire de contact mais d'inscription

fort possible que ça vienne de là. as tu des pages d'admin qui permettent de poster des éléments sur ton site ? comment les as tu sécurisé?
les paramètres que tu passe dans l'url sont bien vérifié ? il sont utilisés telquel dans le code ? (des id de rubriques ou de fichiers par exemple)

Pour le cache google, quel mot clé as tu utilisé pour avoir ces resultats? en effet mon robots.txt a ete modifié et qui contenait un simple lien vers mon sitemap.xml

comme j'ai dis dans un autre post sur WRI, beaucoup de webmaster confondent entre le role du robots.txt et le deny de .htaccess, et croyant protéger des chemins dans leurs sites, ils les listent dans le robots.txt ce qui facilite la tâche aux pirates amateurs
j'ai donc cherché http://www.karaokemtv.com/robots.txt sur google

[bangdai]

je ne maitrise pas encore cakePHP mais je respect les normes et j'utilise la doc pour monter en competence le plus vite possible.
La nouvelle version est deja en cours de dev.

sur 1and1, il m'est impossible d'effacer le dossier logs et de changer les droits, mais sur le dédié, j'aurai la main et il n'y aura pas de dossier dans le genre.

Il existe bien une page d'admin pour modifier et supprimer des videos, mais on ne peut pas ajouter de fichier via l'admin. il est protegé par (login/pass) avec un .htaccess.
En general je verifie les params, sauf si j'en ai oublié.

merci pour le coup de robots.txt, je l'ai effacé pour ne pas avoir de souci.

Donc le mieux a faire, pour l'instant cest que je continu le dev de la new version et je change de serveur.
Alala pas evident de lire dans les logs. Ya trop de donnée.