Je voudrais vous faire partager cette expérience et si quelqu'un d'entre vous peut m'indiquer la marche à suivre pour que cela ne puisse plus se reproduire, j'écouterais ses conseils avec beaucoup d'intérêt.
Hier midi, quelle ne fut pas ma surprise de voir que mon site affichait une page de maintenance. J'ai immédiatement contacté le prestataire de l’hébergeur, Infomaniak, afin d'essayer de comprendre pourquoi une maintenance sauvage avait été décidée et surtout pourquoi un fichier « maintenance.html » prenait ainsi la main sur mon "index.php".
Pas de réponse, je me suis donc rendu sur mon ftp pour constater que ce fichier avait été ajouté dans mon répertoire principal, protégé par un htaccess qui interdisait à tout autre fichier d'être appelé et à ce fichier d'être supprimé, déplacé ou modifié.
La prestataire d’infomaniak m'a enfin répondu hier soir pour me signaler qu'il s'agissait vraisemblablement de l’œuvre d'un hacker et que le nécessaire devrait être fait ce matin pour supprimer ce fichier indésirable que seul le Root peut supprimer.
J'utilise la version xoops 2.07 non protégé (j'ai appris hier soir l'existence de protector et je l'installerais dés que j'aurais accès au site), je suis le seul à avoir connaissance des codes admin et des identifiants/mots de passe ftp.
Mon souci est de savoir comment éviter à l'avenir une nouvelle mésaventure de ce type. J'attends les explications d'infomaniak à ce sujet avec les logs à l’appui.
La malversation ayant eu lieu (en apparence) uniquement sur le ftp, ceci peut il être du à une faille de sécurité de xoops ?? C'est ce que semblait me dire hier soir le prestataire d'infomaniak, je ne suis pas très calé en la matière mais cela me surprend ??
Voilà, si vous avez quelques idées à me donner ou quelques expériences similaires à narrer qui pourrait aider la communauté ...
Pour info, mon site fait en moyenne 6000/7000 visiteurs jours, cela fait des envieux et je ne suis certainement pas au bout de mes peines…

Citation :
(oups je compatis mais quand tu as dis ça il me semble que tu as tout dit....

Salut,

J'ai eu le même soucis. Et j'ai réussi à remettre mon site en place.

La première chose à faire est de modifier ton mot de passe administrateur. Choisis-en un aléatoirement.

Deuxièmement, passe en version 2.0.3.12.

Et comme tu le dis si bien installe le module protector.

@+++ (oups

Ok merci, mais je suis vraiment néophyte en la matière. Pouvez vous m'expliquer comment un xoops (non protégé admettons) peut permettre à un malfaisant de s'introduire sur mon serveur ftp et d'y injecter des fichiers ?
C'est surtout à ce niveau que je ne comprends pas

Ta version de XOOPS a plus d'un an. Depuis beaucoup de bug et de faille de sécurité ont été divulguées et corrigé.
Il faut tout le temps garder sa version de XOOPS à jour.

A+

Ok, je reconnais, je n'ai pas été assez méfiant ... Quelque part c'est bien fait pour ma gueule et cela me servira de leçon.
Néanmoins, je voudrais que l'on m'explique comment à partir d'une faille de xoops, on peut pénétrer sur le ftp alors que les codes d'accés de celui-ci ne sont connus que par moi ??

parce que là, dés que c'est rétablit, je vais changer ts mes passes admin et ftp mais qu'est ce qui pourrait empêcher le mec de recommencer ??

un module avec une faille de secu (ou meme XOOPS) peut permettre cela.
La plupart du temps le hacker se sert d'une url trafiquée pour envoyer un fichier sur le serveur dans un repertoire d'upload.
ensuite il peut lancer des commandes toujours via l'url pour modifier certaines choses.

un article explicaif : http://miror.coolparadise.org/wiki/in ... les_XSS%2C_CSS%2C_Defaced

Je te conseil aussi de faire un backup complet de ton site. Je sais d'expérience (malheureuse) qu'Infomaniak n'aime pas les sites hackés, et qu'ils ont tendande à résoudre les problèmes de façon assez radicale.

Je comprends tout à fait que la majorité d'entre vous ne souhaitent pas forcément venir régulièrement sur notre site pour découvrir les articles sur les dernières versions.

Cependant Xoops met à votre disposition trois fonctionnalités qui vous permettent néanmoins de rester informé :

- lorsque vous êtes connectés dans l'administration de votre site, vous disposez d'un lien vers les articles du site officiel (en anglais il est vrai)
- nos articles peuvent être lus par un lecteur RSS
- vous avez la possibilité de recevoir un mail sur nos derniers articles publiés : il suffit de s'inscrire sur les notifications et de modifier son profil pour les recevoir par email en remplacement des messages privés