Salut à tous,

Ce matin j'ai reçu deux mails m'informant que mon site avait été hacké par deux rigolos dont toute la virilité semble placée dans leurs pseudos : ViPeR et ExTrEmE

Le premier mail vient du formulaire du module Contact, et le deuxième vient du module Formulaire (ils ont rempli le formulaire en y mettant une grosse image d'une main noire, probablement symbole de leur toute-puissance).

J'ai une adresse e-mail contenu dans le corps du premier mail : vbe_viper@abv.bg, et une adresse IP renvoyée par le module Formulaire (probablement un proxy) : 79.100.243.241

A priori ils auraient piraté le compte d'un utilisateur enregistré, et à partir de ce compte, ils auraient posté les deux machins.

Alors que faire, c'est à dire :

1) comment identifier la faille, de manière à ce qu'elle ne soit plus exploitée ?

2) Le compte d'un membre de l'association, ou même le compte admin est-il menacé ?

3) y'a t-il des démarches que j'ignorerais à faire pour que des gens plus compétents que moi s'occupe du problème ?

4) que doit faire la personne dont le compte a été hacké ?
## Rectification le compte de l'utilisateur a été supprimé. Dur dur.##

Voili voilou ?

Merci à tous

A partir de votre description, je ne pense pas que votre site est hacke, mais que c'est sont de spammers. Ils ont creer une accompte ont remplis des formulaires et apres effacee leur compte en attempt d'effacer leurs traces.

Ou est-ce-qu'il y a quelque chose qui a changer dans l'apparence du site?

- Bloque leur net 79.100.0.0/16 en .htaccess .
- En preferences changez que les utilisateurs ne peuvent pas effacer leurs compte et qu'ils ne peuvent pas changer leur adresse email.
- Upgrade a 2.3.0.
- Installez Protector.
- Prenez une backup (fichiers + bdd) et comparez le avec une backup ancien pour voir qu'il y a des changements present (comme fichiers changee ou supplementaires), qui peuvent etre le resultat d'une hack et corrigez les dans la site.
Si ca est le cas, changez tous les mots des passes.

Lisez aussi des autre thread au forum.

Citation :
Ce n'est pas leur compte qu'ils ont utilisés, mais celui d'un utilisateur enregistré qui n'a rien à voir dans tout ça.

Citation :
ok


Citation :
C'est fait

Citation :
C'est-à-dire ?

Citation :
C'était déjà fait.

Citation :
C'est un boulot énorme ! J'ai des milliers de fichiers, et bien plus encore d'enregistrements dans ma BDD. Alors comment faire ?


Merci pour les conseils.

Citation :Ca c'est plus grave. Mais il faut quand-meme se demandee qu'il a une mot facile a deviner, comme identique a le nom ou il a publier ca quelque part. Autrement ca doit etre le resulat d'une attempte brute. Protector bloque normalement tous les formes d'injection SQL, quand c'est bien configuree. Il faut aussi retrouver les logs et chercher pour les operations faites par ce IP. Extendez la recherche avec le browser profil utilisee. regardez bien au modules qui sont accedees.
Comme ca c'est possible de trouver comment ils ont reussi leur atteinte. Si vous avez des anciens modules comme contuedo ou l'editeur spaw, effacez les immediate!
Citation :
La nouvelle version XOOPS, si vous avez encore une veille edition.
Citation :
Unzip les backups en deux dossiers et comparez les avec par example KDiff3. Neanmoins les milliers de fichiers, il n'y a pas si beaucoup qu'il sont changees entre les deux backups. La meme chose est valable pour les records dans la table de base des donnees.

C'est quandmeme necessaire de faire la comparaison pour etre sure que votre site n'a pas des portes ouvertes(? = backdoors) installees.