Fork me on GitHub




(1) 2 »


Piraté, hacké, hackeur ... =site fermé par OVH !
Semi pro
Inscrit: 13/02/2006 17:40
De Belgique
Messages: 812
Bonjour à tous

Cette fois mon site a été solidement atteind par un hackeur.
Ces sales types se permettent d'anéantir des mois de travail acharnés, c'est débile et vraiment "petit", vu que c'est gratuit !
Je l'avais déjà vécu voici quelques mois, mais moins gravement !

Qui peut m'aider ?
Je suis en version 2.0.15, et protector est installé, mais avec le register global à "on"
Je suis sur un serveur mutualisé d'OVH.

Voici le message d'erreur à l'ouverture du site

Forbidden

You don't have permission to access / on this server.

------------------------------------------------------------------------
Apache/1.3.37 Server at www.ericdj.eu Port 80



OVH m'envoie ceci:

Bonjour,

Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

Problème rencontré : Hidden PERL script
Commande apparente : httpd -DSL
Exécutable utilisé : /usr/bin/perl
Horodatage: Wed Nov 15 19:23:22 CET 2006

Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.

Si ce n'est pas vous qui avez lancé ce script, cela signifie
qu'il y a une faille sur votre site et qu'un hacker s'en
est servi pour réaliser cette opération.

Nous avons désactivé l'accès web temporairement pour éviter tout
risque de nouveau piratage.

Vous pouvez vous connecter via ftp, pour modifier les scripts qui
peuvent poser problème. Pensez également à mettre à jour les
logiciels que vous utilisez comme phpnuke, phpbb, etc.

Comment faire ?
Consultez ces guides :
- http://guides.ovh.com/AlerteHackMutu
- http://guide.ovh.com/SecuriteSite

Une fois le problème résolu, vous pouvez réouvrir votre site
en remettant les bons droits sur le répertoire "www" (chmod 705 www).

Contactez notre support si vous ne parvenez pas à réouvrir l'accès
web par vous-même. Notez que les équipes du support ne peuvent pas
rechercher l'origine du problème pour vous, mis à part dans le
cadre d'une opération payante d'infogérance.

Amicalement
L'équipe d'ovh


OVH m'a également fournit un fichier log, permettant "à un pro" de déceler la faille.Il est visible ICI

Pour info supplémentaire, j'ai enlever tous les fichiers, et les ai remplacés ensuite. Rien n'y fait ! Si c'est dans la base de données que ça se passe, bonjour le folklore !

Je poste ce message non seulement pour obtenir de l'aide, mais aussi pour informer les Xoopsiens de ce qui apparemment pourrait arriver à chacun !

En ne le souhaitant à personne bien-sûr !

Merci d'avance à tous !!!

Johann1

Posté le : 16/11/2006 15:48
Partager Twitter Partagez cette article sur GG+
Re: Piraté, hacké, hackeur ... =site fermé par OVH !
Admin Frxoops
Inscrit: 04/02/2003 07:37
De Belgique
Messages: 3376
Tu peux commencer par modifier tout tes codes d'accès...


Posté le : 16/11/2006 16:19
Partager Twitter Partagez cette article sur GG+
Re: Piraté, hacké, hackeur ... = site fermé par OVH !
Semi pro
Inscrit: 13/02/2006 17:40
De Belgique
Messages: 812
Citation :
par Solo71 sur 16/11/2006 16:19:13

Tu peux commencer par modifier tous tes codes d'accès...


Je commence solo ! Merci pour la suite !

Au fait, voici les modules que j'utilise:

backup
blocksadmin
boox
camportail
catads
chess
contact
frozen_bubble
googlemaps
icontent
jobs
MadGames
marquee
meteomedia
modxoopsinfo
multiMenu
myhome
mylinks
news
pages
piCal
protector
shortcuts
smartpartner
smartsection
sudoku
tinyeditor
userpage
weblinks
wfdownloads
xhnewbb
xoopsfaq
xoopsgallery
xoopsmembers
xoopspartners
xoopspoll
rwbanneer
extgallery
rss center
rss headline

Posté le : 16/11/2006 16:28

Edité par johann1 sur 16/11/2006 17:26:40
Partager Twitter Partagez cette article sur GG+
Re: Piraté, hacké, hackeur ... = site fermé par OVH !
Xoops accro
Inscrit: 25/11/2004 12:53
De 48400 Florac - France
Messages: 3370
Citation :
Au fait, voici les modules que j'utilise


J'ajouterai, puisque j'en parlais en privé avec Johann, que sont également présent sur son serveur des scripts non-xoops, ce qui complique le problème.
Il serait peut-être utile de les recenser aussi.

Philippe.

Posté le : 16/11/2006 17:41
Partager Twitter Partagez cette article sur GG+
Re: Piraté, hacké, hackeur ... = site fermé par OVH !
Semi pro
Inscrit: 13/02/2006 17:40
De Belgique
Messages: 812
Effectivement Phil !

Je les oubliais ceux-là ! (hors module)
Mais je les ai enlevés ! ... de la base de données !
il s'agit du fabuleux Tchat de Tufat ... et de leur système d'achat de pixels.
Fameusement bien sécurisé je pense...
Mais tu remarqueras qu'à aucun moment dans le fichier log d'OVH, n'est reporté une intro dans le tchat. Il fallait être inscrit sur le site pour pouvoir accéder au tchat.

Phil, pour info j'ai changé tous les accès !

Posté le : 16/11/2006 17:59
Partager Twitter Partagez cette article sur GG+
Re: Piraté, hacké, hackeur ... = site fermé par OVH !
Xoops accro
Inscrit: 15/07/2004 11:16
Messages: 4763
Citation :

Mais tu remarqueras qu'à aucun moment dans le fichier log d'OVH, n'est reporté une intro dans le tchat. Il fallait être inscrit sur le site pour pouvoir accéder au tchat.


tu as quoi comme logs sous la main ?
même s'il y a une faille dans un module, ce ne sont pas les droits d'accès qui empêcheront de l'exploiter.

Posté le : 16/11/2006 19:05
Partager Twitter Partagez cette article sur GG+
Re: Piraté, hacké, hackeur ... = site fermé par OVH !
Semi pro
Inscrit: 13/02/2006 17:40
De Belgique
Messages: 812
Salut Blueteen !

C'est tout à fait logique !

As-tu une idée pour remettre ce site en route ?
Je commence à avoir des crampes au ventre !
C'est un truc qui me dépasse !

Cordialement

Posté le : 16/11/2006 20:55
Partager Twitter Partagez cette article sur GG+
Re: Piraté, hacké, hackeur ... = site fermé par OVH !
Xoops accro
Inscrit: 25/11/2004 12:53
De 48400 Florac - France
Messages: 3370
Pour la question de remettre le site en route il te suffit de remettre le dossier www sur ton ftp en chmod 705 et de voir si tu continues à avoir une alerte OVH.
C'est quoi le script que tu avais dans ton dossier "eridj" ?

Philippe.

Posté le : 16/11/2006 21:16
Partager Twitter Partagez cette article sur GG+
Re: Piraté, hacké, hackeur ... = site fermé par OVH !
Semi pro
Inscrit: 21/11/2004 17:40
De Un petit coin de Belgique
Messages: 826
Bonjour,

@blueteen, les fichiers de logs sont dans le premier post

Ensuite l'attaque était dirigée sur flashchat!

En effet, une recherche google sur "flashchat v4.5.7" à pointé sur ton site;

Ensuite tu as eu une attache 8000 hits sur le fichier "/Eric-Dj/inc/cmses/aedating4CMS.php"

Et j'ai trouvé des vulnérabilité sur flashchat version <=4.5.7 Ici

A prioris, il a utilisé cette vulnérabilité pour installer d'autres fichiers sur ton hébergement et ensuite pouvoir avoir accès à tes fichier et à ta base de donnée

Donc pour moi Xoops n'est absolument pas en cause..

Merci aux autres de confirmer mon analyse

Posté le : 16/11/2006 22:17

Il y a 10 types de personne dans le monde, ceux qui comprennent le binaire et les autres
Partager Twitter Partagez cette article sur GG+
Re: Piraté, hacké, hackeur ... = site fermé par OVH !
Semi pro
Inscrit: 13/02/2006 17:40
De Belgique
Messages: 812
Merci Phil, Merci Satanas !

Dans le dossier ericdj se trouvait flashchat de Tufat ! Effectivement la version énoncée par Satanas ! Je n'avais pas lu cette faille sur leur site !

Quant au fait de faire un chmod 705 sur www, je l'ai fait à plusieurs reprises tout en ayanty enlevé à la main, certains modules, mais en vain ! Tous ces fichiers sont une sauvegarde que j'ai remis sur FTP.

Cela dit, quelle est la marche à suivre maintenant ! Ca vient de la base de données, et comment savoir quoi, et que faire ?

Merci

Dernière minute: Je viens encore de trouver ceci sur le site de Flashchat( http://forum.tufat.com/showthread.php?t=26358 ), et ils proposent de faire une manoeuvre similaire à celle que nous faisons avec mainfile.php. Eloigner les données sql, login, bd dans un fichier distant.

... si j'ai bien comprit parc'que mon english...

Posté le : 16/11/2006 22:30

Edité par johann1 sur 16/11/2006 22:53:06
Edité par johann1 sur 16/11/2006 22:55:04
Partager Twitter Partagez cette article sur GG+

 Haut   Précédent   Suivant
(1) 2 »



Vous pouvez voir les sujets.
Vous ne pouvez pas débuter de nouveaux sujets.
Vous ne pouvez pas répondre aux contributions.
Vous ne pouvez pas éditer vos contributions.
Vous ne pouvez pas effacez vos contributions.
Vous ne pouvez pas ajouter de nouveaux sondages.
Vous ne pouvez pas voter en sondage.
Vous ne pouvez pas attacher des fichiers à vos contributions.
Vous ne pouvez pas poster sans approbation.

Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

64 Personne(s) en ligne (52 Personne(s) connectée(s) sur Forum) | Utilisateur(s): 0 | Invité(s): 64 | Plus ...