salut

Je viens de reçevoir ceci de mon hebergeur:

Mes collègues sysadmins nous ouvrent au support un dossier afin de nous
informer que votre espace web fût piraté suite à une faille de l'un de
vos scripts (PHP, Perl, CGI, .).

Cette alerte concerne votre compte client ****

Voici les logs communiqués par mes collègues :
/kunden/usr/bin/perl

Nous vous recommandons de mettre rapidement à jour l'ensemble des
scripts sur votre présence internet et inspecter cette dernière afin de
découvrir d'éventuels fichiers suspects.

Comment mettre a jours les scriptes ??

salut,
et que contiennent les logs en question ?
là on a rien du tout !
il faut les exploiter ou nous les faire passer pour qu'on essaie de voir s'il y a des éléments dedans.
ensuite, tu ne nous précises pas ton hébergeur, ni le type d'hébergement.
tu n'indiques pas non plus le xoops utilisé (version), ni les modules et leurs versions.
@++

salut

Je ne sais pas enfaite parceque mon ftp est vide je trouve plus xoops dedans et le site marche !! je ne comprend pas ou est sont parti ces fichiers !

Hebergeur: 1and1 , un hebergement normal quoi je paye chaque ans !
Modules : cbb 1.16
news 1.1
faq 1.1
tiny content 1.5
smart faq 2.12
my albums 2.86
my dowonland1.1
Version de xoops: la dernière
Et ya installé le module protector

Message envoiyé :

Notre équipe de sécurité nous informe qu'un programme tente de
s'approprier un port sur nos serveurs :
/kunden/usr/bin/perl listening on *:859*67 at infong985:


Dans le cadre d'un hébergement mutualisé, s'approprier un port
défavorise le reste des utilisateurs qui sont sur le même serveur que
vous. Je vous demande donc d'éviter à l'avenir ce genre de comportement
pour le bien de tous les utilisateurs.

Merci de votre compréhension.

Bonjour

J'avais aussi un probléme avec mon hébergeur comme indiqué sur Ce Poste

et voilà ce que j'ai fait :

- une mogration du 2.0.15 vers 2.0.16.
- instalation de Protector
...

Mais je viens de recevoir ces mails de l'hébergeur après avoir fait ces étapes :

Citation :

et

Citation :


alors comme indiqué , il y a peut être une faille de sécurité sur xoops 2.0.15 et 2.0.16 ...

Avez vous une idée ?

on y passant, je leur ai envoyé un mail demandant des logs, mais pas de réponse, tout ce que j'ai eu c encore des avertissements, mais bon, j'ai mes sauvgardes au cas où

mais ça n'empêche de chercher l'origine de cette faille ^^


Merci

sans les logs vous allez avoir du mal à remonter à la source ! (et nous aussi du coup)

pour palou34, dans les modules, j'en vois des très anciens, il faudra commencer par les mettre à jour.

@guitariste : sans les logs, personne ne pourra te dire par où et comment sont passés les pirates.

pour ne pas perdre ceux qui participent à ton post, et éviter les doublons de réponses, tu devrais rester près de ton post
tu as bien fait de mettre le lien, mais pour tes réponses restons plutôt sur le tien.
vous n'avez pas le même souci, ni le même hébergeur.

salut,

Merci pour votre réponse!

Mais vous aurez pas un article ou je peux trouver comment le je met a jour tous ceci ! Merci infiniment

Bonjour,

j'ai eu le même message de l'hébergeur, mais pas de probleme au niveau du fonctionnement du site.

Mutualisé gratos 1&1
xoops 2.0.16
news 1.15
tinycontent 1.5
newbb 1.14
mxdir 3.01 entre autres

1er message


/kunden/usr/bin/perl inexistant sur le ftp

2eme message, 10 jours plus tard:


Sachant que la fin de la gratuité de l'hebergement est proche, est il possible qu'il s'agisse d'une opération commercial ? ;)

j'ai mis protector, mais pas facile à config pour un novice.

Merci pour les témoignages ;)

dans vos 2 cas, je vois le module news 1.1x !
qui est ultra-ancien !
je vois qu'il est fait références à print.php (enfin ce ne sont pas des logs ça), et en ce moment justement, il y a une vague de piratages à partir de fichiers de ce genre (print.php) sur les modules anciens.
donc, si piratage il y a eu, ça se sera sans doute passé par là.

Dans l'urgence, une suppression du fichier print.php peut régler pas mal de choses... Bon ca fera des erreurs 404 pour ceux qui veulent imprimer une news mais c'est pas trop grave...

effectivement blueteen, version trop vieille pour les news, j'avais pas fait gaffe (pourtant je l'ai sur mon autre site en 1.5)

Virer le print.php, pourquoi pas, mais pour les news, m'en fou, pour l'autre module c'est une partie importante, donc ... bah on verra bien.

Le principal c'est la sauvegarde, et la réinstalle on est habitué sur le PC grace à bilou (pirate!!! lui aussi)

Merci ++