[Résolu]Piratage: H4C3D by MORSAY
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
Édité par leviator31 Le 31/10/2013 à 21h16
ReidLos Membre non connecté
- Modérateur
- Voir le profil du membre ReidLos
- Inscrit le : 27/02/2009
- Site internet
- Groupes :
- Equipe Développement
Visiblement une personne mal intentionnée à eu accès à ton administration et a modifié le contenu de la maintenance.
As-tu plusieurs administrateurs sur ton site ? Les mots de passe ne sont pas trop facile à deviner ?
ReidLos
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
Teki Membre non connecté
Booster Mortier
- Booster Mortier
- Voir le profil du membre Teki
- Inscrit le : 17/02/2013
Regarde si le fichier index.php à la racine du site n'a pas été modifié.
Sinon, je penche pour un bruteforce ou autre méthode directement sur le FTP. Même si le hacker a réussi a avoir tes identifiants admin sur PBT, il ne peut pas agir sur ces fichiers.
Quand à l'injection SQL, impossible puisque ça ne lui permettrai pas de modifier les fichiers du serveur. A la limite récupérer les identifiants (si le code de PHPBoost n'était pas protégé, ce qui n'est pas le cas) mais même avec les identifiants et pass de l'administrateur, on ne peut modifier les fichiers..
D'ailleurs, tu pourras dire à ton cousin qu'une injection SQL se fait via une faille PHP, pas en regardant la BDD (;
A la sortie de la version 4.0, j'avais testé sur plusieurs formulaires des injections SQL, ça n'a jamais rien donné...
Édité par Teki Le 28/10/2013 à 21h46
"Je suis un mec simple, y'a pas plus compliqué que moi"
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
Teki :
Bonsoir.
Regarde si le fichier index.php à la racine du site n'a pas été modifié.
Sinon, je penche pour un bruteforce ou autre méthode directement sur le FTP. Même si le hacker a réussi a avoir tes identifiants admin sur PBT, il ne peut pas agir sur ces fichiers.
Quand à l'injection SQL, impossible puisque ça ne lui permettrai pas de modifier les fichiers du serveur. A la limite récupérer les identifiants (si le code de PHPBoost n'était pas protégé, ce qui n'est pas le cas) mais même avec les identifiants et pass de l'administrateur, on ne peut modifier les fichiers..
D'ailleurs, tu pourras dire à ton cousin qu'une injection SQL se fait via une faille PHP, pas en regardant la BDD (;
A la sortie de la version 4.0, j'avais testé sur plusieurs formulaires des injections SQL, ça n'a jamais rien donné...
Regarde si le fichier index.php à la racine du site n'a pas été modifié.
Sinon, je penche pour un bruteforce ou autre méthode directement sur le FTP. Même si le hacker a réussi a avoir tes identifiants admin sur PBT, il ne peut pas agir sur ces fichiers.
Quand à l'injection SQL, impossible puisque ça ne lui permettrai pas de modifier les fichiers du serveur. A la limite récupérer les identifiants (si le code de PHPBoost n'était pas protégé, ce qui n'est pas le cas) mais même avec les identifiants et pass de l'administrateur, on ne peut modifier les fichiers..
D'ailleurs, tu pourras dire à ton cousin qu'une injection SQL se fait via une faille PHP, pas en regardant la BDD (;
A la sortie de la version 4.0, j'avais testé sur plusieurs formulaires des injections SQL, ça n'a jamais rien donné...
Bonsoir,
@Teki pour le bruteforce directement via l'interface web ou FTP je pense qu'il peu oublier (PHPBoost bloque au bout de 5 tentatives, et pour le FTP je pense que son hébergeur (1&1 ?) à une protection.
Par contre je t'invite fortement à voir auprès du support de ton hébergeur pour voir si il peuvent te donner les logs ou au moins les dernières IP qui se sont connecté à ton FTP/espace client.
Ensuite tu fera un scan complet de ton PC avec un bon anti-virus (oublie avast si tu l'a) et tu pensera à faire les MAJs windows (si tu es sous windows), plus globalement de ton PC ainsi que des logiciel "critique" que tu utilise (navigateur & autre).
Car soit tu as un magnifique petit virus sur ton PC, soit ton mot de passe client/site n'était pas si "fort" que ça, soit encore tu t'es connecté à ton FTP depuis un point wifi publique ou un réseau publique en passant par le protocole FTP et non FTPES.
En tout cas ici la personne à soit eu accès juste à ton site, soit à l'intégralité de ton FTP voir compte client, donc la faille se situe de ton côté.
Cordialement, janus57
Teki Membre non connecté
Booster Mortier
- Booster Mortier
- Voir le profil du membre Teki
- Inscrit le : 17/02/2013
"Je suis un mec simple, y'a pas plus compliqué que moi"
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
Teki :
@janus : Justement, il y a encore des hébergeurs qui n'ont pas de protection anti-bruteforce sur le FTP (c'est bien sur le FTP que je parlais, un accès à l'administration de PBT ne permettrai pas ce qui a été fait).
Bonsoir,
je pense que c'est lui qui a supprimé les dossier sur son FTP pour ne plus avoir la page alors que le "hacker" avait peut être juste modifier la page de maintenance via l'administration du site.
Quand à la protection FTP si son hébergeur n'en a pas ce n'est pas un hébergeur dans ce cas, cela s’appel juste un charlatent qui se prend pour un hébergeur mais n'est pas capable de gérer son infrastructure correctement avec un minimum de règles/normes.
J'ai déjà eu l'accès FTP d'un ami qui a été compromis suit à un trojan sur son PC, donc comme quoi sa peu arriver à n'importe qui et n'importe quand.
Cordialement, janus57
ElenWii Membre non connecté
- Administrateur
- Voir le profil du membre ElenWii
- Inscrit le : 14/08/2009
- Site internet
- Groupes :
- Equipe Graphique
leviator31 est-ce que tu peux nous transmettre les logs de ton serveur que l'on regarde les actions faites. Cela permettra de trouver la raison du piratage.
S'il y a une faille, nous pourrons la trouver
ElenWii
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
En attendant les logs (je crois qu'il faut les demander a l'hébergeur ayant un hébergement mutualisé) je vous remercie tous pour m'avoir aidé, mais visiblement, ce n'est pas un hack ftp car mon forum (n'utilisant pas le module phpboost.) n'a pas été piraté ainsi que mon autre site (le cms n'est pas phpboost) et aucunes données n'ont été modifiées.
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
leviator31 :
D'accord, je peux vous les donner, mon hébergeur est 1&1 et mon pc est a jour et ne contient que ce qui est considéré par Avira comme AdWare qui sont des programmes affichant des popup publicitaires indésirables, me semble-t-il.
En attendant les logs (je crois qu'il faut les demander a l'hébergeur ayant un hébergement mutualisé) je vous remercie tous pour m'avoir aidé, mais visiblement, ce n'est pas un hack ftp car mon forum (n'utilisant pas le module phpboost.) n'a pas été piraté ainsi que mon autre site (le cms n'est pas phpboost) et aucunes données n'ont été modifiées.
En attendant les logs (je crois qu'il faut les demander a l'hébergeur ayant un hébergement mutualisé) je vous remercie tous pour m'avoir aidé, mais visiblement, ce n'est pas un hack ftp car mon forum (n'utilisant pas le module phpboost.) n'a pas été piraté ainsi que mon autre site (le cms n'est pas phpboost) et aucunes données n'ont été modifiées.
Bonjour,
tu as les logs dans ton FTP dans le dossier "logs" vu que tu es chez 1&1.
De plus pour savoir si tu as un compte admin qui a été vérolé tu regarde le timestamp de la dernière connexion de tout les comptes admin présent sur ton site, si tu trouve une date à laquelle tu n'a pas pu te connecter c'est surement que ton passe a été vérolé ou alors qu"il y a effectivement une faille dans PHPBoost, mais les dev's ne pourront le dire qu'après analyse des logs.
Cordialement, janus57
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
Merci à vous tous pour votre aide.
ElenWii Membre non connecté
- Administrateur
- Voir le profil du membre ElenWii
- Inscrit le : 14/08/2009
- Site internet
- Groupes :
- Equipe Graphique
Que l'on cherche au bon moment
Il ya plusieurs IP dans les logs FTP, tu n'as pas d'IP fixe ?
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
leviator31 :Euh... Ayant essayé de me connecter en tapant l'url de l'admin (mais après la connexion, j'étais renvoyé sur cette page), cela risque d'être faussé, mais en attendant, le contenu de mon dossier "logs" est disponible à l'url suivante: http://www.urban-rivals-masters.fr/logspokedim.zip
Merci à vous tous pour votre aide.
Bonsoir,
est-ce que le 28/Oct/2013 vers 20:35:00 tu as fait une action sur ton panel 1&1 ou compte FTP ?
Car dans les logs on vois une action sur le dossier PHPBoost.
Quand est-ce que tu as remarqué le changement de page ?
Cordialement, janus57
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
Édité par leviator31 Le 29/10/2013 à 18h54
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
Edit: bref mon message initial n'a pas passé et est perdu
Donc en gros dans les logs du 21, 3IP étrangère se sont connecté à ton adminsitration et on fait diverse action (don modification de ta config general, membre, BDD, backup BDD).
Cordialement, janus57
Édité par janus57 Le 29/10/2013 à 20h38
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie