attaque hacker sur le site [Réglé]
plus moyen se de connecter
Support Général
patgame Membre non connecté
Booster Missile
- Booster Missile
- Voir le profil du membre patgame
- Inscrit le : 03/09/2009
- Site internet
- Groupes :
le titre est éloquent
je ne sais pas comment mais des hackers sont entrés ds le site funny-rockers.fr et ont déposés ds le dopssier upload un fichier html:
~/funny-rockers/upload/dsrd.html
voici le message de mon serveur du 4 septembre il m a échappé je ne suis pas tjrs devant la machine
"Vous recevez un message urgent concernant la sécurité de votre contrat 1&1. Il y a quelques minutes, notre scanner antivirus a signalé qu'un fichier nuisible a été chargé sur votre espace web. Nom du fichier : ~/funny-rockers/upload/dsrd.htm" fichier detruit par le site comment faire ?? mercipat
Édité par patgame Le 11/12/2013 à 18h04
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
déjà si tu n'a pas besoin d'upload des fichier HTML désactive cette extension dans l'administration.
Ensuite si le fichier est encore présent regarde qui l'a upload (administration -> contenu -> fichiers -> gestion -> fouille jusqu'à le trouver dans un répertoire membres).
Si il a été supprimé par 1&1 va voir dans le BDD PREFIX_upload et cherche "dsrd.html" ou alors exécute cette requête SQL (bien remplacer PREFIX)
Code SQL :
puis si il trouve quelque chose tu regarde la colonne "user_id" et tu sera quel membre l'a upload.SELECT * FROM PREFIX_upload WHERE path LIKE '%dsrd%';
Si tu ne trouve vraiment rien alors ton compte FTP est vérolé et un changement de mot de passe du FTP/compte client/compte admin de ton site seront nécessaire pour garantir une sécurité.
Cordialement, janus57
Édité par janus57 Le 11/12/2013 à 20h00
patgame Membre non connecté
Booster Missile
- Booster Missile
- Voir le profil du membre patgame
- Inscrit le : 03/09/2009
- Site internet
- Groupes :
Sorry, we encountered a problem and we cannot complete your request...
par contre je peux aller sur l'admin du site chez mon fournisseur je vais fairte la requete sql que tu m'as indiqué je te tiens au courant
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
Citation :
Sorry, we encountered a problem and we cannot complete your request
Dans ce genre de cas direction le FTP, dossier /cache puis lecture du fichier error.log
Cordialement, janus57
patgame Membre non connecté
Booster Missile
- Booster Missile
- Voir le profil du membre patgame
- Inscrit le : 03/09/2009
- Site internet
- Groupes :
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
patgame :
Bonsoir,
Citation :can't connect to database!. (ERRNO 1045) Access denied for user 'XXXXX'@'217.160.155.169' (using password: YES)
En gros ton accès à la BDD est refusé pour cette utilisateur.
Surement un blocage de 1&1 suite à la découverte du virus, donc là y a pas 36.000 solutions, contact le support de 1&1 pour qu'il te débloque.
Sinon as-tu réussis à trouver dans la BDD le nom du fichier ?
Cordialement, janus57
patgame Membre non connecté
Booster Missile
- Booster Missile
- Voir le profil du membre patgame
- Inscrit le : 03/09/2009
- Site internet
- Groupes :
ben j'ai contacte mon fournisseur eux me dise le serveur marche bien c'est votre code ds le cms qui a un probleme et hop je botte en touche
donc que faire
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
patgame :
oui j'(ai meme le nom du user
ben j'ai contacte mon fournisseur eux me dise le serveur marche bien c'est votre code ds le cms qui a un probleme et hop je botte en touche
donc que faire
ben j'ai contacte mon fournisseur eux me dise le serveur marche bien c'est votre code ds le cms qui a un probleme et hop je botte en touche
donc que faire
Bonsoir,
le message SQL est très clair, l'user SQL n'a pas accès la la BDD.
Le mot de passe SQL a été changé ?
La BDD apparaît toujours dans l'espace client ?
Toujours le même serveur ?
En tout cas PHPBoost est hors course, ce n'est pas un problème côté PHPBoost cela est certain.
Cordialement, janus57
patgame Membre non connecté
Booster Missile
- Booster Missile
- Voir le profil du membre patgame
- Inscrit le : 03/09/2009
- Site internet
- Groupes :
oui jh'ai acces a mysql chez le fournisseur
je viens de faire un rapprochement ceci est arrivé apres que je me sois servi du logiciel putty pour sauvegarder maz base quisque trop grosse pour phpb
tjrs le meme serveur ? oui 1and1
j'ai une restauration faite pa
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
patgame :
non le mot de passe sql n'a pas ete changé
oui jh'ai acces a mysql chez le fournisseur
je viens de faire un rapprochement ceci est arrivé apres que je me sois servi du logiciel putty pour sauvegarder maz base quisque trop grosse pour phpb
tjrs le meme serveur ? oui 1and1
j'ai une restauration faite pa
oui jh'ai acces a mysql chez le fournisseur
je viens de faire un rapprochement ceci est arrivé apres que je me sois servi du logiciel putty pour sauvegarder maz base quisque trop grosse pour phpb
tjrs le meme serveur ? oui 1and1
j'ai une restauration faite pa
Bonsoir,
là je peu pas aider alors, c'est à vous de faire les test, en tout cas votre utilisateur MySQL couplé avec le mot de passe qui est configuré dans PHPBoost se vois refusé l'accès à la BDD.
Donc...
Cordialement, janus57
Édité par janus57 Le 11/12/2013 à 20h41
lobab Membre non connecté
Booster Mortier
- Booster Mortier
- Voir le profil du membre lobab
- Inscrit le : 25/02/2012
Pour vérifier que ton site n'a pas subi de changement d'identifiants à ton server sql, il faut que tu te connectes en ftp et tu regardes dans le fichier "config.php" situé dans le dossier /kernel/db/.
Tu y trouveras les identifiants à ta bdd et tu verras si la config de ce fichier est toujours ok ou pas ...
La puissance est un sommet de connaissances et l'intelligence est le moyen d'y accéder ... Est-ce pour ça qu'il y a tant de cons en bas des pistes ???
Heureux celui qui est sourd, lui au moins, peut écouter le silence
Heureux celui qui est sourd, lui au moins, peut écouter le silence
patgame Membre non connecté
Booster Missile
- Booster Missile
- Voir le profil du membre patgame
- Inscrit le : 03/09/2009
- Site internet
- Groupes :
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
patgame :
Bonsoir,
à la place de récupéré ce fichiers trouvé comment ou qui l'a upload serait plus intéressant à ce niveau.
De plus on dirais qu'il on essayer d'utiliser le pseudo exploit qui consiste à envoyer un fichier HTML en upload, mais ça s'arrête là.
Après 1&1 le détecte comme "virus" surement à cause de la jolie phrase "hacked by".
Par contre la top priorité et de savoir comment se fichier c'est retrouvé sur ton FTP, car si on combine ceci avec l'erreur SQL on dirais un jolie compte FTP vérolé.
Après sans plus d'infos on peu pas trop aider.
Donc voici la priorité des choses à faire :
- Donc est-ce que ce fichier apparait quelque part dans la BDD ?
- Si non : est-ce que tes logs FTP montre un accès non autorisé ?
- Si non envoie les logs apache.
Cordialement, janus57
patgame Membre non connecté
Booster Missile
- Booster Missile
- Voir le profil du membre patgame
- Inscrit le : 03/09/2009
- Site internet
- Groupes :
qu'est ce qu'ils ont foutus dedans pour ne plus pouvoir aller sur le site du tout ?
pour les logs sur le ftp file zilla je ne sais pas ou c'est ? et envoyé des logs apache tu me parles chinois
j'ai trouve qui m'a envoye ds mysql et j'ai effacé de suite le gaillard pour eviter qu'il se reconnecte mais comme je n ai pas lamain il peut se remettre sous n'importe quel nom!
en fait j'autorise le upload aux membres mais normalement ça doit passer en validation par moi non
Édité par patgame Le 11/12/2013 à 22h25
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
patgame :
oui malheureusement je viens de regarder ds my sql et ds la db sauverargée par ssh 3 fois helas ces fichiers y figurent
qu'est ce qu'ils ont foutus dedans pour ne plus pouvoir aller sur le site du tout ?
pour les logs sur le ftp file zilla je ne sais pas ou c'est ?
j'ai trouve qui m'a envoye ds mysql et j'ai effacé de suite le gaillard
qu'est ce qu'ils ont foutus dedans pour ne plus pouvoir aller sur le site du tout ?
pour les logs sur le ftp file zilla je ne sais pas ou c'est ?
j'ai trouve qui m'a envoye ds mysql et j'ai effacé de suite le gaillard
Bonsoir,
donc vous trouvez bien le fichier "dsrd.html" dans la table _upload ?
Si vous regarder quel user_id l'a uploadé, puis allez dans la table membre et chercher à qui correspond cette ID, puis vous aurez le compte vérolé.
Après si ce compte avez un accès admin ils on pu faire tout et n'importe quoi.
Cordialement, janus57
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie