[Résolu]Piratage: H4C3D by MORSAY
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
Reprise du message précédent
Bonsoir,Edit: bref mon message initial n'a pas passé et est perdu
Donc en gros dans les logs du 21, 3IP étrangère se sont connecté à ton adminsitration et on fait diverse action (don modification de ta config general, membre, BDD, backup BDD).
Cordialement, janus57
Édité par janus57 Le 29/10/2013 à 20h38
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
cordialement.
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
leviator31 :D'accord, je vous remercie tous de votre aide, mais, une dernière question: Comment on-t-il pu accéder à l'administration? et comment je répare ça?
cordialement.
Bonsoir,
aucune idée, mais il se sont soit connecter via le site soit via l'interface admin, et ce sont toute des IP d'hébergeur (US et allemand).
la première IP voici le logs d'arrivé sur ton site :
Citation :
87.118.91.x - - [21/Oct/2013:01:30:50 +0200] "GET / HTTP/1.1" 200 31276 www.pokemon-dimension.fr "http://www.pokebip.com/pokemon/index.php?phppage=membres/page-perso&u=178152" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0" "-"
87.118.91.x - - [21/Oct/2013:01:30:56 +0200] "GET / HTTP/1.1" 200 31275 www.pokemon-dimension.fr "http://www.pokebip.com/pokemon/index.php?phppage=membres/page-perso&u=178152" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0" "-"
Puis elle à fait ceci :
Citation :
87.118.91.x - - [21/Oct/2013:01:34:44 +0200] "POST /database/admin_database.php?token=46912a4a8a7e6477 HTTP/1.1" 200 34647 pokemon-dimension.fr "http://pokemon-dimension.fr/database/admin_database.php" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0" "-"
87.118.91.x - - [21/Oct/2013:01:34:48 +0200] "POST /database/admin_database.php?action=backup&token=46912a4a8a7e6477 HTTP/1.1" 200 25362 pokemon-dimension.fr "http://pokemon-dimension.fr/database/admin_database.php?token=46912a4a8a7e6477" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0" "-"
87.118.91.x - - [21/Oct/2013:01:34:57 +0200] "GET /database/admin_database.php?error=backup_success&file=backup_db374432570_13-10-21-01-34-48.sql HTTP/1.1" 200 63337 pokemon-dimension.fr "http://pokemon-dimension.fr/database/admin_database.php?token=46912a4a8a7e6477" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0" "-"
Pour ma part en tant que simple utilisateur je dirais qu'un de tes compte admin a été vérolé, si tu était le seul alors ton pass a fuité sur le net.
Après peut être que y a bien une faille, mais perso les logs me font plus pensé à une connexion sans utilisations de failles, sinon y a pas que ton site qui aurait été compromis, hors tu es le seul qui remonte un hack pour le moment.
Cordialement, janus57
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
EDIT: nouveauté: http://pokemon-dimension.fr/user/connect/unexisting me ramène vers une 404 lors que je tapes de faux identifants
Ouhlà, je viens de m'apperçevoir que de nombreux fichiers ont été supprimés notamment le dossier maintain
Je vais remettre des fichiers neufs là où ils ont été supprimé pour voir si ça marche
EDIT 3: Les fichiers vierges ne comportent ni le maintain ni le connect/unexisting
Édité par leviator31 Le 29/10/2013 à 21h25
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
les fichier ont été effacé depuis ton panel &1& vu que c'est une IP de 1&1 qui les a supprimé.
Donc tout tes sites sont potentiellement vérolé vu que tu as le même pass partout.
Cordialement, janus57
Édité par janus57 Le 29/10/2013 à 21h23
Teki Membre non connecté
Booster Mortier
- Booster Mortier
- Voir le profil du membre Teki
- Inscrit le : 17/02/2013
Citation :
Donc tout tes sites sont potentiellement vérolé vu que tu as le même pass partout.
Ça c'est certainement la pire faute à ne pas commettre : Un pass différent pour chaque site, accès FTP, SQL, admin, ... c'est le minimum (;
"Je suis un mec simple, y'a pas plus compliqué que moi"
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
Mais je me demande toujours ce que cette url veut dire:
Citation :
http://www.pokebip.com/pokemon/index.php?phppage=membres/page-perso&u=178152
Édité par leviator31 Le 30/10/2013 à 10h04
ReidLos Membre non connecté
- Modérateur
- Voir le profil du membre ReidLos
- Inscrit le : 27/02/2009
- Site internet
- Groupes :
- Equipe Développement
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
leviator31 :
Non, je ne le connais pas, mais que signifie cette url? Qu'il s'est connecté avec un formulaire sur sa page perso disponible à cette adresse?
Bonsoir,
cela qu'il est venu sur ton site depuis cette adresse.
Cordialement, janus57
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
EDIT: Est-ce normal qu'une installation vierge ne contienne pas le dossier de maintenance?
Édité par leviator31 Le 31/10/2013 à 13h05
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
leviator31 :
D'accord. Mon compte ayant été récemment supprimé (c'était néanmoins avant le piratage), il était possible que j'ai eu cet ID et un lien était présent sur ma page perso donc c'est peut-etre par là que le pirate cs'est introduit. J'ai tout compris, mon compte pokebip à été piraté, il a les mêmes informations que moi, merci à tous pour votre aide.
Bonjour,
maintenant tu sais ce qu'il te reste à faire, avoir plusieurs séries de passwords, et si tu as peur de ne pas les retenir il existe de très bon soft qui le font à ta place.
Cordialement, janus57
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
Mais comment réparer mon site? Et est-ce-normal que les installations vierges ne contiennent pas de dossier de maintenance
Édité par leviator31 Le 31/10/2013 à 13h09
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
leviator31 :
Non, c'est bon, chaque site (ou presque) à désormais son propre password.
Mais comment réparer mon site? Et est-ce-normal que les installations vierges ne contiennent pas de dossier de maintenance
Mais comment réparer mon site? Et est-ce-normal que les installations vierges ne contiennent pas de dossier de maintenance
Bonjour,
tu as juste à re-faire une installation propre ou a envoyer un backup.
Et une install de base à bien le "dossier" de maintenance.
Cordialement, janus57
leviator31 Membre non connecté
Booster Fronde
- Booster Fronde
- Voir le profil du membre leviator31
- Inscrit le : 28/10/2013
- Site internet
Mais les fichiers de maintenance sont bien à racine/user/maintain ?
Édité par leviator31 Le 31/10/2013 à 16h51
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
leviator31 :
Mais les fichiers de maintenance sont bien à racine/user/maintain ?
Bonsoir,
non ils sont dans le template par défaut pour la partie .tpl et CSS
Si tu fait une réinstall il me semble que ta BDD sera écrasé, de plus je te conseil de tout recommencer à eéro vu que la gars avait touché à tes utilisateurs (ID N°5 d'après les logs), donc si il a mis un autre user en mode admin il pourra de nouveau revenir.
Cordialement, janus57
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie