Forum

Reprise du message précédent

Ok, pour te remettre admin, vas dans la base de données via PHPMyAdmin, table phpboost_member, tu cherches ton compte et tu l'édites.
Dans level tu mets 2 et dans mot de passe tu mets ceci

837a568aa5767f7fb4e193b14766fd8e9e4c4865538f7412f8e683653d0f46b4

Maintenant tu te connectes à l'administration de PHPBoost avec ton login et

teston

comme mot de passe.

Dans un premier temps, dès que tu es admin, supprime cette image horrible de ton site et passe le en maintenance, on verra ensuite comment trouver comment ce con est entré dans ton site.

Désolé pour le désagrément si le problème vient de nous, on va tout faire pour essayer de le régler.

voila la réponse à ta question où trouver les logs : http://faq.1and1.fr/hebergements/5.html

il y a une chose de verifiable aussi c'est de voir si des fichier on été envoyer / modifier sur le site.

il y a 6mois j'ai des sites qui on été modifier par de bot suite a un virus sur un pc.
au passage je suis pas le seul dans ce cas sur le forum de ovh il y en a un paquet ...

dans ce cas la la faille peut venir simplement du pc et non du cms.
du pc ou de un des pc ayant acces au ftp au minimum.
les mdp enregistré dans filezilla ou autre logiciel de ftp sont facilement retrouvable sur un pc infecter.

avec les quelques chute de botnet de ces derniers temps les haXx sont legerement sur les dents.
depuis le debut du mois le nombre de scan, tentative de résolution de clef ssh / mdp ftp a simplemnt doublé sur le serveur que j'ai chez ovh.

merci c'est bon je suis de nouveau admin

j'ai trouvé les fichier logs je te les donne comment

change le nom de ton site...

ne vois tu pas dans les logs, une personne qui est allez sur l'administration a part ton adresse IP ?

si je vois

envoi nous le log complet à quelqu'un de l'équipe de PHPBoost ( /! ), ben.popeye, ptithom... comme tu veux...

je viens d'envoyer un mail a popeye j'attends son analyses avec impatience

Édité par Yopz Le 15/03/2010 à 21h12

Tu as une idée de l'heure à laquelle a été faite l'attaque ?
C'est difficile de chercher une hypothétique explication dans un fichier de 3000 lignes.

ou lala sa fait peur tout sa, vite je vais faire une sauvegarde de mon site cars sa mais déjà arrivée et je veut plus que sa m'arrive, le meilleur remède et de faire une sauvegarde de tout tes fichier sur ton ftp et ta base de données, c'est vraiment des abrouti ce qui font sa, il savent pas le travail que c'est de mettre a jour son site tout les jours, moi je te recommande de faire une reinstall, après ces juste un conseil, moi aussi je suis sur 1and1, ces un très bon hébergeur, mais il font pas de sauvegarde automatique des base de données (dommage).

Edit : toutes les failles ne peut pas être enlever, même ci ce de maintenant seront enlever, ba il y en aura toujours des autres, même microsoft a des failles, tout système informatique a des failles, c'est comme sa, sinon ou pourrai plus graver des jeux de xbox360 ou on pourrai plus télécharger de films, c'est comme sa l'informatique malheureusement...

sa dégoute les gens bête comme sa, il font les malins derrière leur écran, je vous promet ci j'aurai un mec qui fait sa entre les mains, ba je le briserai en 2.

Enfin bref, pour dire qu'il sont pas malin ces gens !

Édité par tony Le 15/03/2010 à 22h26

tony inutile de lancer une polémique, il faut déjà confirmer que le soucis vient de PHPboost et non d'autre chose...

Il n'a absolument pas à réinstaller, évite de dire de telles monstruosités, car son site fonctionne très bien. Il faut simplement trouver la source du problème.

Enfin attention à ton orthographe, les 'sa' et 'ça' ce n'est pas la même chose, Aller petit cours, quand tu peux dire 'cela' tu dois l'écrire 'ça'. Le 'sa' est le possessif donc sa voiture signifie que c'est la voiture de la personne en question. Merci d'en prendre note

ok désoler, ce n'est pas une polémique, juste ces chiant les gens qui font sa, désoler Ptithom, et pour mon orthographes j'ai déjà dit ce qu'il en était, désoler...

Et pour la reinstall, c'est un conseil, cars ci le hackeur a changer les mdp de tout les membres, ba plus aucun membres pourra ce connecter, enfin c'est juste un conseil (a prendre ou a laisser), et je voit pas ou ces monstrueux...

Vous aimé bien me remballé a chaque fois Ptithom ? vous m'aimez pas vous ?

Édité par tony Le 16/03/2010 à 07h34

Je regarderai le fichier de log quand je saurai l'heure approximative où ça c'est produit (d'ailleurs j'ai que les logs du 14 mars, et d'après ce que j'ai compris ça s'est passé hier donc le 15), en attendant d'avoir ta réponse, voici quelques choses à faire pour réparer tout ça.
Si tu as une sauvegarde récente de ta base de données, restaure-là, ça remettra le site comme avant.
Sinon, exécute cette requête :
Elle va te lister ceux qui sont administrateurs, si tu as des comptes qui sortent et qui ne sont pas censés être administrateurs, édite la ligne correspondante et passe level à 1 pour qu'il soit modérateur ou 0 pour un simple membre.
Ensuite je te conseille de faire le tour de ton site pour voir si rien d'autre n'a été attaqué.
Ensuite, fais une sauvegarde de ta base de données, puis on verra pour la suite des procédures de récupération.

PS : tony, c'est vrai que tes messages sont difficilement lisibles. Et concernant ton paragraphe sur les failles, tu y vas un peu fort, heureusement qu'il n'y a pas de failles aussi béantes ! Le téléchargement de films n'exploite aucune faille, et lorsqu'on craque des appareils électroniques comme des consoles de jeu, généralement on injecte dans des puces des nouvelles données. Ce n'est pas l'exploitation d'une faille, c'est juste qu'on ne peut pas t'empêcher de le faire. C'est comme si on voulait t'empêcher d'aller modifier une pièce dans le bloc moteur de ta voiture, on ne peut pas t'empêcher de le faire.

pour information sur l'heure du hack je l'estime le 14 mars après l'heure je peux pas te dire

j'ai encore une info le hacker a utilisé le pseudo " " ( un espace). la requête ne servira à rien car mon 1er réflex a été de supprimer son compte