Hack

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Hack

    Bonjour,

    Je me suis fais hacké par les turquishs cet AM ou plutôt ce soir (j'étais absent).

    Redirection de ma page vers:
    www[dot]turkHackTeam[dot]org
    Cikarken tutundugun dallari unutmamaktir,hayat...
    * Your system was very safe (:
    * But i'm system ****er
    * Contact me : m4nn3r[at]d4rkz[dot]org
    * Greatz : NightWolf & Bedros Sanches & Arsenik & OnLy & SaNaLMaFyA & 3333 & BlackSt0rm
    Tanri unutmus olsada....
    M4NN3R WAS HERE - TURKISH RULE
    ribonukleikasit@gmail.com



    J'ai regardé avec le fameux fichier "filist" mais à priori rien de modifié ce jour !!!!!!!!!!!!!!!!!!!!!!!

    Pour info: version 1.0.11 joomla.

    J'ai écrasé les fichiers index, index2, configuration... souvent cible des modifs et rien ne fait, le site est toujours inaccessible. J'ai réinstallé la mise à jour 1.0.11 sans succès.
    J'ai une ancienne sauvegarde mais j'ai énormément travaillé entre temps !!

    Il est accessible en admin par contre.

    Quelqu'un a une idée pour trouver la modife faite ? Ce peut être lié à l'hébergeur et non mon site ? Merci beaucoup d'avance...

    Jerome
    Dernière édition par jhautier à 27/09/2006, 14h51

  • #2
    Bonjour,

    Merci pour ta réponse.

    Je viens de regarder, il n'y a pas de fichier "c99tr.php"

    Concernant le fichier "html" éventuel à supprimer, comment le trouver ??? Etre sur que c'est bien celui-ci à supprimer ?

    J'ai regardé toute la nuit (!) mes répertoires + lancement du fichier filist.php, il n'y a pas eu de modif à la date du hack.

    Je ne comprends plus et désespère de trouver une solution.

    Peut-être est-ce lié à mon hébergeur (serveur directement) et non mon répertoire joomla ? Est-ce possible ?

    Merci de votre aide...

    Jerome

    Commentaire


    • #3
      Pour l'hébergeur j'en étais quasi sur, vu leur sérieux.

      Pour le fichier index.html à rechercher, comment trouver celui qui est vérolé, sachant qu'à priori il n'y a pas de fichier créé ou modifié à la date du hack (suite analyse filist.php)...

      Faut-il les ouvrir un par un ? Si oui, je retrouverais à l'intérieur une redirection vers leur site ? Y at-il une autre manipe rapide pour trouver le bon fichier ?

      Merci beaucoup de ton aide et soutient.

      Jerome

      Commentaire


      • #4
        Je viens de passer en revu tous mes fichiers index.html et rien de louche, en tout cas pas de texte de redirection ou autre.

        Là je sèche !

        Jerome

        Commentaire


        • #5
          Tu peux enregistrer le résultat de filist en local puis le zipper me l'envoyer par mail.
          A plusieurs ça ira plus vite...
          Que la forge soit avec vous.

          Commentaire


          • #6
            Ok globule c'est sympa, je m'en occupe de suite.
            Je te l'envoi par mail ou je le met sur le forum joomla en fichier joint ?

            Je joindrais également un fichier .txt pour les commentaires car j'ai tenté plusieurs manipes (réinstallation fichiers index, config, patch v1.011...).

            Jerome

            Commentaire


            • #7
              Envoyé par jhautier
              Ok globule c'est sympa, je m'en occupe de suite.
              Je te l'envoi par mail ou je le met sur le forum joomla en fichier joint ?

              Je joindrais également un fichier .txt pour les commentaires car j'ai tenté plusieurs manipes (réinstallation fichiers index, config, patch v1.011...).

              Jerome
              Sur le forum tout le monde y a acces... il vaut mieux l'envoyer sur demande à des habitués.
              Par contre si je trouve quelque chose je te ferai le retour ici.
              Que la forge soit avec vous.

              Commentaire


              • #8
                Envoyé par globule
                Sur le forum tout le monde y a acces... il vaut mieux l'envoyer sur demande à des habitués.
                Par contre si je trouve quelque chose je te ferai le retour ici.
                Ok je te l'envoi par mail d'ici peu.

                Merci encore.

                Jerome

                Commentaire


                • #9
                  Envoyé par anonyme
                  Le hacker te propose de le contacter.
                  Tu l'as fait ?-anonyme
                  Oui j'ai adressé un mail mais à priori problème de nom de domaine et envoi impossible.

                  J'ai envoyé à tout hasard un email sur l'adresse à la fin de la page.

                  Pas de réponse, mais c'était cette nuit...

                  Jerome
                  Dernière édition par jhautier à 24/09/2006, 19h30

                  Commentaire


                  • #10
                    Envoyé par globule
                    Tu peux enregistrer le résultat de filist en local puis le zipper me l'envoyer par mail.
                    A plusieurs ça ira plus vite...
                    Ok fichier filist + Explications sur mes manips envoyé par mail.

                    Merci globule.

                    Jerome

                    Commentaire


                    • #11
                      Si il y un backdoor (le ptit cado du hacker) il y a de grande chance pour qu'il lui ai donné un nom moin... flagrand que c99.php mais plustôt search.php ou quelque chose du style. Une manip qui peut t'aider est d'importer ton site sur ton DD et de le scanner avec ton antivirus. Mais le Backdoor n'est pas systématique.
                      Vous êtes developpeur, vous aimez joomla! et vous êtes plus malin que les autres puisque vous avez compris que pour recevoir il faut aussi savoir donner... venez nous rejoindre => http://forge.joomla.org/sf/frs/do/vi...ts.jfr_dev/frs (La Forge Francophone)
                      Comment poser de bonnes questions ?!
                      http://www.gnurou.org/Writing/SmartQuestionsFr
                      Création d'un composant pour Joomla! 1.5
                      http://wiki.joomlafacile.com/index.p...pour_Joomla%21

                      Commentaire


                      • #12
                        API Paypal du 12 juin dans /forum/includes
                        Voir les logs à cette date pour savoir quelle url il a utilisé (avec $mosConfig dans l'url par exemple)
                        Que la forge soit avec vous.

                        Commentaire


                        • #13
                          Envoyé par globule
                          API Paypal du 12 juin dans /forum/includes
                          Voir les logs à cette date pour savoir quelle url il a utilisé (avec $mosConfig dans l'url par exemple)
                          Autant pour moi il y a un module paypal dans VBulletiin. J'espère qu'il est bien sécurisé...
                          Par contre il semble que les logs sont déactivées par défaut chez Celeonet. Donc pensez à les activer, ça aide vraiment!
                          Sinon on cherche toujours...
                          Dernière édition par globule à 24/09/2006, 13h37
                          Que la forge soit avec vous.

                          Commentaire


                          • #14
                            Globule à trouvé le problème...

                            Bonjour,

                            Après avoir recherché toute la nuit sans succès, grâce à l'aide de globule, le problème de Hack a été solutionné. Le hack était le suivant:

                            - Intégration d'un javascript dans la base de données Sql à la place du nom d'un menu, de sorte qu'à chaque fois que le site était lancé, dès que le MainMenu apparaissait, la redirection avait lieu vers la page hackée
                            - Point important: V1.0.11 avec les derniers correctifs et plus embêtant, pas de trace des méfaits en exécutant le fichier filist.php...

                            Sur les conseils de globule, on a procédé par étape en dépubliant des modules afin de connaôtre celui qui posait problème. Après désinstallation du module SWMENUFREE (Menu dhtml), il s'est évéré que le problème était au niveau de la base sql

                            Il a suffit de modifier la ligne contenant le javascript pour remettre le site en ordre.

                            Par la suite, je me suis apperçu que le hacker avait également modifié mes droits et paramétrages (emails, nom, mot de passe) utilisateurs de mon forum (VBulletin) pour être destinataire des messages et pouvoir se connecter en admin...

                            J'ai contacté le hacker par email et après avoir "plaidoyé" ma bonne cause (sniff !) il a proposé de m'aider et de corriger le hack. Comme réglé entre temps, je n'ai pas donné suite pour le moment (il aurait l'idée de revenir...) et ce qui est génant c'est que je ne connais pas la porte d'entrée (composant ? Autre ?)...

                            Son message de réponse:
                            hi jerome...i understand you..your web servers and hosting have got some problems..
                            m4nn3r@d4rkz.com > this is my messenger adress...if you can add , i will help you..
                            thanx for your mail...good days


                            De mon côté ça semble ok et j'ai fais une bonne sauvegarde du site.

                            En cas de hack, ne pas se fier uniquement au fichier filist.php (date du hack sans doute modifiée...) et penser à la base sql + regarder les composants type forum

                            Merci à tous pour votre aide et surtout Globule qui a passé beaucoup de temps pour analyser les problèmes. Il me tire d'un bien mauvais pas qui m'aurais couté des heures de travail pour "nada".

                            Jerome

                            Commentaire


                            • #15
                              Merci Jérôme pour les précisions.

                              En effet filist n'est qu'un outil qui liste tous vos fichiers trié par date de modification. En cas de défacement, il faut donc l'utiliser avant toute restauration et enregistrer le résultat. Sinon vous risquez d'écraser les fichiers modifiés par le hacker et on n'en tirera donc rien.

                              Le hacker a en effet mis une redirection javascript à la place du nom "Accueil" dans le premier enregistrement de la table jos_menu. Il ne s'agit donc pas d'un simple remplacement de fichier comme on en a tant vu. Aucun fichier suspect trouvé sur le disque.
                              D'après le message du hacker en réponse à Jérôme, il prétend avoir exploité une faille du serveur. L'hébergeur a été averti et on attend leur retour avant de vous en donner le nom (ce n'est pas un métier facile alors on ne va pas laisser planer un doute sur cette société sans savoir de certitude).

                              Sur le serveur du hacker on trouve plusieurs outils dont les 2 célèbres shell PHP mais aucun d'eux sur le serveur de Jérôme.

                              Malheureusement, les logs n'étaient pas activés donc aucune chance de ce côté. Mais maintenant ils le sont, donc s'il retente quelque chose on aura des chances de découvrir sa méthode d'injection SQL.

                              Restez vigilants...
                              Que la forge soit avec vous.

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X