Encore une fois hacké

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Encore une fois hacké

    http://www.finistere-foot.fr/index.php
    J'en ai marre, il y a un peu plus d'un mois j'étais hacké. Aujourd'hui cela recommence. J'ai la dernière version de Joomla (1.5.7).
    A priori je vois un nouveau dossier aol.com dans mon ftp et un autre mass. Faut-il les supprimer? J'ai toujours accès à l'administration, je comprends pas trop...
    Peut-on faire quelque chose judiciairement? S'il y a la moindre faille permettant d'identifier l'auteur je veux l'exploiter et ne pas en rester là (il y a une adresse IP en bas de la page hackée).

    Merci de votre aide encore une fois
    Dernière édition par Tial à 21/09/2008, 11h07

  • #2
    Débat déjà bien fourni :
    Les hackeurs passent par des proxys anonymes à l'étranger donc :
    1. législation différente
    2. identification presque impossible de l'auteur
    3. l'auteur change de proxy si l'adresse ip est bannie

    Alors bon courage...
    Que la forge soit avec vous.

    Commentaire


    • #3
      Heu pour le soucis judiciaire bonne chance..
      Tu dois avoir un composant pas à jour car si tu est en version 1.5.7 je ne comprends pas, tu as un hebergement ? Les autres sites sur le serveur ne se sont pas fait hacker ?
      L'idéal une fois le template fini tu passes tout en 644 et indem pour le fichier configuration.php
      Il y a plein d'autres solutions pour protéger ton site (Joomla ou pas) mais si tu as accès encore à l'admin ce ne doit pas etre grave. JE pense qu'il a modifié ou ajouté un index a la racine et peut etre modifié celui de ton template.
      Si tu as une sauvegarde corrige et recherche sur ce forum comment protéger ton site ( perso j'ai subit 2 attaques serveur et tous mes clients ont sauté) depuis je gère tout moi même question sécurité serveur et site même client et là plus rien.
      Courage.......Joomla est un exelent produit qui demande juste un peu d'attention en mises à jour.

      Commentaire


      • #4
        Je suis chez ovh en mutualisé, j'ai viré les fichiers aol et mass ainsi que les fichiers ht access et compagnie. C'est revenu
        Il a dezippé un fichier aol.com, pas trop compris comment et par où?
        Comment fait-on pour passer en 644?
        A priori le gars ne serait pas passé par mon admin mais serait passé par un de mes fichiers en 777 c'est ça? Il serait facile à pirater et joomla en est rempli d'après ce que j'ai pu lire.
        Pour les extensions, j'ai joomleague, frontpage slideshow, un module pour les news et le template chez yootheme...
        Je ne suis pas très technicien. Comment faire pour se protéger réellement, visiblement tenir à jour joomla n'est pas suffisant.
        Pour le judiciaire, j'ai noté l'adresse IP, on verra ce qu'il est possible de faire, je maille OVH
        Dernière édition par Tial à 21/09/2008, 11h26

        Commentaire


        • #5
          Bonjour,

          Mon avis rejoins les autres en ce qui concerne de retrouver le "méchant pas beau"
          Ce qu'il faut retenir avant toute mise en place de site web est l'installation en local de sont site et faire des tests de sécurité, pour bien vérifier si tous vas bien en se qui concerne les ajouts d'extension à l'installation de base de joomla 1.5.7
          D'un autre coter si on n'y connais rien niveau sécurité internet, cela risque d'être difficile de savoir si oui ou non on est bien sécurisé.

          C'est comme dire à un constructeur automobile :
          Votre voiture est nul, je vient de nouveau d'avoir un accident.
          Et à la question :
          Avez vous le permis de conduire, la réponse est NON.
          Qui est le responsable... la voiture qui est dangereuse ou le conducteur qui n'a pas sont permit.

          Donc être énerver de ce faire "hacker" est une chose compréhensible.
          Seulement le VRAIS responsable de cela est le webmaster du site qui n'a pas pris toute les précautions CONNUS pour évité cela.

          Pour conclure, la sécurité absolu n'existe pas, il y auras toujours un crétin pour vouloir entrer et montré qu'il est le plus fort, le plus malin, mais surtout le PLUS CRÉTIN.

          Franchement à leur place si j'avais leur capacités, au lieux de perdre mon temps gratuitement, je vendrais plutôt mes compétences en temps que spécialiste en sécurité. Au lieux de faire perdre le temps aux personnes qui n'y connaissent rien niveau sécurité.
          Cordialement,
          Theking83
          Webmaster
          www.ltdw.net
          Pas de support par MP je réponds aux questions exclusivement posées sur le forum.

          Commentaire


          • #6
            En même temps, pour avoir son permis, il ne faut pas être pilote de F1. Là, on serait plus dans le cas d'un type qui te pique ta bagnole et essaie de la désosser.
            Mettre la dernière version de joomla, faire des sauvegardes régulières de son site tenir à jour ses composants (joomleague est aussi à jour). Je pense que je n'ai pas laissé mon site ouvert à tous vents.

            Commentaire


            • #7
              Envoyé par Tial Voir le message
              http://www.finistere-foot.fr/index.php
              J'en ai marre, il y a un peu plus d'un mois j'étais hacké. Aujourd'hui cela recommence. J'ai la dernière version de Joomla (1.5.7).
              A priori je vois un nouveau dossier aol.com dans mon ftp et un autre mass. Faut-il les supprimer? J'ai toujours accès à l'administration, je comprends pas trop...
              Peut-on faire quelque chose judiciairement? S'il y a la moindre faille permettant d'identifier l'auteur je veux l'exploiter et ne pas en rester là (il y a une adresse IP en bas de la page hackée).

              Merci de votre aide encore une fois
              bonjour

              je ne pense pas que la raison soit directement liée à joomla 1.57

              les raisons de cette récidive d'intrusions seraient plutôt:

              -grosse faille d'un composant, module tiers voir même ton template (attention ou vous téléchargez vos templates)
              -t'as pas changé tous tes pass après la première intrusion
              -t'as un script planqué qui lui permet de lire ton configuration.php en temps voulu
              -chmod 777 là ou il ne faut pas

              pour connaître la manière utilisée par l'intrus , il te faut prendre connaissance des logs de connexions et là tu pourras savoir si l'accès a été fait directement par ftp ou par la faille d'un module,composant , template

              si tu peux mettre le
              configuration.php en chmod 400
              index.php en chmod 444

              le defaut des repertoires est 755
              le defaut de tous fichiers 644


              bon puis si tu veux que je m'en occupe personnellement je peux trouver un créneau horaire et faire un petit extra , je te l'ai déjà dit je pense qu'on est voisin !!!

              @+
              Dernière édition par Thorhax à 21/09/2008, 13h58
              adaptations|conceptions

              Commentaire


              • #8
                A priori, beaucoup de site hackés ce week end par un tunisien et pas qu'en joomla.
                Pour le moment je suis au travail (oh c'est pas beau d'écrire sur un forum au travail) mais ta proposition m'intéresse. Je te donne les clés du FTP et tu regardes ce qui ne va pas.
                J'avais bien changé les MDP de tout (ftp, admin, mails, forum) à un tel point que je ne me rappelais même pas de ce que j'avais mis

                Commentaire


                • #9
                  Ce n'est pas parce que beaucoup de sites sont hackés que Joomla n'est pas bon en sécurité. Si le mec entre dans un serveur, Joomla ou pas il fait ce qu'il veut.
                  Le script le plus courant est un truc comme shell99

                  Voir ici j'en ai fait les frais... http://forum.joomla.org/viewtopic.ph...ll+99#p1377332
                  Normalement avec la derniere version de Joomla, des composants valide et testé ( surtout prendre ceux de Joomla Frnace ou Joomla.org ) et SI le serveur est à jour et sécurisé IL NE DOIT PAS Y AVOIR DE SOUCIS. Maintenant je fais gaffe et tout va bien.
                  Je te conseille de récupérer ta base déjà, de lister les composants et autres extensions utilisés.
                  Reinstalltion neuve avec la dernière version et avant d'écraser ta base verifie la fiabilité des tes extensions..

                  Commentaire


                  • #10
                    Tial premiere chose que je constate sur ton ftp

                    le htaccess c'est pour les chiens ?????

                    htaccess.txt c'est pas pareil que .htaccess donc là déjà pas bon , j'ai besoin des pass de l'admin du site tu viens de les changer ?

                    ensuite ton répertoire template est un vrai fouillis !! ya pas besoin de laisser traîner des fichiers dans
                    /templates de plus tous les template qui ne servent à rien tu dois les supprimer.


                    bon j'ai activé ton sef
                    mis mon htaccess de guerre , vu que t'avais rien et je t'ai fais peur
                    Dernière édition par Thorhax à 22/09/2008, 01h09
                    adaptations|conceptions

                    Commentaire


                    • #11
                      regardes bien les chmod que j'ai mis pour ton htaccess et configuration.php

                      Tial n'oublies pas de remettre en 444 le configuration.php sachant que sur ovh tu devras le mettre en 644 si tu entreprends de changer ta config par l'administration , une fois enregistré tu le repasses en 444 par ton ftp .


                      @+
                      Dernière édition par Thorhax à 22/09/2008, 02h20
                      adaptations|conceptions

                      Commentaire


                      • #12
                        Bon ben je conseille à tous la sentinelle de Thorhax

                        Merci à lui encore d'avoir pris le temps de mettre à jour mon ftp assez bordélique, il faut le dire

                        Commentaire


                        • #13
                          ya pire !! t'inquiètes pas , il suffit juste de prendre les bonnes habitudes


                          l'idéal aurait été de vérifier tous les fichiers avec un petit script pour savoir si il y a eu des fichiers modifiés , si t'as encore des soucis avant de toucher faut faire la vérification cela nous permettra de savoir ce qui a été changé.

                          Tial n'oublies pas de remettre en 444 le configuration.php sachant que sur ovh tu devras le mettre en 644 si tu entreprends de changer ta config par l'administration , une fois enregistré tu le repasses en 444 par ton ftp .

                          @+
                          adaptations|conceptions

                          Commentaire


                          • #14
                            Il est resté en 444
                            Par contre, petite bizarrerie, je n'ai pas reçu de mail de la sentinelle, pourtant l'adresse entrée était la bonne (le mail marche aussi, j'ai testé).
                            J'ai changé en mettant la boite yahoo, peut-être un problème avec les adresses non-classiques?
                            Dernière édition par Tial à 22/09/2008, 11h09

                            Commentaire


                            • #15
                              L'histoire n'est pas encore terminée

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X