hacking à répétition

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] hacking à répétition

    Bonjour,

    J'ai un gros souci avec deux sites que je gère. Ils sont victimes de hacking à répétition, et je n'arrive pas à me dépétrer du problème.

    Tout a commencé en juillet dernier, les deux sites ont été attaqués. A l'époque, ils étaient tous deux sous joomla 1.5. J'avais des sauvegardes récentes, donc je les ai remises en place. Mais rebelotte 15 jours plus tard. Donc là, j'ai pris le temps de faire le grand ménage, inspecté tous les fichiers, etc. Changé bien sûr tous les mdp, FTP et admin, vérifié les mises à jour de tous les composants. Les deux sites sont très basiques, ça a été rapide. Mais ça a recommencé deux semaines plus tard.
    Pour l'un des deux sites, le plus simple, ne voyant plus de fichier suspect, si de solution, je l'ai entièrement reconstruit sous joomla 1.7, avec un nouveau template, bref, tout neuf. Je n'ai récupéré aucun élément de l'ancien site. Depuis fin août, RAS, j'ai fait sauvegardes et mises à jour régulièrement. Et ce matin, surprise, le site est de nouveau hacké !
    Pour le deuxième site, je n'ai pas pu le refaire sous 1.7, car il est trilingue. Mais avec un gros nettoyage au mois d'août, j'étais aussi tranquille depuis. Et ce matin, même attauqe que sur l'autre.

    Dans les deux cas, j'ai des sauvegardes récentes, donc je peux remettre les sites en place immédiatement, mais comment faire pour que ça s'arrête ? Je suis désespérée !

    Je jère une bonne vingtaine de site, pourquoi ces deux-là posent problème ?

    Quels sont les éléments à étudier dans ces cas-là, étape par étape ?

    Merci beaucoup,

  • #2
    Re : hacking à répétition

    A ta place, je commencerais par installer un outil tel que CrawlProtect. Il va permettre de bloquer certaines attaques "traditionnelles", rendant le hacking plus compliqué. Il se peut que l'adresse de redirection doive être adaptée (avec mon hébergement, je n'ai pas pu utiliser la configuration par défaut de CP...)
    Bien entendu, une telle protection n'est intéressante que si tu vérifies régulièrement les attaques rencontrées.

    D'autre part, tu peux demander à ton hébergeur pour avoir les logs http de ton site. Avec un peu de chance, et beaucoup de patience, tu pourras trouver une trace sur le type d'attaque utilisée (à condition de savoir quand l'attaque a eu lieu)

    Ensuite : vérifie si tu n'utilises pas une extension vulnérable (http://docs.joomla.org/Vulnerable_Extensions_List). Vérifie que tu n'as pas de module/plugin/composant permettant l'introduction de données par un utilisateur dont tu ne te sers pas ou peu. Si c'est le cas, tu devrais pouvoir croiser avec le contenu des logs http pour identifier l'origine de la faille...

    De toute manière, signale le hacking à ton hébergeur : il se peut que l'origine du problème vient d'une faille sur un des sites mutualisés hébergés sur la même machine que toi, et je pense qu'ils ont plus de ressources sécuritaires que toi...
    A ce propos : tous tes sites sont-ils hébergés chez le même prestataire ?

    Bien à toi, et bon courage !
    JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
    Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
    Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

    Commentaire


    • #3
      Re : hacking à répétition

      Merci pour ces réponses. Je reprends point par point :

      - Justement, je suis en train d'installer crawlprotect, je vais voir ce que ça donne. Oui, je surveille mes sites régulièrement.

      - les logs, je les ai, j'ai pu repérer l'heure exacte de l'attaque : 4h du matin cette nuit. Le hacker a simplement installé son index.php et ses fichiers de langue (arabe).

      - côté extensions et composants, je ne vois rien qui cloche, surtout que les deux sites sont dans des versions différentes de joomla, et le seul composant commun est akeeba backup (que je mets à jour très régulièrement).

      Oui, ces deux sites (comme tous ceux que je gère ou presque) sont chez le même prestataire, mavenhosting pour être précise. Ce peut-il qu'il y ait une faille de leur côté ? J'aimerais éviter un transfert chez un autre hébergeur, mais j'avoue que je commence à douter...

      Commentaire


      • #4
        Re : hacking à répétition

        Envoyé par jo307 Voir le message
        - les logs, je les ai, j'ai pu repérer l'heure exacte de l'attaque : 4h du matin cette nuit. Le hacker a simplement installé son index.php et ses fichiers de langue (arabe).
        Simplement ? Il y a du y avoir, préalablement, l'installation d'un accès... Il faudrait remonter dans le log pour voir comment il a eu l'accès à l'enregistrement de son fichier index....

        Envoyé par jo307 Voir le message
        Oui, ces deux sites (comme tous ceux que je gère ou presque) sont chez le même prestataire, mavenhosting pour être précise. Ce peut-il qu'il y ait une faille de leur côté ? J'aimerais éviter un transfert chez un autre hébergeur, mais j'avoue que je commence à douter...
        Tout est possible. Contacte leur support et vois avec eux s'il n'y aurait pas un cheval de troie qq part : ils ont des accès que tu n'as pas, et la possibilité de trouver ce que tu ne peux pas voir. Enfin... normallement ! :-)
        JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
        Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
        Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

        Commentaire


        • #5
          Re : hacking à répétition

          Je ne vois rien d'autre dans les logs.
          Je suis en train d'attendre la réponse de l'hébergeur... ils sont généralement réactifs, mais l'heure du Québec, patience...
          Lors des attaques précédentes, tout ce qu'ils m'ont donné comme réponse c'est de mettre à jour Joomla et les composants. Je vais essayer d'être un peu plus persuasive !

          Commentaire


          • #6
            Re : hacking à répétition

            Tu as tous les logs depuis la dernière attaque résolue ?

            Si oui :
            • Identifie l'adresse ip de l'attaque de ce matin (par exemple 81.240.19.38)
            • Est-ce une adresse qui ressemble à la tienne ?


            Si oui => ton PC est vraisemblablement infecté !! Nettoyage absolu et complet nécessaire, au besoin avec du support spécialisé tel que sur malwareremoval.com - en anglais !
            Si non => Il s'agit plus vraisemblablement d'un exploit de faille. Recherche dans tous les logs des jours passés tout ce qui contient le début de cette adresse (dans mon exemple : '81.240.19.') (en espérant que le pirate n'utilise pas un autre proxy pour le hacking que pour le défaçage...)

            Tu peux aussi, au besoin, zipper tous les logs dans un fichier et le mettre en partage sur un système de partage tel que YouSendIt... et m'envoyer l'adresse par MP
            Dernière édition par elnikoff à 07/11/2011, 10h41
            JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
            Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
            Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

            Commentaire


            • #7
              Re : hacking à répétition

              Bonjour,

              Non pas de trace du moment de l'attaque, l'hébergeur a remis en place sa dernière sauvegarde. A moins que je ne regarde pas au bon endroit...
              L'assistance persiste sur l'importance des mises à jour. Or je suis quasi certaine l'attaque ne vient pas de là : la même attaque a eu lieu sur deux versions différentes de joomla, la mise à jour de tous les composants est faite très régulièrement.

              J'ai encore insisté pour qu'ils recherchent les logs du moment de l'attaque. On verra ce qu'ils répondent.

              Commentaire


              • #8
                Re : hacking à répétition

                Quoiqu'il en soit, CrawlProtect devrait te permettre de sécuriser ton environnement.

                D'autre part, en examinant les logs CP, tu pourras identifier le vecteur utilisé par ton pirate et dès lors permettre d'identifier une faille. N'hésites pas à revenir vers nous lorsque tu auras des détails :-)

                Et bon courage !!
                JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
                Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
                Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

                Commentaire


                • #9
                  Re : hacking à répétition

                  Oui, j'ai installé crawlprotect sur les deux sites.

                  eh jutement : je m'aperçois qu'un dossier .smileys a été créé ce matin à la racine du site, avec des images dedans. Or ça ne vient pas de chez moi, et personne d'autre n'a les codes.
                  Là, c'est bizarre !
                  Dernière édition par jo307 à 08/11/2011, 15h54

                  Commentaire


                  • #10
                    Re : hacking à répétition

                    Je précise, le répertoire à été créé à la racine des deux sites à 10 minutes d'intervalle

                    Commentaire


                    • #11
                      Re : hacking à répétition

                      grâce à tes logs tu vas pouvoir savoir qui a crée ce dossier.
                      pour chercher les parties qui ont été attaquées et les attaques qui ont réussies :
                      tu cherches les lignes dans tes logs avec .txt ou ../ si ces lignes là sont en 200 c'est que l'attaque a réussie.
                      dans ce cas tu verras de quel composant / module il se sert pour entrer sur ton site ou ton ftp
                      veille aussi à ce que chaque dossier comporte un fichier index.html vide (en particulier tes templates , les developpeurs oublient d'en mettre)
                      aidons nous les uns les autres ...

                      http://web54.fr

                      Commentaire

                      Annonce

                      Réduire
                      1 sur 2 < >

                      C'est [Réglé] et on n'en parle plus ?

                      A quoi ça sert ?
                      La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                      Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                      Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                      Comment ajouter la mention [Réglé] à votre discussion ?
                      1 - Aller sur votre discussion et éditer votre premier message :


                      2 - Cliquer sur la liste déroulante Préfixe.

                      3 - Choisir le préfixe [Réglé].


                      4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                      2 sur 2 < >

                      Assistance au forum - Outil de publication d'infos de votre site

                      Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                      Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                      Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                      UTILISER À VOS PROPRES RISQUES :
                      L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                      Problèmes connus :
                      FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                      Installation :

                      1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                      Archive zip : https://github.com/AFUJ/FPA/zipball/master

                      2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                      3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                      4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                      5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                      6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                      et remplacer www. votresite .com par votre nom de domaine


                      Exemples:
                      Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/
                      Pour executer le script: http://www..com/fpa-fr.php

                      Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                      Télécharger le script fpa-fr.php dans: /public_html/cms/
                      Pour executer le script: http://www..com/cms/fpa-fr.php

                      En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                      Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                      Voir plus
                      Voir moins
                      Travaille ...
                      X