OVH indique que mon site est HACKE, et le bloque en mode 403

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • OVH indique que mon site est HACKE, et le bloque en mode 403

    bonjour à tous,

    POurtant, je fais bien mes mises à jours... mais apparement ca n'a pas suffit cette fois ci, bravo les hackers

    Problème : OVH me laisse uniquement l'accès au FTP, et le site est inaccessible en erreur 403, donc je ne peux pas changer les mots de passe, ajouter une extension de scan ou de sécurité...

    Que faire ?

    config : Joomla 2.5.9, Admin Tools
    An eye for an eye makes the whole world blind...

    Site pro sous Joomla 3 : www.anco.pro et mon site perso : Pixel Marketing

  • #2
    Re : OVH indique que mon site est HACKE, et le bloque en mode 403

    Bonsoir,

    mais apparement ca n'a pas suffit cette fois ci
    C'est une base mais il faut aussi protéger l'espace, on ne va pas le répéter à chaque fois (lire le forum sécurité).

    OVH me laisse uniquement l'accès au FTP
    Oui pour remonter un backup sain en local et faire ce qui y a à faire.

    donc je ne peux pas changer les mots de passe
    Et pourquoi tu ne pourrais pas ? Commencer déjà par changer celui du ftp et db via la manager.

    Mais si tu es sur que tout est à jour, commences aussi par analyser ta machine (virus, trojan, malwares etc). Si filezilla changer par un autre soft plus sécure ou ne pas enregistrer les mdp.

    Commentaire


    • #3
      Re : OVH indique que mon site est HACKE, et le bloque en mode 403

      Bonjour,

      Tu peux aussi vérifier avec la date de tes fichiers, ce qui a été fait, et enlever les fichiers injectés, sécurisé tes répertoires, remplacer tes fichiers éventuellement modifiés, puis une fois fait cela tu indiques à OVH ce que tu as fais et leur demande de te remettre le site en ligne. (tu as dû avoir un ticket d'incident ouvert et tu leur réponds dedans)

      Pour info, j'ai eu y a quelques jours sur des versions 1.5 , injections via du gif, ce qui se fait souvent aussi c'est l'utilisation des répértoires des templates standard, qu'ils faut donc obligatoirement désinstaller si tu ne les utilises pas. Et donc pour les dates cela indiques qu'est ce qui a été modifié y a quelques jours et c'est souvent évidemment les hackers qui ont fait les dernières modifications de fichiers. En ayant les dates tu peux aussi avec OVH faire une restoration à une date antérieurs ton site (seulement tes fichiers).
      Dernière édition par webscom à 30/03/2013, 08h46

      Commentaire


      • #4
        Re : OVH indique que mon site est HACKE, et le bloque en mode 403

        salut et merci pour vos réponses.

        - mot de passe FTP changé pour un costaud
        - Filezilla à jour
        - mot de passe BDD changé pour un costaud

        Je ne sais pas comment trouver les fichiers modifier, je suppose que c'est dans les logs qu'il faut regarder. Svp, pouvez vous indiquer ce qu'il faut chercher comme indice, anomalie..

        J'ai demandé une restoration à OVH, pas de réponse pour le moment.

        Voici les logs et l'historique depuis le mail d'OVH du 27 mars :
        historique des visites
        Log du 26-03-2013 avant l'alerte
        Log du 27-03-2013 le jour de l'alerte
        Log du 28-03-2013 le jour de la réouverture, juste avec un CHMOD 705 (selon le guide fourni par OVH) et sans autre action (oops)
        Log du 29-03-2013 ou le site est totalement fermé sans réouverture possible avec un CHMOD
        An eye for an eye makes the whole world blind...

        Site pro sous Joomla 3 : www.anco.pro et mon site perso : Pixel Marketing

        Commentaire


        • #5
          Re : OVH indique que mon site est HACKE, et le bloque en mode 403

          Re,

          Comme je l'indiquais, regarde la date de tes répertoires et de tes fichiers (via ton logiciel ftp), ils te donneront un indice de la date de modification et donc si tu n'es pas intervenu sur le site, cela sous entend que c'est le hackeur qui l'a fait. Donc avec cette date (cela peut se passer sur plusieurs jours tu peux consulté tes logs), vérifie aussi la taille des fichiers avec ceux par exemple que tu as en local (une copie non hackée en local).
          Tu peux aussi vérifier les ip connectée ces derniers jours qui sont récurantes, si ton taux de visite à beaucoup augmenté cela te donnera aussi des indices (dans le manager OVH tu as les stats)

          Pense pour l'optimisation de sécurité la prochaine fois de bien écrire ton .htaccess, supprimer les templates non utilisés et installé par défaut, d'appliquer les bons droit sur tes fichiers et répertoires (Admintools est parfait pour cela). Tu as aussi l'option Crawlprotect.

          En espérant que cela t'aide.
          Dernière édition par webscom à 30/03/2013, 12h58

          Commentaire


          • #6
            Re : OVH indique que mon site est HACKE, et le bloque en mode 403

            oh oui, ca m'aide. C'est certain qu'après avoir résolu ce problème, je vais prendre le dossier "sécurité" à bras le corps. On est toujours plus sensibilisé quand ca nous arrive...

            Concernant les pistes que tu indiques :
            - je ne comprenais pas comment voir la date de modification de 6000 fichiers, mais ca y est, j'ai compris .
            Seuls les dossiers "cache" et "tmp" ont été modifiés, ce qui paraît normal...

            - pour les adresses IP, je vois pas vraiment... Si je regarde le log du 27 mars, il y a plein d'adresses IP qui font plein de requêtes au serveur, sont-ce pour autant des hackeurs ? J'ai pas vu d'adresse qui ressorte fortement en terme de volume de requêtes, j'ai pensé à un logiciel d'analyse de logs, sans en trouver un spécialement adapté pour trouver une adresse IP récurrente.

            Si le hackeur n'a rien modifié dans le FTP, c'est qu'il a du exécuter une requete en SQL dans un champ de formulaire, c'est bien ca ? Et le principe consiste à trouver par ou il est entré via les logs, pour mettre à jour ou virer l'extension avec une faille, toujours ok ?

            Bon, vu que je n'arrive pas a trouver de trucs anormals dans les logs (en meme temps, je regarde les logs pour la premiere fois..), le plus simple est de restaurer un backup, mais la faille sera toujours là ...
            An eye for an eye makes the whole world blind...

            Site pro sous Joomla 3 : www.anco.pro et mon site perso : Pixel Marketing

            Commentaire


            • #7
              Re : OVH indique que mon site est HACKE, et le bloque en mode 403

              Hello, pour finir,
              je n'ai pas trouvé la source de l'attaque, j'ai demandé à OVH de mettre une sauvegarde datant de 2 semaines, j'ai changé les mots de passe, et installé/configuré Admin TOols Pro et Marco's SQL injection. Depuis ca semble aller, malgré une grosse (énorme) chute dans les visites...
              An eye for an eye makes the whole world blind...

              Site pro sous Joomla 3 : www.anco.pro et mon site perso : Pixel Marketing

              Commentaire


              • #8
                Re : OVH indique que mon site est HACKE, et le bloque en mode 403

                bonsoir,
                si tout refonctionne correctement fait vite une sauvegarde complete
                N'oublie pas de scanner ton PC
                si ton joomla etait a jour, tu as surement ete infecté par un trojan "webmaster" (qui recherche les clients FTP et les fichiers index.html sur ton PC)
                “Un message d’erreur sur votre site Joomla ... ayez le reflexe de consulter le nouveau service (en Beta) de la base de connaissance https://kb.joomla.fr
                Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérer à l'AFUJ https://www.joomla.fr/association/adherer

                Commentaire


                • #9
                  Re : OVH indique que mon site est HACKE, et le bloque en mode 403

                  salut manu93fr,
                  merci pour l'info et dsl du délai, je n'avais pas vu ta réponse.

                  je relance le sujet, car je suis à nouveau attaqué, et ca a bien marché ! voir le screenshot du site ce soir
                  http://screencast.com/t/xlAAoemLq

                  j'avais pourtant protégé l'url qui permet d'accéder à l'adminitration, installé et configué Admin Tools Pro... que faire ?
                  An eye for an eye makes the whole world blind...

                  Site pro sous Joomla 3 : www.anco.pro et mon site perso : Pixel Marketing

                  Commentaire


                  • #10
                    Re : OVH indique que mon site est HACKE, et le bloque en mode 403

                    Bonsoir,

                    Si tu te fais si facilement piraté, c'est qu'il reste des failles, tant au niveau Joomla que des extensions. Voir aussi au niveau de ta machine, souvent répété mais un PC doit être exempt de tous reproches.

                    Admin Tools Pro ne m'a jamais convaincu, je préfère une solution comme Crawlprotect ou les solutions OSE.

                    Commentaire


                    • #11
                      Re : OVH indique que mon site est HACKE, et le bloque en mode 403

                      Bonjour,

                      Admin tools personnellement ne me sert qu'a mettre les bons droits sur les fichiers et répertoires, pour avoir testé Crawlprotect, cela semble une solution assez éfficace. Il existe aussi des logiciels qui permettent de scanner toutes les failles que tu pourrais avoir via des composants/modules etc , il y a l'option aussi Pare-feu d'OVH (qui pour l'avoir essayer est efficace mais pose certain soucis pour les newsletters par exemple). Regarde aussi les répertoires s'ils contiennent bien tous un 'index.html', vérifie aussi ton fichier Htaccess. Suivant ce que tu trouve tu peux aussi activé la sécurité d'administration via Admin Tools (ajoute un password au répertoires)..

                      Là en effet tu n'as plus trop le choix, il faut que tu te penches sérieusement sur la question de sécurité de ton site.

                      Bon courage !

                      Commentaire


                      • #12
                        Re : OVH indique que mon site est HACKE, et le bloque en mode 403

                        Bonjour,
                        Quelques outils que j'utilise qui pourraient servir.
                        1. Trouver les fichiers qui on été modifiés, ajoutés, supprimés, etc..
                        Pour cela, vous avez un excellent outil OpenSource à dispo sur le Net : Kdiff
                        http://kdiff3.sourceforge.net/
                        Cet outil vous permet de comparer une sauvegarde "propre" avec un backup "piraté".
                        Il affiche alors en quelques secondes tous les fichiers différents ou se trouvant dans un dossier et pas l'autre.
                        C'est un gain de temps énorme. Attention, cela ne protège en rien, cela sert juste à retrouver ce qui a été modifié (cela sert également dans bien d'autres cas donc). L'intérêt dans le cadre d'un hack est de savoir ce qui a été modifié pour pouvoir ensuite chercher dans les logs la trace sur le ou les fichiers (d'où provient l'attaque, comment a t'elle été réalisée, etc...).

                        2. Les outils fournissant une protection "correcte"
                        - Incontournables : Crawltrack + Crawlprotect
                        - Performant : RSFirewall (payant)
                        - peut bloquer certaines choses : SH404Sef

                        3. Les opérations importantes à réaliser
                        - sécuriser les dossiers : 755 et 644 au maximum pour les droits sur les fichiers. Quand un fichier n'a pas de raison d'être modifié, on peut augmenter la sécurité avec du 404 pour un fichier par exemple
                        - Rendre non visible les dossiers logs et tmp ainsi que le fichier de configuration : cela nécessite une modification des variables de fonctionnement dans le dossier include mais cela fonctionne bien et évite à un hacker d'accéder à ces parties du site. Certains modifient également le nom du dossier administrator..
                        - sur un serveur dédié : bloquer certaines fonctions "dangereuses" est un gros plus..

                        4. Les choses à garder en tête
                        - comme l'écrit Zepelin57, si l'ordinateur servant à administrer le site est compromis (virus, cheval de troie, keylogger, etc..), peu importe la protection du serveur puisque qu'un pirate potentiel va avoir les mots de passe servis sur un plateau
                        - des sites comme http://sitecheck.sucuri.net/scanner/ permettent de vérifier si il n'y a pas une cochonnerie déjà implanté sur un site que l'on pense "propre"
                        - les mots de passe sont la base de tout : mélanger lettres, chiffres et éviter les login/pass comme "admin/admin" (cela existe encore !) est du simple bon sens.

                        Il y aurait encore plein de choses à écrire et toute une partie du forum traite de ce sujet (à lire donc !)
                        Cordialement,
                        Chabi01 - http://www.xlformation.com

                        Commentaire


                        • #13
                          Re : OVH indique que mon site est HACKE, et le bloque en mode 403

                          Encore une fois, je ne vois pas la page 2... je suis dans le cloud en ce moment

                          Salut à tous,

                          je découvre cette belle synthèse de chabi, qui va être bien utile, puisque juste pour info, je me suis encore fait piraté

                          La dernière fois, avec une MAJ de J2.5.9 vers J2.5.10, j'ai été tranquille assez longtemps.

                          Cette fois-ci, je crois que le probleme est autre, ca vient peut-etre d'un sous-domaine non maintenu, je n'y avais pas pensé jusque là (auparavant protégé par un Htpasswd) !

                          Kdiff a l'air top ! je vais tester çà.

                          Sinon OVH indique cette fois, si ça vous évoque qqchose... :
                          Problème rencontré : Hidden PERL script
                          Commande apparente : /usr/sbin/apache2 -k system
                          Exécutable utilisé : /usr/bin/perl


                          Pour les mots de passe, ils sont très sécurisés. Crawlprotect + crawltrack sera la prochaine étape.
                          An eye for an eye makes the whole world blind...

                          Site pro sous Joomla 3 : www.anco.pro et mon site perso : Pixel Marketing

                          Commentaire

                          Annonce

                          Réduire
                          1 sur 2 < >

                          C'est [Réglé] et on n'en parle plus ?

                          A quoi ça sert ?
                          La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                          Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                          Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                          Comment ajouter la mention [Réglé] à votre discussion ?
                          1 - Aller sur votre discussion et éditer votre premier message :


                          2 - Cliquer sur la liste déroulante Préfixe.

                          3 - Choisir le préfixe [Réglé].


                          4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                          2 sur 2 < >

                          Assistance au forum - Outil de publication d'infos de votre site

                          Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                          Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                          Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                          UTILISER À VOS PROPRES RISQUES :
                          L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                          Problèmes connus :
                          FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                          Installation :

                          1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                          Archive zip : https://github.com/AFUJ/FPA/zipball/master

                          2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                          3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                          4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                          5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                          6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                          et remplacer www. votresite .com par votre nom de domaine


                          Exemples:
                          Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/
                          Pour executer le script: http://www..com/fpa-fr.php

                          Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/cms/
                          Pour executer le script: http://www..com/cms/fpa-fr.php

                          En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                          Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                          Voir plus
                          Voir moins
                          Travaille ...
                          X