hacking à répétition

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] hacking à répétition

    Bonjour,

    J'ai un gros souci avec deux sites que je gère. Ils sont victimes de hacking à répétition, et je n'arrive pas à me dépétrer du problème.

    Tout a commencé en juillet dernier, les deux sites ont été attaqués. A l'époque, ils étaient tous deux sous joomla 1.5. J'avais des sauvegardes récentes, donc je les ai remises en place. Mais rebelotte 15 jours plus tard. Donc là, j'ai pris le temps de faire le grand ménage, inspecté tous les fichiers, etc. Changé bien sûr tous les mdp, FTP et admin, vérifié les mises à jour de tous les composants. Les deux sites sont très basiques, ça a été rapide. Mais ça a recommencé deux semaines plus tard.
    Pour l'un des deux sites, le plus simple, ne voyant plus de fichier suspect, si de solution, je l'ai entièrement reconstruit sous joomla 1.7, avec un nouveau template, bref, tout neuf. Je n'ai récupéré aucun élément de l'ancien site. Depuis fin août, RAS, j'ai fait sauvegardes et mises à jour régulièrement. Et ce matin, surprise, le site est de nouveau hacké !
    Pour le deuxième site, je n'ai pas pu le refaire sous 1.7, car il est trilingue. Mais avec un gros nettoyage au mois d'août, j'étais aussi tranquille depuis. Et ce matin, même attauqe que sur l'autre.

    Dans les deux cas, j'ai des sauvegardes récentes, donc je peux remettre les sites en place immédiatement, mais comment faire pour que ça s'arrête ? Je suis désespérée !

    Je jère une bonne vingtaine de site, pourquoi ces deux-là posent problème ?

    Quels sont les éléments à étudier dans ces cas-là, étape par étape ?

    Merci beaucoup,

  • #2
    Re : hacking à répétition

    A ta place, je commencerais par installer un outil tel que CrawlProtect. Il va permettre de bloquer certaines attaques "traditionnelles", rendant le hacking plus compliqué. Il se peut que l'adresse de redirection doive être adaptée (avec mon hébergement, je n'ai pas pu utiliser la configuration par défaut de CP...)
    Bien entendu, une telle protection n'est intéressante que si tu vérifies régulièrement les attaques rencontrées.

    D'autre part, tu peux demander à ton hébergeur pour avoir les logs http de ton site. Avec un peu de chance, et beaucoup de patience, tu pourras trouver une trace sur le type d'attaque utilisée (à condition de savoir quand l'attaque a eu lieu)

    Ensuite : vérifie si tu n'utilises pas une extension vulnérable (http://docs.joomla.org/Vulnerable_Extensions_List). Vérifie que tu n'as pas de module/plugin/composant permettant l'introduction de données par un utilisateur dont tu ne te sers pas ou peu. Si c'est le cas, tu devrais pouvoir croiser avec le contenu des logs http pour identifier l'origine de la faille...

    De toute manière, signale le hacking à ton hébergeur : il se peut que l'origine du problème vient d'une faille sur un des sites mutualisés hébergés sur la même machine que toi, et je pense qu'ils ont plus de ressources sécuritaires que toi...
    A ce propos : tous tes sites sont-ils hébergés chez le même prestataire ?

    Bien à toi, et bon courage !
    JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
    Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
    Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

    Commentaire


    • #3
      Re : hacking à répétition

      Merci pour ces réponses. Je reprends point par point :

      - Justement, je suis en train d'installer crawlprotect, je vais voir ce que ça donne. Oui, je surveille mes sites régulièrement.

      - les logs, je les ai, j'ai pu repérer l'heure exacte de l'attaque : 4h du matin cette nuit. Le hacker a simplement installé son index.php et ses fichiers de langue (arabe).

      - côté extensions et composants, je ne vois rien qui cloche, surtout que les deux sites sont dans des versions différentes de joomla, et le seul composant commun est akeeba backup (que je mets à jour très régulièrement).

      Oui, ces deux sites (comme tous ceux que je gère ou presque) sont chez le même prestataire, mavenhosting pour être précise. Ce peut-il qu'il y ait une faille de leur côté ? J'aimerais éviter un transfert chez un autre hébergeur, mais j'avoue que je commence à douter...

      Commentaire


      • #4
        Re : hacking à répétition

        Envoyé par jo307 Voir le message
        - les logs, je les ai, j'ai pu repérer l'heure exacte de l'attaque : 4h du matin cette nuit. Le hacker a simplement installé son index.php et ses fichiers de langue (arabe).
        Simplement ? Il y a du y avoir, préalablement, l'installation d'un accès... Il faudrait remonter dans le log pour voir comment il a eu l'accès à l'enregistrement de son fichier index....

        Envoyé par jo307 Voir le message
        Oui, ces deux sites (comme tous ceux que je gère ou presque) sont chez le même prestataire, mavenhosting pour être précise. Ce peut-il qu'il y ait une faille de leur côté ? J'aimerais éviter un transfert chez un autre hébergeur, mais j'avoue que je commence à douter...
        Tout est possible. Contacte leur support et vois avec eux s'il n'y aurait pas un cheval de troie qq part : ils ont des accès que tu n'as pas, et la possibilité de trouver ce que tu ne peux pas voir. Enfin... normallement ! :-)
        JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
        Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
        Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

        Commentaire


        • #5
          Re : hacking à répétition

          Je ne vois rien d'autre dans les logs.
          Je suis en train d'attendre la réponse de l'hébergeur... ils sont généralement réactifs, mais l'heure du Québec, patience...
          Lors des attaques précédentes, tout ce qu'ils m'ont donné comme réponse c'est de mettre à jour Joomla et les composants. Je vais essayer d'être un peu plus persuasive !

          Commentaire


          • #6
            Re : hacking à répétition

            Tu as tous les logs depuis la dernière attaque résolue ?

            Si oui :
            • Identifie l'adresse ip de l'attaque de ce matin (par exemple 81.240.19.38)
            • Est-ce une adresse qui ressemble à la tienne ?


            Si oui => ton PC est vraisemblablement infecté !! Nettoyage absolu et complet nécessaire, au besoin avec du support spécialisé tel que sur malwareremoval.com - en anglais !
            Si non => Il s'agit plus vraisemblablement d'un exploit de faille. Recherche dans tous les logs des jours passés tout ce qui contient le début de cette adresse (dans mon exemple : '81.240.19.') (en espérant que le pirate n'utilise pas un autre proxy pour le hacking que pour le défaçage...)

            Tu peux aussi, au besoin, zipper tous les logs dans un fichier et le mettre en partage sur un système de partage tel que YouSendIt... et m'envoyer l'adresse par MP
            Dernière édition par elnikoff à 07/11/2011, 11h41
            JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
            Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
            Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

            Commentaire


            • #7
              Re : hacking à répétition

              Bonjour,

              Non pas de trace du moment de l'attaque, l'hébergeur a remis en place sa dernière sauvegarde. A moins que je ne regarde pas au bon endroit...
              L'assistance persiste sur l'importance des mises à jour. Or je suis quasi certaine l'attaque ne vient pas de là : la même attaque a eu lieu sur deux versions différentes de joomla, la mise à jour de tous les composants est faite très régulièrement.

              J'ai encore insisté pour qu'ils recherchent les logs du moment de l'attaque. On verra ce qu'ils répondent.

              Commentaire


              • #8
                Re : hacking à répétition

                Quoiqu'il en soit, CrawlProtect devrait te permettre de sécuriser ton environnement.

                D'autre part, en examinant les logs CP, tu pourras identifier le vecteur utilisé par ton pirate et dès lors permettre d'identifier une faille. N'hésites pas à revenir vers nous lorsque tu auras des détails :-)

                Et bon courage !!
                JoomApero Belgique : Venez choisir vos dates de participation : http://www.doodle.com/zygn3m6ki9hsede5
                Quand j'entends ce que j'entends, et que je vois ce que je vois, je suis bien content de penser ce que je pense...
                Pourquoi mettre [REGLE] dans son titre ? C'est simple : lisez !!

                Commentaire


                • #9
                  Re : hacking à répétition

                  Oui, j'ai installé crawlprotect sur les deux sites.

                  eh jutement : je m'aperçois qu'un dossier .smileys a été créé ce matin à la racine du site, avec des images dedans. Or ça ne vient pas de chez moi, et personne d'autre n'a les codes.
                  Là, c'est bizarre !
                  Dernière édition par jo307 à 08/11/2011, 16h54

                  Commentaire


                  • #10
                    Re : hacking à répétition

                    Je précise, le répertoire à été créé à la racine des deux sites à 10 minutes d'intervalle

                    Commentaire


                    • #11
                      Re : hacking à répétition

                      grâce à tes logs tu vas pouvoir savoir qui a crée ce dossier.
                      pour chercher les parties qui ont été attaquées et les attaques qui ont réussies :
                      tu cherches les lignes dans tes logs avec .txt ou ../ si ces lignes là sont en 200 c'est que l'attaque a réussie.
                      dans ce cas tu verras de quel composant / module il se sert pour entrer sur ton site ou ton ftp
                      veille aussi à ce que chaque dossier comporte un fichier index.html vide (en particulier tes templates , les developpeurs oublient d'en mettre)
                      aidons nous les uns les autres ...

                      https://www.web54.fr

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X