Re : Piratage de mon domaine !

est ce que ton fichier config est toujours là et bein configuré ?

Re : Piratage de mon domaine !

Salut,

Merci à toi, sur mes logs, j'ai juste vue que pas mal de gens on essayé de se connecter, mais toujours sans succès

Ok je regarde RocketTheme, mais j'ai trouvé encore plus étrange avec mon FTP.

Je voulais remettre le fichier de configuration sur le serveur depuis une de mes sauvegarde, mais ça coince !

J’utilise Filezilla, lors de l’envoi du fichiers il me dit "fichier existant", je lui dit de l'écraser, ce qu'il fait mais immédiatement après il veut le ré-écraser et cette fois l’écriture est impossible sur le fichier.

Je tente une autre option, je supprime le fichier de taille 0 du serveur, j’envoie donc le bon à présent, il arrive bien sur le serveur, mais immédiatement après il veux envoyer une deuxième fois le fichier et cette fois il ne peu pas l'écraser.

C'est un truc de fou.

J'ai essayé avec un autre fichier, des que j’envoie un fichier sur le serveur, il est automatiquement vidé, il à 0 octet.

Alors c'est soit Filezilla qui n’envoie qu'un fichier vide, soit c'est le serveur qui efface le contenus des fichiers envoyé.

Je suis sans solution face à ça.

Avez-vous des pistes ?

Re : Piratage de mon domaine !

Re-Salut,

Ça y est, le type qui m'a attaqué à réussi son coup, ce que je craignait est arrivé, il a réussi à me bloquer mes 2 sites en ERREUR 403 à l'instant même !

J'ai presque pus voir l'action en live!

Mes fichiers sont bien sur le serveur, mais mon site est raid-mort et je n'en connais pas la raison ça me rend fou, je n'ai même plus accès a l'admin d'aucun de mes site.

Comme je l'ai dis, même après avoir supprimé un site entier, ce pirate à infecté les autres dossiers qui contenais mes sous domaines.

La poisse !

J'ai changé mes mots de passe FTP rien n'y fait !

Re : Piratage de mon domaine !

Le fichier config est bien la sur les deux site !

L'un est vide, 0 octet, l'autre est la aussi mais il est complet, il n'a pas été modifié.

Dans les deux cas mes site marche plus.

Je suis en trains de changer les droit d’accès aux fichiers par FTP en 744, ils était passé en 777 sans que j'intervienne !

Tu peu voir le massacre ici http://eliopro.com et http://eliopro.com/maginot

Tu peu essayer l'admin, c'est la même chose !

Re : Piratage de mon domaine !

Salut,

Non aucune réponse, je viens de les relancer, j'ai ajouté un maximum d'explications dans le descriptif de mon problème pour leur faciliter le support.

Je vais aller voir en attendant sur le forum de Nuxit, il y a peut-être des pistes.

Jusqu'à présent Nuxit n'a jamais faillit, j'ai été attaqué bien des fois et j'ai toujours trouvé une parade, mais là c'est grave quand même.

J'ai un autre domaine chez Nuxit en .fr qui ne semble pas affecté pour le moment, j’espère qu'il restera indemne, c'est de mon business qu'il s'agit sur le .fr

Merci pour l'info.

Je viens de tester l’envoie par FTP d'un dossier "vierge" juste pour voir ce qui se passe, Filezilla me dis :

Disk quota exceeded

Alors que j'ai plusieurs dixaine de mégas de libre normalement sachant qu'il y avait tout de même un autre site Joomla! à cet endrois que j'ai viré cette semaine !

C'est peut-être une piste, je vais me connecter à mon manager et voir le quotas qu'il me reste, ça expliquerai que Filezilla ne peu pas transferer des donnés.

Il y a peutêtre un script malicieux qui remplis le disque dur de fausse donné, metant tout les quotas comme complet des qu'on vire un truc il comblerai le blanc.

Si c'est le cas, alors c'est une attaque serveur et non de Joomla! directement.

Je vais creuser par là, car des que je télécharge un fichier de mon serveur, impossible de le transferer vers le serveur sans qu'il soit "vide" une fois sur place !

Ça expliquerai que mon fichier configuration soit vide puisque je l'ai téléchargé puis renvoyé sur le serveur, ce qui la vidé.

Au point ou j'en suis j'ai plus rien à perdre.

Re : Piratage de mon domaine !

Oui,

C'est pas le même serveur en effet, mais bon je balise quand même un peu !

Apparemment un gars à eu le même topo sur le forum de nuxit cette semaine, j'ai relancé le sujet la bas en résumant brièvement mon cas :



Je verrai bien si on y répond, mais bon ils semble largué la-bas.

Je vais fouiller dans mon hébergement, il faut que je trouve ce qu'il vas pas, je déteste ne pas savoir, c'est vital de savoir si c'est Joomla! qui est attaqué ou le serveur.

Amicalement.

Piste possible, piratage serveur !

Salut,

En fouillant sur mon hébergement, j'ai la désagréable surprise de voir mon quota complétement bouffé alors qu'il y a quelques jours il était à moitié vide !

De plus je ne vais que rarement sur ce domaine en .com

Il c'est remplis de quoi ?

Si joint une capture d'écran :



Les chiffres ne sont pas cohérent non plus, si j'ai bien 2500 Mo c'est quoi ce chiffre 5199.71 ?

Pire encore, quand je supprime un fichier du serveur, il libéré de la place, et ben non, c'est automatiquement comblé, impossible de renvoyer le fichier à la même place prélevé 2 secondes plus tôt.

J'ai ajouté ses remarque au support Nuxit, mais je ne sais pas si il bosse aujourd'hui on est samedi.

Si c'est bien une attaque, les pirates on tout le weekend pour faire des dégâts.

En tous cas, la je ne sais plus quoi faire.

Je verrai en fonction de ce que le support me répondra.

J'ai lus mes log, mais c'est vraiment complexe à déchiffrer, je ne sais même pas ce que je dois chercher.

Par exemple ses 2 lignes m'interpellent car il y a un "POST", normalement il ne devrai y avoir que des GET puisque c'est en lecture seul ...

Amicalement.

Reponse du support

Re-Salut,

voici la réponse du support :

Impossible pour moi de supprimer par FTP un dossier de plus de 5 Gigas, le timeOUT m'en empêche.

J'ai demandé au support de s'en occuper, au fait, savez-vous virer les gros dossier par FTP ?

Qu'est-ce qui a pu remplir ce dossier autant ?

Parmi les fichiers du cache que j'ai pu virer moi-même, j'ai trouvé celui-ci qui est récurant et qui apparait tout le temps, j'en ai prélevé un :

Un pro peut-il y jeter un œil pour me dire ce qu'il fout la celui-là ?

Je l'ai compactée dans un fichier *.zip et joint ici :

fichier_du_cache.zip

Apparemment c'est un mootools.js il est omniprésent ! dans le cache.

* @subpackage RokAjaxSearch Module
* @copyright Copyright (C) 2009 RocketTheme. All rights reserved.
* @license http://www.gnu.org/copyleft/gpl.html GNU/GPL, see RT-LICENSE.php
* @author RocketTheme, LLC

Merci.

Re : Reponse du support

Bonjour,

Le fichier envoyé est en fait le mootools mis en cache.

Je pense que tu dois avoir un sérieux problème de cache sur ton installation.

Pour tout virer via ftp, ne supprimes pas le répertoire cache, mais entres-y, sélectionnes tous les fichiers et supprimes les un à un pour éviter les time out.
Une fois le tout nettoyé, désactives le cache, au moins provisoirement, jusqu'à ce que tu aies trouvé la raison qui fait que le cache n'est jamais vidé proprement (ou laisses le mais passes par la phase vider le cache au moins une fois par semaine).

Edit: cause de ce mootools caché à outrance, le module Rok Ajax Search...

Re : Reponse du support

Complément d'infos :

Quand je me connecte par FTP tous mes fichiers son mentionné comme droit d’accès FTP propriétaire (c'est à dire moi)

Sauf le dossier Page du cache qui lui est estampillé "Users" ce qui démontre bien que quelqu'un d'autre y est connecté ou utilise ce dossier !!!

Un conseil, vérifiez ce dossier vous aussi et dite moi ce qu'il est sensé contenir en temps normal.

Re : Reponse du support

Commencer par virer ou mettre à jour ce module

Re : Reponse du support

Salut Jisse 03,

Je vide le cache régulièrement, c'est même une de mes obsessions.

J'utilise sur tout mes site pour m'y aider le plugin CacheCleaner



Serait-il possible que c'est lui la cause de tout ?

Dans ce cas pourquoi le cache du 2eme site est vide, c'est le cas également sur mon domaine .fr

J'ai viré tout ce que j'ai pu du dossier cache, mais impossible de virer le dossier Page qu'il contiens, uniquement sur ce site en plus.

J'ai plus qu'un espoir c'est que le support de mon hébergeur me vire cette m...e de mon serveur.

Quand j'aurai la main à nouveau sur mon site, je vais l’ausculter en détail, c'est loin d'être normal tout ça.

La poisse.

Re : Reponse du support

Le owner des fichiers peut être différent de ton FTP, puisque c'est apache qui écrit là dedans, il est possible que sa configuration soit réalisée pour que ces écritures soient faites par le groupe users ou autre chose selon la configuration de pache, le mode de fonctionnement de php (mod_php, cgi, fcgi+SuExec ou SuPHP...)

Re : Reponse du support

J'utilise aussi admin tools pro

Mais comme on me reproche souvent (cf les sujets sur CB) de conseiller des produits payants...