Tweet
Bonjour à tous !
Je gère un site sous Joomla! depuis presque 1an.
Je suis actuellement sous la dernière version stable 2.5.6 (ayant commencé avec la 1.7 au tout début puis mis à jour à chaque version stable)
Il y a 1 mois j'ai subit une première attaque : une personne a utilisé un proxy situé sur un serveur dédié en italie pour se connecter sur mon ftp et écrire un code ECHO avec une série de chiffres cryptés sur plusieurs pages notamment les INDEX.PHP ce petit ECHO d'une ligne rendait votre site inaccessible (page blanche). Le tout en 59 secondes, et en 1 seconde il télécharge une page l'écrit et l'upload ce qui me fait plus penser à un script malveillant plutôt qu'un mec devant fillezilla. J'ai découvert tout ça grâce aux logs d'ovh. Bref je change tous mes codes FTP, SQL, MANAGER, ADMIN, et j'active le pare feu applicatif d'ovh.
Pendant 15 jours plus aucune attaque.
Et ce matin, je recois un mail de FraudWatch Security qui m'informe que mon site héberge un autre site de phishing d'une banque mexicaine : www.santander.com.mx (sur le coup j'y crois pas trop mais il y avait le lien dudit dossier) je clic et en effet mon site hebergeait bien la replique de ce site mexicain et cela dans 2 dossiers : .../templates/system/SuperNet/ ET .../templates/system/SuperNet/Supernet2007/ (jamais vu supernet avant et non présent dans la base de donnée)
Je consulte alors les logs OVH et là dans les logs FTP : RIEN !!!!! ABSOLUMENT aucune IP ou MANIP suspecte !!! même sur des jours antérieurs...
Je consulte alors les LOGS web qui faisaient presque 100mo !! et la plein d'ip mexicaine qui ont consultés le site de fishing mais juste avec la fonction GET donc rien de suspect... (ces ip sont apparu pour la 1ere fois la veille du mail de FraudWatch a 23h50 environ)
Je ne comprends pas comment une telle attaque a pu se produire.
J'en appel donc à la communauté pour m'aider à comprendre, selon vous quelles hypothèses citées ci-dessous vous semble la plus probable afin de m'aider à filtrer mes recherches ?
- pc infecté par un trojan qui envoit les codes FTP ? mais dans ce cas pourquoi aucune trace et pourquoi NOD32 à jour payé sur 3ans ne détecte rien ni sur mon pc ni dans les backup du site ?
- module non sécurisé exploité par le hacker ? (voici la liste : acepolls, acesef, acymailing, admin tools, akeeba backup, un slider d'images perso, community builder, error 404, aicontactsafe, forum kunena, jce, jevents, phocadownload, redirect on login) et TOUS à jour.
- grosse faille dans joomla 2.5.6 que personne n'a vu ?
- hébergement mutualisé ovh business insuffisant niveau sécu ?
- autres ??
Merci d'avance !!
Je gère un site sous Joomla! depuis presque 1an.
Je suis actuellement sous la dernière version stable 2.5.6 (ayant commencé avec la 1.7 au tout début puis mis à jour à chaque version stable)
Il y a 1 mois j'ai subit une première attaque : une personne a utilisé un proxy situé sur un serveur dédié en italie pour se connecter sur mon ftp et écrire un code ECHO avec une série de chiffres cryptés sur plusieurs pages notamment les INDEX.PHP ce petit ECHO d'une ligne rendait votre site inaccessible (page blanche). Le tout en 59 secondes, et en 1 seconde il télécharge une page l'écrit et l'upload ce qui me fait plus penser à un script malveillant plutôt qu'un mec devant fillezilla. J'ai découvert tout ça grâce aux logs d'ovh. Bref je change tous mes codes FTP, SQL, MANAGER, ADMIN, et j'active le pare feu applicatif d'ovh.
Pendant 15 jours plus aucune attaque.
Et ce matin, je recois un mail de FraudWatch Security qui m'informe que mon site héberge un autre site de phishing d'une banque mexicaine : www.santander.com.mx (sur le coup j'y crois pas trop mais il y avait le lien dudit dossier) je clic et en effet mon site hebergeait bien la replique de ce site mexicain et cela dans 2 dossiers : .../templates/system/SuperNet/ ET .../templates/system/SuperNet/Supernet2007/ (jamais vu supernet avant et non présent dans la base de donnée)
Je consulte alors les logs OVH et là dans les logs FTP : RIEN !!!!! ABSOLUMENT aucune IP ou MANIP suspecte !!! même sur des jours antérieurs...
Je consulte alors les LOGS web qui faisaient presque 100mo !! et la plein d'ip mexicaine qui ont consultés le site de fishing mais juste avec la fonction GET donc rien de suspect... (ces ip sont apparu pour la 1ere fois la veille du mail de FraudWatch a 23h50 environ)
Je ne comprends pas comment une telle attaque a pu se produire.
J'en appel donc à la communauté pour m'aider à comprendre, selon vous quelles hypothèses citées ci-dessous vous semble la plus probable afin de m'aider à filtrer mes recherches ?
- pc infecté par un trojan qui envoit les codes FTP ? mais dans ce cas pourquoi aucune trace et pourquoi NOD32 à jour payé sur 3ans ne détecte rien ni sur mon pc ni dans les backup du site ?
- module non sécurisé exploité par le hacker ? (voici la liste : acepolls, acesef, acymailing, admin tools, akeeba backup, un slider d'images perso, community builder, error 404, aicontactsafe, forum kunena, jce, jevents, phocadownload, redirect on login) et TOUS à jour.
- grosse faille dans joomla 2.5.6 que personne n'a vu ?
- hébergement mutualisé ovh business insuffisant niveau sécu ?
- autres ??
Merci d'avance !!
Commentaire