Re : OVH indique que mon site est HACKE, et le bloque en mode 403

Bonsoir,

C'est une base mais il faut aussi protéger l'espace, on ne va pas le répéter à chaque fois (lire le forum sécurité).

Oui pour remonter un backup sain en local et faire ce qui y a à faire.

Et pourquoi tu ne pourrais pas ? Commencer déjà par changer celui du ftp et db via la manager.

Mais si tu es sur que tout est à jour, commences aussi par analyser ta machine (virus, trojan, malwares etc). Si filezilla changer par un autre soft plus sécure ou ne pas enregistrer les mdp.

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

Bonjour,

Tu peux aussi vérifier avec la date de tes fichiers, ce qui a été fait, et enlever les fichiers injectés, sécurisé tes répertoires, remplacer tes fichiers éventuellement modifiés, puis une fois fait cela tu indiques à OVH ce que tu as fais et leur demande de te remettre le site en ligne. (tu as dû avoir un ticket d'incident ouvert et tu leur réponds dedans)

Pour info, j'ai eu y a quelques jours sur des versions 1.5 , injections via du gif, ce qui se fait souvent aussi c'est l'utilisation des répértoires des templates standard, qu'ils faut donc obligatoirement désinstaller si tu ne les utilises pas. Et donc pour les dates cela indiques qu'est ce qui a été modifié y a quelques jours et c'est souvent évidemment les hackers qui ont fait les dernières modifications de fichiers. En ayant les dates tu peux aussi avec OVH faire une restoration à une date antérieurs ton site (seulement tes fichiers).

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

salut et merci pour vos réponses.

- mot de passe FTP changé pour un costaud
- Filezilla à jour
- mot de passe BDD changé pour un costaud

Je ne sais pas comment trouver les fichiers modifier, je suppose que c'est dans les logs qu'il faut regarder. Svp, pouvez vous indiquer ce qu'il faut chercher comme indice, anomalie..

J'ai demandé une restoration à OVH, pas de réponse pour le moment.

Voici les logs et l'historique depuis le mail d'OVH du 27 mars :
historique des visites
Log du 26-03-2013 avant l'alerte
Log du 27-03-2013 le jour de l'alerte
Log du 28-03-2013 le jour de la réouverture, juste avec un CHMOD 705 (selon le guide fourni par OVH) et sans autre action (oops)
Log du 29-03-2013 ou le site est totalement fermé sans réouverture possible avec un CHMOD

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

Re,

Comme je l'indiquais, regarde la date de tes répertoires et de tes fichiers (via ton logiciel ftp), ils te donneront un indice de la date de modification et donc si tu n'es pas intervenu sur le site, cela sous entend que c'est le hackeur qui l'a fait. Donc avec cette date (cela peut se passer sur plusieurs jours tu peux consulté tes logs), vérifie aussi la taille des fichiers avec ceux par exemple que tu as en local (une copie non hackée en local).
Tu peux aussi vérifier les ip connectée ces derniers jours qui sont récurantes, si ton taux de visite à beaucoup augmenté cela te donnera aussi des indices (dans le manager OVH tu as les stats)

Pense pour l'optimisation de sécurité la prochaine fois de bien écrire ton .htaccess, supprimer les templates non utilisés et installé par défaut, d'appliquer les bons droit sur tes fichiers et répertoires (Admintools est parfait pour cela). Tu as aussi l'option Crawlprotect.

En espérant que cela t'aide.

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

oh oui, ca m'aide. C'est certain qu'après avoir résolu ce problème, je vais prendre le dossier "sécurité" à bras le corps. On est toujours plus sensibilisé quand ca nous arrive...

Concernant les pistes que tu indiques :
- je ne comprenais pas comment voir la date de modification de 6000 fichiers, mais ca y est, j'ai compris .
Seuls les dossiers "cache" et "tmp" ont été modifiés, ce qui paraît normal...

- pour les adresses IP, je vois pas vraiment... Si je regarde le log du 27 mars, il y a plein d'adresses IP qui font plein de requêtes au serveur, sont-ce pour autant des hackeurs ? J'ai pas vu d'adresse qui ressorte fortement en terme de volume de requêtes, j'ai pensé à un logiciel d'analyse de logs, sans en trouver un spécialement adapté pour trouver une adresse IP récurrente.

Si le hackeur n'a rien modifié dans le FTP, c'est qu'il a du exécuter une requete en SQL dans un champ de formulaire, c'est bien ca ? Et le principe consiste à trouver par ou il est entré via les logs, pour mettre à jour ou virer l'extension avec une faille, toujours ok ?

Bon, vu que je n'arrive pas a trouver de trucs anormals dans les logs (en meme temps, je regarde les logs pour la premiere fois..), le plus simple est de restaurer un backup, mais la faille sera toujours là ...

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

Hello, pour finir,
je n'ai pas trouvé la source de l'attaque, j'ai demandé à OVH de mettre une sauvegarde datant de 2 semaines, j'ai changé les mots de passe, et installé/configuré Admin TOols Pro et Marco's SQL injection. Depuis ca semble aller, malgré une grosse (énorme) chute dans les visites...

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

bonsoir,
si tout refonctionne correctement fait vite une sauvegarde complete
N'oublie pas de scanner ton PC
si ton joomla etait a jour, tu as surement ete infecté par un trojan "webmaster" (qui recherche les clients FTP et les fichiers index.html sur ton PC)

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

salut manu93fr,
merci pour l'info et dsl du délai, je n'avais pas vu ta réponse.

je relance le sujet, car je suis à nouveau attaqué, et ca a bien marché ! voir le screenshot du site ce soir
http://screencast.com/t/xlAAoemLq

j'avais pourtant protégé l'url qui permet d'accéder à l'adminitration, installé et configué Admin Tools Pro... que faire ?

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

Bonsoir,

Si tu te fais si facilement piraté, c'est qu'il reste des failles, tant au niveau Joomla que des extensions. Voir aussi au niveau de ta machine, souvent répété mais un PC doit être exempt de tous reproches.

Admin Tools Pro ne m'a jamais convaincu, je préfère une solution comme Crawlprotect ou les solutions OSE.

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

Bonjour,

Admin tools personnellement ne me sert qu'a mettre les bons droits sur les fichiers et répertoires, pour avoir testé Crawlprotect, cela semble une solution assez éfficace. Il existe aussi des logiciels qui permettent de scanner toutes les failles que tu pourrais avoir via des composants/modules etc , il y a l'option aussi Pare-feu d'OVH (qui pour l'avoir essayer est efficace mais pose certain soucis pour les newsletters par exemple). Regarde aussi les répertoires s'ils contiennent bien tous un 'index.html', vérifie aussi ton fichier Htaccess. Suivant ce que tu trouve tu peux aussi activé la sécurité d'administration via Admin Tools (ajoute un password au répertoires)..

Là en effet tu n'as plus trop le choix, il faut que tu te penches sérieusement sur la question de sécurité de ton site.

Bon courage !

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

Bonjour,
Quelques outils que j'utilise qui pourraient servir.
1. Trouver les fichiers qui on été modifiés, ajoutés, supprimés, etc..
Pour cela, vous avez un excellent outil OpenSource à dispo sur le Net : Kdiff

Cet outil vous permet de comparer une sauvegarde "propre" avec un backup "piraté".
Il affiche alors en quelques secondes tous les fichiers différents ou se trouvant dans un dossier et pas l'autre.
C'est un gain de temps énorme. Attention, cela ne protège en rien, cela sert juste à retrouver ce qui a été modifié (cela sert également dans bien d'autres cas donc). L'intérêt dans le cadre d'un hack est de savoir ce qui a été modifié pour pouvoir ensuite chercher dans les logs la trace sur le ou les fichiers (d'où provient l'attaque, comment a t'elle été réalisée, etc...).

2. Les outils fournissant une protection "correcte"
- Incontournables : Crawltrack + Crawlprotect
- Performant : RSFirewall (payant)
- peut bloquer certaines choses : SH404Sef

3. Les opérations importantes à réaliser
- sécuriser les dossiers : 755 et 644 au maximum pour les droits sur les fichiers. Quand un fichier n'a pas de raison d'être modifié, on peut augmenter la sécurité avec du 404 pour un fichier par exemple
- Rendre non visible les dossiers logs et tmp ainsi que le fichier de configuration : cela nécessite une modification des variables de fonctionnement dans le dossier include mais cela fonctionne bien et évite à un hacker d'accéder à ces parties du site. Certains modifient également le nom du dossier administrator..
- sur un serveur dédié : bloquer certaines fonctions "dangereuses" est un gros plus..

4. Les choses à garder en tête
- comme l'écrit Zepelin57, si l'ordinateur servant à administrer le site est compromis (virus, cheval de troie, keylogger, etc..), peu importe la protection du serveur puisque qu'un pirate potentiel va avoir les mots de passe servis sur un plateau
- des sites comme http://sitecheck.sucuri.net/scanner/ permettent de vérifier si il n'y a pas une cochonnerie déjà implanté sur un site que l'on pense "propre"
- les mots de passe sont la base de tout : mélanger lettres, chiffres et éviter les login/pass comme "admin/admin" (cela existe encore !) est du simple bon sens.

Il y aurait encore plein de choses à écrire et toute une partie du forum traite de ce sujet (à lire donc !)
Cordialement,

Re : OVH indique que mon site est HACKE, et le bloque en mode 403

Encore une fois, je ne vois pas la page 2... je suis dans le cloud en ce moment

Salut à tous,

je découvre cette belle synthèse de chabi, qui va être bien utile, puisque juste pour info, je me suis encore fait piraté

La dernière fois, avec une MAJ de J2.5.9 vers J2.5.10, j'ai été tranquille assez longtemps.

Cette fois-ci, je crois que le probleme est autre, ca vient peut-etre d'un sous-domaine non maintenu, je n'y avais pas pensé jusque là (auparavant protégé par un Htpasswd) !

Kdiff a l'air top ! je vais tester çà.

Sinon OVH indique cette fois, si ça vous évoque qqchose... :
Problème rencontré : Hidden PERL script
Commande apparente : /usr/sbin/apache2 -k system
Exécutable utilisé : /usr/bin/perl

Pour les mots de passe, ils sont très sécurisés. Crawlprotect + crawltrack sera la prochaine étape.