pages de phishing frauduleuses sur mon hebergement

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • pages de phishing frauduleuses sur mon hebergement

    Bonjour,
    deux fois ce mois ci des pages de phishing ont été déposées à la racine de mon site (public_html). Suite à la première attaque :
    - effacement complet du site sur l'hébergement
    - mise à jour de joomla en 2.5.14
    - mise à jours de tous les modules
    - changement de tous les mots de passe, base, site, cpanel etc (mdp très forts)
    - mise en place crawlprotect et crawltrack avec htacess et revision de ts les droits en 555 et 444.

    malgré cela des pages ont été réintroduite à la racine, crawltrack ne détecte rien, aucun fichier de mon site n'a été modifié.pas de trace de log par FTP, je ne sais plus ou chercher.
    Quelqu'un aurait t-il une idée?
    Merci d'avance

  • #2
    Re : pages de phishing frauduleuses sur mon hebergement

    un composant permettant l'upload de fichiers
    que disent les logs http ?
    Christophe
    http://www.webcrea.fr

    Commentaire


    • #3
      Re : pages de phishing frauduleuses sur mon hebergement

      Hello Webcrea,
      pas de composant permettant l'upload de fichier dans mon site et pas de log http pour la journée d'hier ou les pages ont été remises. J'ai mis le site en maintenance pour voir si les pages reviennent dans ce mode.

      Commentaire


      • #4
        Re : pages de phishing frauduleuses sur mon hebergement

        Bonjour,

        Il n'y aurait pas une extension vulnérable d'installée par hasard ?
        http://vel.joomla.org/ pour référence.
        Pas de demande de support par MP.
        S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

        Commentaire


        • #5
          Re : pages de phishing frauduleuses sur mon hebergement

          Envoyé par jisse03 Voir le message
          Bonjour,

          Il n'y aurait pas une extension vulnérable d'installée par hasard ?
          http://vel.joomla.org/ pour référence.
          Bonsoir,
          non, ai regardé la liste, j'ai bien un Xmap, mais rajouté après le remontage du site, et Akeeba biensur, mais je pense que vue son deploiement, s'il y avait un pb a ce niveau, ce serait rapidement diffusé.
          rien à faire je sèche.
          Je commence à avoir des doutes sur mon hébergement (mutualisé RedHeberg).

          Commentaire


          • #6
            Re : pages de phishing frauduleuses sur mon hebergement

            Bonsoir

            Le gestionnaire de médias (com_media) permet l'upload d'un fichier, Community Builder permet l'upload d'un avatar (qui pourrait être non pas une image mais du code php), etc. donc "pas de composant permettant l'upload de fichier" est éronné.

            Il te faudrait récupérer le log de ton site et l'examiner à la recherche de tentatives, fructueuses, de hacking. C'est un travail long; sur un site fréquenté, car le log arrive vite à des dizaines de milliers de lignes.

            Installe aussi un bon .htaccess qui bloque un grand nombre d'attaques; celui de crawlprotect n'est pas, je pense, le plus imperméable (avis perso).

            Bonne nuit.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : pages de phishing frauduleuses sur mon hebergement

              Envoyé par cavo789 Voir le message
              Bonsoir

              Le gestionnaire de médias (com_media) permet l'upload d'un fichier, Community Builder permet l'upload d'un avatar (qui pourrait être non pas une image mais du code php), etc. donc "pas de composant permettant l'upload de fichier" est éronné.

              Il te faudrait récupérer le log de ton site et l'examiner à la recherche de tentatives, fructueuses, de hacking. C'est un travail long; sur un site fréquenté, car le log arrive vite à des dizaines de milliers de lignes.

              Installe aussi un bon .htaccess qui bloque un grand nombre d'attaques; celui de crawlprotect n'est pas, je pense, le plus imperméable (avis perso).

              Bonne nuit.
              Bonjour Christophe,
              oui, j'ai vu qu'il y a un exploit sur com_media. Mais la version 2.5.14 n'est pas vulnérable d'après ce que j'ai pu lire. J'ai testé sur mon site et ça met "ressource innaccessible" . Je vais reprendre les logs et le htaccess.
              Merci
              Dernière édition par ccp29 à 20/09/2013, 11h08

              Commentaire


              • #8
                Re : pages de phishing frauduleuses sur mon hebergement

                Je viens d'avoir un mail de mon hébergeur me disant qu'ils ont identifié le problème. ça viendrait donc de chez eux. J'ai demandé des précisions et les posterais. Si ça peut aider quelqu'un.

                Commentaire


                • #9
                  Re : pages de phishing frauduleuses sur mon hebergement

                  Bonjour

                  Envoyé par ccp29 Voir le message
                  J'ai demandé des précisions et les posterais. Si ça peut aider quelqu'un.
                  Oui avec plaisir. Ne donne toutefois ni le nom de l'hébergeur (pas de contre pub ici svp) ni trop de détails techniques mais oui, bien volontier, cela nous permettra de pouvoir peut-être mieux orienter d'autres utilisateurs à l'avenir.
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : pages de phishing frauduleuses sur mon hebergement

                    J'ai reçu ça aujourd'hui : "On a mis en place une protection en plus. Cela devrait vraiment limiter l'envoi de fichier sur votre hébergement."
                    je vais insister pour avoie des détails, mais ce n'est pas gagné. S'ils ont fait une bourde, ils ne vont pas s'en vanter. On va voir...

                    Commentaire


                    • #11
                      Re : pages de phishing frauduleuses sur mon hebergement

                      je pense à l'inverse de cavo que tu peux donner le nom de l'hebergeur s'ils mettent en place un système de protection et reconnaissent que cela vient de chez eux.
                      c'est tellement rare qu'ils le disent et fassent quelque chose.

                      d'habitude c'est plutôt "on a rien fait, ça vient de chez vous, demmerdez vous"
                      et je ne citerai pas de marque car j'aime bien les roubaisiens.
                      aidons nous les uns les autres ...

                      https://www.web54.fr

                      Commentaire


                      • #12
                        Re : pages de phishing frauduleuses sur mon hebergement

                        Salut Tataye

                        Envoyé par tataye Voir le message
                        et je ne citerai pas de marque car j'aime bien les roubaisiens.
                        Ben, tu viens de le faire :-)

                        Ce que nous souhaitons sur le forum, c'est de ne pas prendre parti pour l'un ou l'autre fournisseurs en gardant une certaine équidistance entre chaque.
                        Christophe (cavo789)
                        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                        Commentaire


                        • #13
                          Re : pages de phishing frauduleuses sur mon hebergement

                          Envoyé par cavo789 Voir le message
                          Salut Tataye



                          Ben, tu viens de le faire :-)
                          ho, vache alors !
                          moi aussi je garde ma distance ...
                          aidons nous les uns les autres ...

                          https://www.web54.fr

                          Commentaire


                          • #14
                            Re : pages de phishing frauduleuses sur mon hebergement

                            Envoyé par ccp29 Voir le message
                            Bonsoir,
                            non, ai regardé la liste, j'ai bien un Xmap, mais rajouté après le remontage du site, et Akeeba biensur, mais je pense que vue son deploiement, s'il y avait un pb a ce niveau, ce serait rapidement diffusé.
                            rien à faire je sèche.
                            Je commence à avoir des doutes sur mon hébergement (mutualisé RedHeberg).

                            De toute façon c'est trop tard l'auteur du post l'avait donné dès le début !
                            Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

                            Commentaire


                            • #15
                              Re : pages de phishing frauduleuses sur mon hebergement

                              Envoyé par cavo789 Voir le message
                              Bonjour



                              Oui avec plaisir. Ne donne toutefois ni le nom de l'hébergeur (pas de contre pub ici svp) ni trop de détails techniques mais oui, bien volontier, cela nous permettra de pouvoir peut-être mieux orienter d'autres utilisateurs à l'avenir.
                              Même si par exemple, j'ai fait une inter sur un serveur où tous les fichiers étaient infectés, l'hébergeur, que je ne citerai pas , même si la somme fait 2, a notifié le hack et bloqué toutes possibilités de réparer :
                              - fichiers et dossier en lecture seul
                              - accès ssh interdit

                              Seule solution, basculer sur une nouvelle offre...

                              J'en ai une autre pas mal aussi : 2 serveurs mutualisés sous 2 comptes différents hackés à la même heure à la minute près, même jour : Réponse du support "Vous vous êtes fait voler vos login/pass FTP"

                              Qu'en pensez-vous, faut-il toujours être équidistant avec ces #ù**&3s de cette espèce ou au contraire, faire remonter l'info pour les confondre ?
                              Christophe
                              http://www.webcrea.fr

                              Commentaire

                              Annonce

                              Réduire
                              Aucune annonce pour le moment.

                              Partenaire de l'association

                              Réduire

                              Hébergeur Web PlanetHoster
                              Travaille ...
                              X