Forum vbulletin hacké

[Spleen-HK]

Bonjour à tous,

Voila j'ai un très gros problème, mon forum n'arrête pas de se faire hacker depuis deux semaines, le hackeur parvient à entrée et faire ce qu'il veut dans la base de donnée !!

Je possède un forum vbulletin (à la dernière version 3.6.4), mon hébergeur est infomaniak (mutualisé).

Je précise que le forum est à priori totalement sécurisé, j'ai mis des htaccess dans tous les dossiers sensibles, la version 3.6.4 de vbulletin est aussi à priori sécurisé.

J'ai contacté vbulletin, on ma dit que cela ne venait pas de vbulletin et que je devais contacter mon hébergeur... Mon cher hébergeur Infomaniak me demande comment fait le hackeur, chose que je ne sais pas ! Depuis plus personne de chez eux ne veut répondre à mes mails, un vrai délire. :?

J'ai vérifié pendant des heures les logs apache, il n'y a rien du tout.

J'ai lu quelques sujets sur les fonctions allow_url_fopen et register_globals qui sont activés sur le serveur ou se trouve mon forum, peut être le problème vient-il de la ?

Si quelqu'un a des idées sur le problème svp aidez moi car la je suis vraiment perdu. :cry:

 

[rog]

la première chose à faire est de changer les mots de passe du server mysql

pour verifier si l'attaquant a pu te hacker en passant par un autre site hébergé, faut uploader une backdoor du type c99 ou r57 et verifier que tu as acces aux autres sites

verifies aussi qu'il n'y en a pas une parmis tes fichiers

et si tu es perdu, il faut envisager de faire appel à un professionnel

rog

 

[Spleen-HK]

Salut,

Merci pour ta réponse.

Oui depuis le premier hack j'ai changé l'ensemble des login/pass que je possède. Que ce soit la base de donnée, mon compte infomaniak, ect...

Pour le backdoor ou je peux trouver ça ?

Lors du premier hack j'ai vu dans mes logs web de google analytic des entrées de ce genre : site:"ip du serveur ou se trouve mon site" vbulletin

J'ai vérifié sur le ftp il n'y a rien de ce genre, d'ailleurs le site n'a pas été hacké, juste le forum.

 

[MirageDemonAsh]

Tu tapes sur google web :

c99shell

C'est le premier resultat

Pour le reste tu peux créer un fichier .htaccess à la racine avec ça :

php_flag session.use_trans_sid off
php_flag allow_url_fopen off
php_flag register_globals off

Si c'est accepté par ton hébergeur et que ça ne gêne pas ton forum. Vois directement avec ton hébergeur pour ces commandes.

Pour le reste, comme dit rog, verifie l'intégralité de tes fichiers php.

 

[belinea]

est ce que l affichage de la listes des membres inscrits est activé si oui , alors ça sera facile de hacker ton site ,si les hackers savent le nom de l admin de ton forum vb,ils peuvent trouver ton mot de passe avec des logiciels ou des sites de hacks qui proposent ce type de services,
ou bien quelqu un qui as pu s infultrer sur ton pc ,
conseils
desactivé l affichage de la listes des membres inscrits
proteger les dossiers admincp includes et archive modcp
changer le mot de passe et aussi le nom de l admin
si tu veux poster des topics rentrer avec d autres noms