Mon site a été hacké

Discussion dans 'Administration d'un site Web' créé par netsba, 2 Janvier 2008.

  1. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
    je me suis fait hacké a plusieurs reprises ces jours si, et après avoir vu sur le forum de sivit sur ce sujet http://forum.sivit.fr/viewtopic.php?id=8608 que le problème viens de chez nous comme quoi il y aurai des failles de sécurité des scripts de nos sites alors en urgence j'ai du passé :

    - de phpbb2 (2.0.22 stable et très bien référencé) à phpbb3 avec un rewriting qui na rien avoir avec l'ancien et qui me prend prés de 100mo de plus sur la bdd et avec le template de base puisque j'ai pas eu le temps d'en faire un spécialement pour mon site et avec la possibilité de saturé mon espace web 2 fois plus vite que prévu.

    - de spip 1.8 aussi tres bien referencé à 1.9.2 avec qui pas mal de scripts ne marchent plus comme la pagination des rubriques, et j'arrive pas a trouver un mod qui me met les articles de la forme article1.html à article0001.html comme avant(compatible avec gg actualité) donc je perd aussi 1000 pages de plus indexé chez google. aussi j'ai vidé sur ma bdd les tables des statistiques accumulé sur 2ans pour pouvoir gagné quelques méga de plus.

    - après 2 jours de hackage intensif j'ai mis une redirection 301 de www.actudz.com vers algerie.actudz.com en pensant pouvoir arrêté le hacker qui d'apres moi utilisai tjr une faille dans mes scripts et pendant 1 journée plus hack et hop sa recommence.

    conclusion j'ai etais obligé de négocier sur msn avec un jeune de 18 ans et me rabaissé a son niveau qui voulais que j'efface la rubrique sexualité de mon forum et religions. heureusement que c'etais un algérien comme moi et qu'il veux bien me laissé tranquille.

    le nombre de mes visiteurs a significativement baissé ces derniers jours.

    finalement, le hacker le 30 décembre m'explique que la faille finalement ne viens pas de chez moi il ma meme fait une video pour me montré son exploit http://dl.free.fr/mWk2CAOt6/actudzhacked.rar (le soir meme apres que j'avais sur mon espace qu'un phpbb fraichement installé et tres peux modifier et un spip a jour avec un template en html basique) alors la je suis fou de rage et je demande réparation et je trouve que je suis dans mon droit.

    j'ai envoyé a sivit une copie de la video pour connaitre leurs version et demander réparation, et leur réponse la voila

    je veux bien les croire mais cette histoire dure bien depuis le 16 décembre d'après le poste chez sivit, et la soirée de 30 du mois étais encore pas colmaté.

    j'ai perdu presque 100mo d'espace et maintenant je me retrouve a l'étroit :( alors que j'ai renouvelé mon hébergement pour 2ans il y a 6mois.

    moi je voulais pas passé sur phpbb3 aussi rapidement et encore moins changé mes url du forum et perdre tout les pages indexé

    j'ai aussi un problème de caractères sur le forum : les é sont remplacé par é si il y a une solution je suis preneur

    qu'es que vous en pensez ?
     
  2. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    15 681
    J'aime reçus:
    0
    change le jeu de caractère qui est en utf8 et qu'il faut mettre en Iso

    ce que j en pense : toujours avoir la derniere version de PhpBB, ne pas attendre. :)
     
  3. Koxin-L
    Koxin-L WRInaute passionné
    Inscrit:
    29 Mars 2007
    Messages:
    1 925
    J'aime reçus:
    0
    Parce que tu crois qu'une faille de la dernière V2 viens d'être découverte dès la sortie de la V3 ?


    Moi, perso, j'aurai commencé par tout sauvegarder et de modifier script par script afin de trouver le vilain petit canard.
    Certes, ça aurait fait merdé le site durant peut-être 3 ou 4 jours, mais tu aurais pas eu à le modifier totalement.
     
  4. Victor BRITO
    Victor BRITO WRInaute occasionnel
    Inscrit:
    21 Décembre 2006
    Messages:
    417
    J'aime reçus:
    0
    C'est plutôt l'inverse, vu que phpBB 3 se base sur l'UTF-8.

    Quant à la faille, il se peut qu'elle provienne de SPIP, vu que c'était ce CMS qui n'était pas à jour.
     
  5. Meeuuuhhh
    Meeuuuhhh WRInaute passionné
    Inscrit:
    8 Janvier 2007
    Messages:
    2 074
    J'aime reçus:
    0
    Comme toujours le problème concerne les CMS et autres forums dont tout le monde à le code.
     
  6. Tilt
    Tilt WRInaute impliqué
    Inscrit:
    26 Mars 2005
    Messages:
    855
    J'aime reçus:
    0
    Re: site hacké chez sivit

    C'est ça qui m'interpelle tout de suite.
    Je trouve que ça mérite une petite explication d'homme à homme (avec une petite redirection 302 de sa tête vers ta main).

    Moins prosaïquement, puisque tu as discuté avec lui et que tu souhaites être indemnisé, c'est à lui qu'il faut demander réparation.
     
  7. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
    le problème est qu'après avoir effacé tout le contenu de mon espace ftp (et non pas ma bdd) et avoir tout réinstallé je me suis fait haké encore et encore donc en conclusion l'erreur ne viens pas de mon site.

    meme maintenant si le hackeur veux me hacké de nouveau je suis tjr a sa mercis
     
  8. Koxin-L
    Koxin-L WRInaute passionné
    Inscrit:
    29 Mars 2007
    Messages:
    1 925
    J'aime reçus:
    0
    A tu pensé à modifier tout tes pass ?

    A tu pensé que le hackeur à pu t'installé un trojan sur ton PC après avoir pris le contrôle de ton hébergement?

    Perso, j'ai du mal à mettre en doute les affirmation de l'hébergeur sur ce coup.
     
  9. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
  10. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    Bon c'est quoi la faille alors! Par reussi à choper l'archive pour voir ce que c'était.
     
  11. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
  12. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    Et beh, c'est du joli avec quelle facilité il s'infiltre 0_o
     
  13. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
    envirent 5 fois minimum depuis le debut de l'attaque et le passe ftp n'est pas le meme que celui des bdd

    non mais je le pense pas quoi que rien n'est sure

    apres avoir tu repris depuis le debut je me fait encore hacké ! va comprendre comment il fait. mais vu que je suis pas le seul dans ce cas je pense pas qu'il s'agisse d'une faille dans phpbb ou spip
     
  14. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    Oui, c'est un trou de sécurité chez sivit, tu n'y es pour rien.
     
  15. mahefarivony
    mahefarivony WRInaute accro
    Inscrit:
    14 Octobre 2002
    Messages:
    11 371
    J'aime reçus:
    0
    hum, j'hésites a le télécharger le .rar la.....
    pas moyen de mettre ça sur youtube ? sinon y a quoi dessus ?

    Il faut aussi vérifier que la BDD ne contienne pas de code malicieux : du html qui n'a rien a y faire, genre "<iframe src="

    bon courage
     
  16. Koxin-L
    Koxin-L WRInaute passionné
    Inscrit:
    29 Mars 2007
    Messages:
    1 925
    J'aime reçus:
    0
    Bon, j'ai save mes bases au cas ou...

    :)
     
  17. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    Pas de problèmes avec l'archive hihi

    Sauf si on peut mettre un virus à l'intérieur d'un .avi qui serait invisible au meilleur des antivirus :D
     
  18. Elvis
    Elvis WRInaute discret
    Inscrit:
    20 Mai 2005
    Messages:
    115
    J'aime reçus:
    0
    Tu peux pas regarder tes logs d'accès, ou demander à sivit de le faire pour identifier l'IP du gars ?
    Si ça se trouve, tout bon hackeur qu'il est, il a laissé une trace de lui...
     
  19. Suede
    Suede WRInaute accro
    Inscrit:
    4 Octobre 2002
    Messages:
    3 705
    J'aime reçus:
    0
    A priori, c'est du combiné :
    - Une faille dans spip pas mis à jour
    - Une faille php qui a pu etre utilisée via la faille de spip

    François
     
  20. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    On dirait pourtant qu'il se connecte en root sur le serveur ! Une faille d'un cms sur l'espace d'un client peut donner accès à tout le serveur ??
     
  21. Suede
    Suede WRInaute accro
    Inscrit:
    4 Octobre 2002
    Messages:
    3 705
    J'aime reçus:
    0
    Il s'agit de mutualisé donc pas d'acces root au serveur, juste à l'espace www. Si il utilise le mot de passe root pour ses sites et non pas un mot de passe par site, c'est facile de les recuperer.
     
  22. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    Oue dans ce cas, il a surement un dédié parce qu'on le voit faire un cd /home/......./www/
     
  23. Suede
    Suede WRInaute accro
    Inscrit:
    4 Octobre 2002
    Messages:
    3 705
    J'aime reçus:
    0
    S'il a un dédié, je ne vois pas ce que sivit a à faire dans son serveur : c'est à lui de mettre à jour son serveur. Mais en voyant le lien vers le forum de sivit, j'en déduirais qu'il a un mutualisé.
     
  24. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    Donc il a réussi a avoir les accès root sur le mutualisé sivit ? :mrgreen: Je sais je suis chiant mais on tourne en rond la :lol:
     
  25. Koxin-L
    Koxin-L WRInaute passionné
    Inscrit:
    29 Mars 2007
    Messages:
    1 925
    J'aime reçus:
    0
    De toute façon, la méthode de hack est toujours la même.
    Tentative via un script non sécurisé, tentative de récupération des pass du webmaster, etc... Le hack passant directement par l'herbergeur arrive bien après, sauf si c'est lui qui est visé.
     
  26. Suede
    Suede WRInaute accro
    Inscrit:
    4 Octobre 2002
    Messages:
    3 705
    J'aime reçus:
    0
    ns, ce sont les mutu chez sivit donc c'est bien en sivit.
    Et comme il l'a dit avant, c'est une faille php exploitée via une faille de spip.
     
  27. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
    désolé du retard, oui c'est bien du mutualisé.

    si c'est spip qui est incriminé, pourquoi apres avoir passé de la version 1.8 a la derniere version et apres avoir vidé tout mon compte ftp il pouvais encore entré modifier mes fichiers sans problèmes?

    moi je pense que c'est plutot sivit qui fait pas correctement son travail.
     
  28. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0
    et changé de password pour le ftp et sécurisé tous les répertoires admin ?
     
  29. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
    deja répondu, j'ai repris a zero avec des pass neuf et la meme bdd, j'ai changer tout les fichiers.
     
  30. Victor BRITO
    Victor BRITO WRInaute occasionnel
    Inscrit:
    21 Décembre 2006
    Messages:
    417
    J'aime reçus:
    0
    Je me demande s'il n'utiliserait pas une faille située ailleurs que dans tes CMS... :roll:
     
  31. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    Quasi sure que c'est la bécane qui est piratée. Récupérer un shell root, c'est bien plus qu'une faille spip à mon avis.

    Faudrait leur montrer la vidéo, chez sivit, si ce n'est fait. Vont se marrer ;)
     
  32. Revealer
    Revealer WRInaute discret
    Inscrit:
    9 Décembre 2006
    Messages:
    95
    J'aime reçus:
    0
    HAHA la vidéo

    comment ça chambre :roll:

    Il a un compte sur 110mb.com (his0k4.110mb.com), tu peut les contacter en leur expliquant le problème.
    Il peuvent peut être t'aider à le coincer, surtout qu'ils affichent fièrement sur leur site :

    Contact aussi les webmasters des autres sites hacké pour entamer une procédure contre lui.
     
  33. Mitirapa
    Mitirapa WRInaute passionné
    Inscrit:
    10 Juillet 2002
    Messages:
    1 660
    J'aime reçus:
    0
    ce que j'ai pigé de la vidéo, c'est que la gars a un script comme ca :
    http://209.85.135.104/search?q=cache:fV ... cd=2&gl=fr

    qu'il a placé sur le serveur de http://france-vet-international.org (car on voit une requete au debut de la vid vers http://france-vet-international.org/vis ... c.......... )

    et il utilise Metasploit Framework http://framework.metasploit.com avec un module d'exploit (je sais pas lequel)

    apres j'sais pas comment il fait son truc mais ca a vraiment l'air a la porté de tout le monde une fois l'astuce trouvée c grave...
     
  34. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    oue, il suffit d'avoir le shellcode, metasploit et un écouteur de ports (netcat) et on se prend pour le roi du monde ... :roll:

    Si ca se trouve, la faille chez sivit existait depuis très longtemps.
    Mais c'est le premier abruti qui la dévoile et il va surement en faire enrager plus d'un, et pas que des webmasters ... lol
     
  35. h4ni
    h4ni WRInaute occasionnel
    Inscrit:
    11 Juillet 2005
    Messages:
    485
    J'aime reçus:
    0
    c'est un algerien qui vie en Algerie , alors je ne croit pas qu'ils pourron faire qq chose contre lui
     
  36. h4ni
    h4ni WRInaute occasionnel
    Inscrit:
    11 Juillet 2005
    Messages:
    485
    J'aime reçus:
    0
  37. Revealer
    Revealer WRInaute discret
    Inscrit:
    9 Décembre 2006
    Messages:
    95
    J'aime reçus:
    0
    Du moins c'est ce qu'il dit, information à vérifier. Si c'est vrai ça vaut quand même la peine d'essayer.
     
  38. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
    c'est un algerien de 18ans qui vie a mostaganem (un villle a 120klm de chez moi)

    j'ai parler avec lui sur msn, il dit que la faille n'est pas chez moi mais chez sivit.

    moi ce que je veux c'est que sivit dise oui la faille est bien chez nous et nous nous excusons mais ils sont trop borné pour le reconnaitre.
     
  39. Meeuuuhhh
    Meeuuuhhh WRInaute passionné
    Inscrit:
    8 Janvier 2007
    Messages:
    2 074
    J'aime reçus:
    0
    Il est fiable ton jeune de 18 piges ?
     
  40. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
    je sais pas si il est fiable mais il sais faire des videos de 150mo compressé dans un fichier de 2mo

    il rentre quand il veux dans les serveurs de sivit, donc va comprendre
     
  41. Victor BRITO
    Victor BRITO WRInaute occasionnel
    Inscrit:
    21 Décembre 2006
    Messages:
    417
    J'aime reçus:
    0
    Bref, tout concorde pour soupçonner une faille chez Sivit. :roll:
     
  42. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
    Nouvel épisode dans la passoire sivit :
    Je viens de parler au hacker sur msn et il ma refilé mon nouveau pass de ma bdd, il dit que sivit on sécurisé leurs serveurs apache mais que ce n’est pas assé.

    il foutent quoi chez sivit?
     
  43. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
  44. Victor BRITO
    Victor BRITO WRInaute occasionnel
    Inscrit:
    21 Décembre 2006
    Messages:
    417
    J'aime reçus:
    0
  45. Revealer
    Revealer WRInaute discret
    Inscrit:
    9 Décembre 2006
    Messages:
    95
    J'aime reçus:
    0
    Ben dis donc c'est du hacker engagé :lol:

    Je savais pas qu'on pouvais réduire autant une vidéo en compression. J'ai décompressé l'archive puis recompressé avec winrar en utilisant la compression la plus forte, j'ai obtenu un fichier encore plus petit que le sien. Je pense que c'est du au codec utilisé pour la capture qui se prete bien à la compression. Faudrait lui demander ce qu'il a utilisé comme logiciel pour enregistrer sa vidéo.
     
  46. acamar
    acamar WRInaute passionné
    Inscrit:
    27 Novembre 2005
    Messages:
    2 000
    J'aime reçus:
    0
    Apparemment la vidéo enregistré n'utilise pas de codec (pas de compression) une vidéo native, une vidéo bitmap en quelque sorte !!!
     
  47. Revealer
    Revealer WRInaute discret
    Inscrit:
    9 Décembre 2006
    Messages:
    95
    J'aime reçus:
    0
    Ah d'accord, en effet l'affichage est saccadé, c'est nickel pour faire des vidéos de démonstration en tout cas.
     
  48. Victor BRITO
    Victor BRITO WRInaute occasionnel
    Inscrit:
    21 Décembre 2006
    Messages:
    417
    J'aime reçus:
    0
    Donc une compression encore meilleure. CQFD
     
  49. acamar
    acamar WRInaute passionné
    Inscrit:
    27 Novembre 2005
    Messages:
    2 000
    J'aime reçus:
    0
    C'est une compression a première vu bien meilleur car c'est déjà non compressé, contrairement à une vidéo divx ou un morceau mp3 qui utilise déjà des compressions (codecs), en conséquent on obtient pas grand chose même avec des rar ou des 7z les plus lents...


    Ca y est, je suis accro lol !!!
     
  50. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
    la prochaine fois quand je parle au petit je lui demande pour la compression :lol:
     
  51. efz
    efz WRInaute discret
    Inscrit:
    16 Novembre 2005
    Messages:
    179
    J'aime reçus:
    0
    Re: site hacké chez sivit

    Pas le temps de lire tout le topic, mais ton hacker a installé un c99 shell, un php shell, il profite d'une faille de type remote inclusion de ton phpbb à mon avis (problème de variable dans la partie admin).

    Il faut que tu lances la commande suivante déjà pour virer tous les php shell qu'il a pu installer :
    grep -n -r "c99" *
    Ca peut également être un autre php shell, mais d'après les images de la vidéo ce serait le c99.
    Il a très bien pu dissimuler ce phpshell dans des fichiers qu'il aurait pu nommer image.jpg par exemple, donc soit vigilant. Ta maj a phpbb3 devrait te couvrir, je pense qu'il peut tjs te pirater car il a tjs un phpshell en place sur ton serveur.

    Par ailleurs ce n'est absolument pas la faute de sivit, donc inutile de les mettre en cause. Il s'agit simplement de tes scripts open-source. C'est bien mais tout le monde a le code, donc il est plutot facile de trouver des failles... Et ce n'est jamais évident de garder les scripts à jour.

     
  52. dd32
    dd32 WRInaute accro
    Inscrit:
    9 Septembre 2005
    Messages:
    3 380
    J'aime reçus:
    0
    Re: site hacké chez sivit

    Voilà une bonne explication que je me permets d'appuyer car cela m'est déjà arrivé, j'avais une application open source du nom de dotproject.
    C'est fréquent et très facile à faire.
    Donc prudence :)
     
  53. efz
    efz WRInaute discret
    Inscrit:
    16 Novembre 2005
    Messages:
    179
    J'aime reçus:
    0
    Re: site hacké chez sivit

    Désolé, je "m'autocite" mais cette commande ne fera que lister les fichiers qui contiennent la chaine "c99". Lance la a la racine de ton serveur pour trouver les fichiers, ensuite, supprime les. Tu peux même jouer un vilain tour a ton hacker en remplacant ces fichiers par des s.aloperies puisqu'il risque de les relancer à nouveau ;)
     
  54. efz
    efz WRInaute discret
    Inscrit:
    16 Novembre 2005
    Messages:
    179
    J'aime reçus:
    0
    Pour les gens un peu inquiets, ces quelques lignes à placer dans vos .htaccess ne vous feront pas de mal ;)

    Pour netsba, c'est surtout la 1ère ligne qui aurait pu le protéger.

    Ca ne protège pas de tout, mais c'est déjà un petit plus.

    Attention, je vous suggère de tester ces lignes avec précaution, cela peut affecter vos scripts (enfin vous n'aure qu'à commenter les lignes pour que tout rentre dans l'ordre).

    Code:
    RewriteCond %{REQUEST_URI} .*((php|my)?shell|remview.*|phpremoteview.*|sshphp.*|pcom|nstview.*|c99shell.*|r57shell.*|webadmin.*|phpget.*|phpwriter.*|fileditor.*)\.(php[3-9]{0,1}|txt) [NC,OR]
    RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
    RewriteCond %{QUERY_STRING} ^(.*)=/home(.+)?/web/DOSSIER_A_MODIFIER/(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^work_dir=.*$ [OR]
    RewriteCond %{QUERY_STRING} ^command=.*&output.*$ [OR]
    RewriteCond %{QUERY_STRING} ^c=(t|setup|codes)$ [OR]
    RewriteCond %{QUERY_STRING} ^act=((about|cmd|selfremove|upload.*)|((chmod|f)&f=.*))$ [OR]
    RewriteCond %{QUERY_STRING} ^act=(ls|search|fsbuff|encoder|tools|processes|ftpquickbrute|security|sql|eval|update|feedback|cmd|gofile|mkfile)&d=.*$ [OR]
    RewriteCond %{QUERY_STRING} ^&?c=(l?v?i?&d=|v&fnot=|setup&ref=|l&r=|d&d=|tree&d|t&d=|e&d=|i&d=|codes|md5crack).*$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)(cmd|command|[-_a-z]{1,15})=(ls|cd|cat|rm|mv|vim|chmod|chdir|mkdir|rmdir|pwd|clear|whoami|uname|tar|zip|unzip|tar|gzip|gunzip|grep|more|ln|umask|telnet|ssh|ftp|head|tail|which|mkmode|touch|logname|edit_file|search_text|find_text|php_eval|download_file|ftp_file_down|ftp_file_up|ftp_brute|mail_file|mysql|mysql_dump|db_query)([^a-zA-Z0-9].+)*$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)(wget|shell_exec|passthru|system|exec|popen|proc_open)(.*)$
    RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
    RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$
    RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR]
    RewriteCond %{HTTP_USER_AGENT} ^[0-9a-z]{15,}|^[0-9A-Za-z]{19,} [OR]
    
     
  55. Suede
    Suede WRInaute accro
    Inscrit:
    4 Octobre 2002
    Messages:
    3 705
    J'aime reçus:
    0
    Est-ce que tu as supprimé tous tes fichiers avant de faire une ré-installation propre?
     
  56. efz
    efz WRInaute discret
    Inscrit:
    16 Novembre 2005
    Messages:
    179
    J'aime reçus:
    0
    Re: site hacké chez sivit

    C'est comme l'a dit dd32 très facile à faire, puisqu'il suffit de taper une URL :x


    En revanche il est arrivé par le passé que des hébergeurs aient mal configuré des comptes de mutualisés, en gros il suffisait de pirater un compte mutualisé pour avoir un accès root sur le serveur mutualisé complet.


    C'est comme cela que des pirates ont réussi en quelques minutes à pirater plus de 20.000 sites... Effrayant :evil:
     
  57. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    Re: site hacké chez sivit

    Il dit qu'il est en mutualisé donc ce n'est pas son serveur non ?
     
  58. efz
    efz WRInaute discret
    Inscrit:
    16 Novembre 2005
    Messages:
    179
    J'aime reçus:
    0
    Si c'est un mutualisé ca ne change pas grand chose, le "hacker" (entre guillemets car ce genre de "hack" ne nécessite aucune connaissance) a simplement un phpshell sur son hébergement. Il doit avoir tous les droits sur le compte de netsba seulement.
     
  59. YoyoS
    YoyoS WRInaute accro
    Inscrit:
    14 Septembre 2006
    Messages:
    4 026
    J'aime reçus:
    0
    Et comment expliquer que seulement les hébergements mutualisés sivit sont touchés ?
     
  60. efz
    efz WRInaute discret
    Inscrit:
    16 Novembre 2005
    Messages:
    179
    J'aime reçus:
    0
    N'importe quel hébergeur peut être touché... Cela m'est arrivé chez d'autres hébergeurs que Sivit ;)
     
  61. efz
    efz WRInaute discret
    Inscrit:
    16 Novembre 2005
    Messages:
    179
    J'aime reçus:
    0
    Tiens moi qui voulait voir si le pirate en question était recensé sur zone-h... Et bien figurez vous qu'ils ont été piratés eux aussi récemment! Comme quoi, vraiment personne n'est à l'abri!

    Pour info zone-h recense tous les piratages et autre "site defacements" sur la toile.

    Un article sur zataz: http://www.zataz.com/news/12913/Deux-pi ... one-H.html
     
  62. 80giga
    80giga Nouveau WRInaute
    Inscrit:
    24 Octobre 2007
    Messages:
    2
    J'aime reçus:
    0
    je connais rien en programmation, mais je suis fort en recherche !

    alors ce hacker est adapte d'un forum de hackers arabes, il est sous le pseudo de zakism

    http://www.hadileshop.com/vb/

    obligé de s'inscrire sous un autre pseudo pour qu'il ne trouve pas mes sites
     
  63. raljx
    raljx WRInaute accro
    Inscrit:
    10 Juillet 2006
    Messages:
    2 812
    J'aime reçus:
    0
    N'empeche qu'il fait des victimes tous les jours ... :roll:
     
  64. 80giga
    80giga Nouveau WRInaute
    Inscrit:
    24 Octobre 2007
    Messages:
    2
    J'aime reçus:
    0
  65. Cpt America
    Cpt America WRInaute discret
    Inscrit:
    31 Mars 2006
    Messages:
    62
    J'aime reçus:
    0
    Je n'ai pas pris le temps de tout lire, mais dans ce que j'ai lu personne ne parle de porter plainte...

    Est-ce que tu y as pensé ?

    J'ai un site qui s'est fait hacké, j'ai porté plainte auprès de la B.E.F.T.I. et le hackeur va passer en jugement.

    Pourtant ce n'était pas grand chose, tout comme toi une attaque par phpBB sur un site plutôt modeste. Ca vaut le coup d'essayer :wink:

    En plus de ça, le chantage qu'il a fait sur toi est sûrement une circonstance agravante
     
  66. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0
    ton hackeur est français ? car là, il est algérien. Mais il serait de n'importe quelle autre nationalité, ça ne changerait rien : dès qu'il faut s'attaquer à un ressortissant d'un autre pays, ça fait des frais à avancer sans être sûr de l'issue
     
  67. LeMulotNocturne
    LeMulotNocturne WRInaute impliqué
    Inscrit:
    1 Juin 2005
    Messages:
    689
    J'aime reçus:
    0
    :lol: +1
    je suis tiraillé entre curisioté et prudence... Pour l'instant c'est la prudence qui l'emporte... :wink:
     
  68. Revealer
    Revealer WRInaute discret
    Inscrit:
    9 Décembre 2006
    Messages:
    95
    J'aime reçus:
    0
    Nan c'est bon il est clean, ya que des .avi et des .txt dedans. Par contre c'est en arabe alors bon...
     
  69. netsba
    netsba WRInaute discret
    Inscrit:
    17 Novembre 2004
    Messages:
    220
    J'aime reçus:
    0
    je viens de parlé encore a mon hackeur, il ma refilé le lien d'une nouvelle victime http://hackersrealm.net/forums/

    un forum spécialisé en hacking :lol:

    il a fait une nouvelle video http://peace2all.org/iss.rar pour les amateurs.

    il dis qu'il a utilisé cam studio pour faire les videos.

    et pour l'info j'ai effacé tout mes fichiers sur mon ftp et j'ai remis une version neuve de phpbb3 (j'etais en V2) et il ma encore hacké.

    j'ai changé a plusieurs reprises les mots de pass et nada tjr pareil, il les retrouve sans problèmes.

    d'après lui le problème viens de sivit qui n'est pas asse sécurisé.

    Ps : j'ai ni les moyens ni l'envi d'attaqué un jeune de 18ans en justice, sans parlé du vide juridique qui existe en algerie (windows vista ici ce vend chez le marchand du coin a moins d'un euro gravé en vitrine avec pochette)
     
  70. Revealer
    Revealer WRInaute discret
    Inscrit:
    9 Décembre 2006
    Messages:
    95
    J'aime reçus:
    0
    Ah merci pour l'info netsba.

    Elle flash la page d'accueil qu'il a collé sur le site hackersrealm.net

    La vieille provoque :roll:

    Sympa la vidéo, j'adore les documents sur son bureau..."must be hacked.txt" "msn à pirater.txt" :lol:

    Fais quand même gaffe qu'il n'ai pas pour projet de s'incruster dans ton PC perso (si ça n'est pas déjà fait :lol: )
     
  71. efz
    efz WRInaute discret
    Inscrit:
    16 Novembre 2005
    Messages:
    179
    J'aime reçus:
    0
    Euhhh... Je veux bien t'aider, mais si tu prends pas la peine de lire ce que je te dis... Toute la solution est dans mon 1er post.
     
  72. darkjukka
    darkjukka WRInaute impliqué
    Inscrit:
    28 Avril 2007
    Messages:
    670
    J'aime reçus:
    0
    Avec ce code placé sur le htaccess a la racine de mon site cela marche-t-il ? Le forum est placé dans un sous dossier /forum.

    Merci :)
     
  73. emilia123
    emilia123 Nouveau WRInaute
    Inscrit:
    30 Octobre 2006
    Messages:
    18
    J'aime reçus:
    0
    bonjour à tous/toutes

    Justement il a dit qu'il avait changé tous les éléments liés à son hébergement.
    mot de passe FTP / mot de passe BDD / applies utilisées et pourtout ca a l'air de continuer.

    Je pencherais donc, comme le "pirate" à l'air de dire, d'un problème de sécurité sur le serveur.
    Si jamais il a réussi à pirater un autre compte du serveur mutualisé (peu importe la méthode) et qu'il arrive à passer des fichiers d'un compte mutualisé à un autre (normalement il y a des barrieres mais bon), on peut faire ce qu'on veut sur ses propres fichiers ca ne corrigera pas le problème de sécurité, donc la faille.

    pour etre sur il faudrait supprimer TOUT ce qu'il y a sur l'hébergement, mettre une simple page d'accueil, changer les mot de passe, et demander au pirate de mettre en place une page disant que le site est hacké. cela ne pourra que prouver que cela vient de l'hébergement.

    en tout cas, il est "cool" ce pirate de continuer à discuter, parce que certains ne se donneraient meme pas la peine, et utiliserait juste les infos trouvées sans meme dire qu'ils les ont récupérées.

    Courage et tiens nous au courant.
    Biz
     
  74. Topsitemaker
    Topsitemaker WRInaute impliqué
    Inscrit:
    19 Novembre 2006
    Messages:
    641
    J'aime reçus:
    0
    Chez Sivit, seront-ils assez humbles pour demander des infos aux hackers ? car il semble coopératif, sinon ce sera des heures de recherches sur le net pour trouver un ou plusieurs remèdes.

    apparemment le hacker a la possibilité de lire les fichiers config de phpBB, les pages semblent apache-writables, et pour commencer je ferai un check avec un anti-virus type f-prot pour voir s'il n'y a pas un r57shell qui traine dans les parages.
     
  75. Hartas
    Hartas WRInaute discret
    Inscrit:
    12 Novembre 2006
    Messages:
    66
    J'aime reçus:
    0
  76. Joora
    Joora Nouveau WRInaute
    Inscrit:
    2 Novembre 2006
    Messages:
    29
    J'aime reçus:
    0
    Bon dans sa vidéo je vois qu'il utilise un script php, qu'il a du placer soit dans ton site, soit dans le disque dur de sivit ou y'a ton site
    En effet, c'est possible vu ce qu'il utilise.

    Pour info il utilise le c99team shell, je l'ai en ma possession si ça intéresse qqn (un hacker l'a uploadé sur mon site, mais n'a pas pu l'utiliser, ou alors il n'a pas pris la peine... ou alors c'était fait par un robot)

    Il utilise aussi netcat pour récupérer des infos et executer des commandes...

    Si tu veux que je regarde si y'a son fichier qq part, contacte moi par msn ou mail joora @ hotmail . fr
    Je peux aussi donner le fichier de la team c99 à ceux qui veulent pour tester la sécurité de votre hébergeur... mais le mieux est de laisser l'hébergeur faire car sinon vous faites du piratage!

    bonne chance ;)