Opérations de phishing

[RiF]

Bonsoir,

Je suis nouveau sur WRI, mais pas sur les forums en général, j'ai conscience qu'il y a certaines règles à respecter !
Avant de poster le message ici présent, j'ai bien effectué une recherche avancée pour le mot "phishing". J'ai lu attentivement les différents posts, mais hélas aucun ne m'apporte de réponses.

Mon problème est poster dans la rubrique .htaccess même s'il ne relate pas l'url rewriting mais plutôt la sécurité ou les restrictions d'accès. Il n'y avait pas trop de catégorie adapter à mon problème. (A noté que je me suis inscrit sur http://www.urlrewriting.fr/ et le support "anti-hack" renvoie vers votre site...)

Alors je m'explique. Tout d'abord je suis chez OVH, je possède un hébergement mutualisé "media plan" et j'ai monté récemment un site de rencontres. (A noter que je possède un autre site chez OVH, sur une base media plan également, et que je n'ai pas le problème que je vais vous décrire ci-après).

Depuis l'ouverture du site, mon ftp est soumis à des opérations de phishing.
Par exemple : http://niceone.fr/forum/www.hsbc.co.uk/ ... login.html
Donc, une ip créee un dossier à la base de mon ftp dans des répertoires déjà existant ou dans des nouveaux répertoires dans le "www".
Sauf que voilà, OVH passe mon site en état "hacké" et ce dernier devient inaccessible. Le support me laisse une note du genre :

Vous trouverez une dfinition du terme Phishing (ou Hameonnage ou
Filoutage) l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA ... .html#hame

Nous avons procd la suspension de votre service d'hbergement pour couper l'accs cette page. Nous avons laiss votre accs FTP ouvert pour vous permettre de corriger les lments mis en ligne par le hacker.

Nous vous invitons modifier les droits/permissions 000 pour couper l'accs aux pages signales.

Donc à partir de ce moment là, je vais faire un petit tour dans mon .htaccess afin de faire un deny from sur l'ip qui créer des dossiers. (deny from *** *** ** **) placé en début de fichier.
A noté que j'ai trouvé son ip grace au logs OVH (http://logs.ovh.net/niceone)

Réponse du support OVH (qui m'a pas beaucoup aider...)

Dans votre situation, je vous invites à mettre la ligne "deny from 86.24.160.220" (sans majuscule) au début de votre fichier .htaccess

Je vous recommande aussi de vérifier le type d'intrusion que vous subissez en consultant vos logs bruts :
http://logs.ovh.net/niceone.fr (l'identification est la même que pour le Manager).

Si une tierce personne arrive a injecté des informations sur votre hébergement le but n'est pas de bloquer l'Ip qu'il utilise mais de corriger la faille qui permet l'injection. Un pirate peut très facilement changer d'adresse Ip.

Cordialement, Julien B.

Seulement voilà même avec un deny from, le propriétaire de l'ip arrive toujours a créer des dossiers dans le ftp.

A partir de ce moment là, je décide de rajouter un :

# deny most common except .php
<FilesMatch "\.(inc|admin|etcetcetcetcl)$">
deny from all
</FilesMatch>

afin de protéger mes accès au dossier, mais pas moyen régulièrement je retrouve des dossiers liés au phishing.

A noté également que l'index.php est protégé avec :

<Files ~"\index.php$">
deny from all
</Files>

Plusieurs fichiers .php sont présents à la racine de mon site. Peut-être que le "hackeur" injecte des dossiers à partir d'une faille présente dans une page php à la racine du site ? dans ce cas est-il possible de protéger via le .htaccess l'ensemble des pages .php ?

Est-il possible de m'aider ?

Merci de m'avoir lu

Cordialement,

hugo

 

[jidébé]

Bonsoir,

Il n'y a pas 50 solutions, soit le hacker a ton login et mot de passe ftp soit il utilise une faille dans un de tes scripts. Tu fais fausse route, le htaccess ne changera rien à l'affaire.

Il faut de toute façon changer ton login et mot de passe ftp et surtout trouver la faille.
Quels scripts utilise tu sur ton site?

jean-Denis

 

[RiF]

Re

Mon script: c'est dolphin (http://www.boonex.com/products/dolphin/)

Mon script est à jour de toutes les failles existantes connues du script (selon boonex)

Mon problème a déjà été exposé (en anglais) sur le site du script.
La réponse que la communauté boonex me donne

check to see if register_globals are on with your host. and then as you will read every post related to hacking, that it is not the script, it is your choice of hosting providers. when you choose $1.99 hosting, this is what happens to your site. i know all about remote shell and the access one can gain to a site on a shared server. whereas you are not able to necessarily modify the server files, you can however, access every account on that server, and put files where you want them to be.

so please do some reading on here before you decide to post that there is a flaw in the script. let me say this clearly to you so you dont have any misconception:


Syntax_Error_Invalid_User

not trying to be mean here, but clearly you didnt follow the developers server requirements, and you havent tried to use the search feature of the forum.

if you need help, let me know, and we can see where we can go from here. if the host has shut you down, and wont acknowledge the server being compromised, then you will need to find you a hosting provider for your site. they should at least allow you access to your files so you can download them.

later,
DosDawg

En d'autres termes, ça vient d'OVH ...

Mais bon puisque je fais fausse route avec le .htacces je vais tente de chercher dans une autre direction !

Merci quand même

A bientôt !

EDIT

http://www.boonex.com/unity/forums/?act ... ked-Again-

Opérations de phishing. Les admins dolphin précaunisent de sécurisé au niveau du .htaccess

I do some security enhancements to .htaccess in assorted folders. I watch my files and folders, I do take many hits from sites or ip's up to no good and trying to hack my site, but so far I haven't had a single issue. Again I do follow security issues more than most.

c'est pour ça que j'ai pris la piste du htaccess à la base

Merci

 

[jidébé]

Re,

je ne crois pas à la piste OVH (c'est pas le genre de la maison).

Par contre est-ce que tu as regardé de ce coté là:

http://www.astalavista.com/index.php?se ... ls&id=6128



Il y a aussi un message intéressant sur la discussion du forum dolphin (le lien de ton message):

....Dolphin suffers in a number of other areas too - user inputs are frequently not cleaned, leaving the site open for CSRF, SQL injection and a whole number of other exploits. It doesn't help that it's written in PHP4 - which as you should know by now has been declared end-of-life by the PHP group. ..../.... It's all to easy to blame the hosting environment on the problems, but the truth of the matter is, burglars would much rather break into a poorly locked house than a secure fortress. In this case, dolphin seems to have forgotten the lock entirely.....

A+

 

[RiF]

Re,

Oui j'avais vu !

Pas très sécurisé le script, sauf que lorsqu'on parcours la communauté, une poignée d'utilisateurs seulement est confronté à ce problème.

Bref, vous me conseillez quoi pour essayer de trouver la faille ?

Car il utilise certainement la fonction include via une page .php de la racine de mon site pour envoyer et créer des dossiers de phishing !

Merci pour votre aide en tout cas

Cordialement

Hugo

 

[jidébé]

Re,

Ce n'est pas parce que j'en suis l'auteur que je dis ça, mais tu pourrais essayer Crawltrack pour bloquer les tentatives d'injection.
Ce n'est pas forcément suffisant (ça dépend du type de faille) mais ça faut le coût d'essayer et en plus si ça marche tu verras les url utilisée par les hackers ce qui permettra de situer la ou les failles.

A+

 

[serval2a]

Salut,
Mon avis rejoint grosso modo les précédents, il y a peu de chance que l'hébergeur soit la cause du problème.
Tu dois effectivement avoir une faille dans ton script (à mon avis dans un formulaire) qui permet soit d'écrire et d'interpréter du code, soit d'uploader un fichier entier qu'il suffit ensuite de visiter pour lancer l'installation.
Donc bien entendu il faut soit que tu changes de script soit que tu le modifies.

Dans les modifications, si tu choisis la seconde solution, il faut déjà : changer les codes d'accès, renommer le fichier qui contient les informations de connexion, et bien entendu améliorer le nettoyage dans les formulaires (strip_tags et mysql_real_escape de partout), limiter les droits d'accès dans tous les dossiers qui ne doivent pas recevoir de visiteurs.
Il semble qu'il faille partir en premier vers l'examen du forum qui à mon avis est une version dépassée de phpbb.

Je pense qu'il est inutile de te rappeler l'importance de régler ce problème au plus vite et ce même si pour cela ça doit te conduire à repartir de 0 ou si tu dois limiter les possibilités du script utilisé.

Perso, je te conseille de changer de script.

 

[webmasterlamogere]

je te conseille d'ajouter un fichier php.ini à la racine du site avec la ligne (elle interdit l'include de fichier distant) :

allow_url_include = Off

et/ou dans le fichier .htaccess la ligne suivante (qui empêche d'enregistrer les variables GET et POST en global) :

SetEnv REGISTER_GLOBALS 0

 

[serval2a]

Certes mais il faut vérifier qu'il n'y a pas déjà cela de paramétré parce que ça m'étonnerai beaucoup que OVH laisse en ON dans la config PHP.

Il devrait d'abord créer un fichier phpinfo pour vérifier.
@+

 

[webmasterlamogere]

le REGISTER_GLOBALS est à On par défaut chez OVH

il ne faut pas oublier de vérifier s'il n'y a pas d'autres scripts ajoutés en plus de ceux pour le phishing et changer les mots de passe comme déjà indiqué.

 

[RiF]

Bonjour,

Merci pour toutes vos pistes de recherches

Pour le forum c'est pas une version dépassée, puisque c'est phpbb3 qui est intégré à Dolphin, je doute donc qu'il faille chercher de ce côté là.

En tout cas, je vais bosser sur tout vos avis. Je vous tiens au courant !

Merci pour tout

Cordialement,

Hugo

 

[Leonick]

le htaccess n'a aucun rôle dans la gestion des accès ftp, donc si ton hackeur a accès au ftp, il faut changer tes identifiants et faire le ménage dans les scripts du serveur

 

[webmasterdemonsite]

change tes pas ftp

verifie que tes formulaires sont protégés par htmlentities()