Piratage d'un de nos site

WRInaute occasionnel
Bonjour,

La semaine derniere nous nous sommes rendu compte qu'un de nos site avait été piraté.

nous avons trouvé les processus suivants qui tournaient sur notre
serveur:
www-data 31943 0.0 0.0 1780 528 ? Ss Aug07 0:00 /sbin/syslogd
www-data 27131 12.3 0.3 4876 2228 ? R Aug08 1680:10 -bash
www-data 12963 11.4 0.3 4876 2792 ? R Aug08 1403:18 -bash
www-data 29740 9.9 0.4 4876 3360 ? R Aug12 689:51 -bash

Apparement le hacker serait passé par notre forum phpbb (d'apres notre hebergeur).

Quelqu'un a-t-il déjà confronté a ce type de piratage, et comment y avez vous remédié ?

Quelqu'un pourrait-il me déchiffrer cela ?

(je n'y connais pas grand chose et j'avous que ces 4 lignes ne me disent pas grand chose...)

Merci d'avance pour votre aide
 
WRInaute passionné
Est-ce que votre forum phpbb est à jour ?
Normalement les dernieres versions n'ont pas de bugs déclarés (les derniers maj étaient plus de l'esthétique de code où des légères modifs).

Si ton hebergeur sait que c'est passé par phpbb, il doit pouvoir te donner plus de détails.
 
WRInaute passionné
J'ai eu des roumains qui sont passés sur mon serveur aussi. J'avais fait des erreur de config firewall, et ils ont réussi à faire tomber root avec des attaques de type brute force.

Ils ont lancé des script chargés de télécharger sur des sites déjà piratés des process chargés de générer du blé avec des pubs. Rien de bien méchant, ils n'ont rien cassé heureusement et cela aurait pu durer plus longtemps mais ils ont fait l'erreur de changer le mot de passe root. Il avait aussi créer des comptes utilisateurs.
 
WRInaute occasionnel
Version 2.0.21 (la dernière a ma connaissance).

Ils ne seraient donc pas passé par le forum... Ca m'arrange pas tellement ca...

Pour mon hebergeur, je le leur ai demandé mais j'ai aps vraiment compris ce qu'ils m'ont dit, il ont néemmoins désactivé des fonctions php "a risque" dont je me servais pas.
 
WRInaute passionné
comparef a dit:
Version 2.0.21 (la dernière a ma connaissance).

Ils ne seraient donc pas passé par le forum... Ca m'arrange pas tellement ca...

Pour mon hebergeur, je le leur ai demandé mais j'ai aps vraiment compris ce qu'ils m'ont dit, il ont néemmoins désactivé des fonctions php "a risque" dont je me servais pas.

Certaines failles de phpbb venaient de php et de l'injection d'un script en perl.

François
 
WRInaute discret
C'est une ancienne faille dans le phpbb exactement dans le php_secure qui autorise les anonymes a acceder a l'admin par un chiffrage de l'administrateur par exemple l'admin est enregistré sous : admin, moi, administrateur; tous ces noms ont un chiffrage 012545846522, a chaque install de phpbb, un nouveau est généré, mais sur les sites de piratage il y a des générateurs de codes pour accéder à l'admin de n'importe phpbb, il suffit d'avoir le temps de tout essailler et c tout ! c pour cela que j'utilise xoops et le phpbb !
 
WRInaute passionné
c'est un serveur dedie, virtuel ou mutualise?
De toute facon, ces 4 lignes n'ont rien d'anormal, ca depend de la configuration.
 
WRInaute occasionnel
je suis sur dédié.
En fait apparement le pirate se servait de mon serveur pour spammer le tchat de Orange.fr ou quelque chose dans ce genre.
 
WRInaute impliqué
Alàlà ces hébergeurs qui mettent la faute sur phpbb pour se protéger de leurs mauvaise expérience dans la sécurisation des serveurs :-p
 
WRInaute occasionnel
Ou cela peut aussi venir d'une faille au niveau de mes scipt php maison aussi non ?

Je controle tout les formulaires et toutes les variables transmises via url avec des htmlentities, est-ce suffisant ?
 
G
Grantome
Guest
comparef a dit:
Version 2.0.21 (la dernière a ma connaissance).

Ils ne seraient donc pas passé par le forum...

Certain user de phpbb 2.021 avec apache, php et sql à jour ont été hacké. La dernière maj de phpbb supprime les dernière failles recencées, pas toutes.
 
WRInaute passionné
Grantome a dit:
comparef a dit:
Version 2.0.21 (la dernière a ma connaissance).

Ils ne seraient donc pas passé par le forum...

Certain user de phpbb 2.021 avec apache, php et sql à jour ont été hacké. La dernière maj de phpbb supprime les dernière failles recencées, pas toutes.

Elles ne suppriment pas toutes les failles mais dans la plupart des cas que tu cites, les failles viennent de php même à jour, Awstat ou autre programmes que l'on pense rarement à mettre à jour.
Certains correctifs de sécurité avait pour but de palier à des failles non corrigées de php.

François
 
WRInaute occasionnel
Ok merci pour les reponses, je pense que je vais souscrire a une offre de mise a jour des logiciels de mon serveur aupres de mon hebergeur, comme ca je serais tranquille de ce coté...

Sinon Orange m'a envoyé un email pour enquéter sur ce piratage et me demande de lui fournir les élèments suivants :
>> - Le code / corps du Bot injecté sur votre site pour relayer/générer les requêtes de DOS
>> - L'adresse IP / Le Chanel IRC utilisé pour émettre les commandes,
>> - tout autre élément factuel nous permettant d'identifier le code ou la faille utilisée pour opérer cette attaque ou de remonter un cran plus haut vers la source qui la pilotait.

En bon newbi dans le domaine je n'ai aucune idée d'ou il faut que j'aille tirer tout ça...

Sachant que les seules infos dont je dispose sur ce probleme sont :
www-data 31943 0.0 0.0 1780 528 ? Ss Aug07 0:00 /sbin/syslogd
www-data 27131 12.3 0.3 4876 2228 ? R Aug08 1680:10 -bash
www-data 12963 11.4 0.3 4876 2792 ? R Aug08 1403:18 -bash
www-data 29740 9.9 0.4 4876 3360 ? R Aug12 689:51 -bash

Quelqu'un pourrait-il m'orienter sur l'endroit ou il faut chercher les infos que Orange demande ?
 
G
Grantome
Guest
Sont gentils chez Orange...

Je transpose ça en langage garagiste.
- Bonjour, ma voiture est en panne.
- Ok, donnez moi sa couleur, le poid du levier de vitesse, le numéro de série et accessoirement le nombre de pignons de moins de 150mm de la bote de vitesse.
- ??? Vous ne voulez pas connaitre l'endroit ou envoyer la dépanneuse ?
- C'est pas la priorité.

A croire que tout pilote doit être mécano.
[Traduction : A croire que tout webmaster doit être informaticien]
 

➡️ Offre MyRankingMetrics ⬅️

pré-audit SEO gratuit avec RM Tech (+ avis d'expert)
coaching offert aux clients (avec Olivier Duffez ou Fabien Faceries)

Voir les détails ici

coaching SEO
Discussions similaires
Haut