Site Hacké par Black Terrorist

MissTea · 19 Janvier 2015

Bonsoir,

Un des sites dont je m'occupe a été hacké aujourd'hui (domainedeole.com).
Ce site est construit en Joomla, hébergé en mutualisé chez OVH.
Le hacker avait réussi à modifier le fichier index.php à la racine du site.

J'ai pu tout remettre en place facilement, mais je me demande comment protéger mon site pour que cela ne se reproduise plus.
Est-ce que je dois changer tous mes mots de passe ftp, bdd, etc... et réinstaller la dernière sauvegarde du site ?
Quelqu'un aurait-il une idée ?

madri2 · 19 Janvier 2015

je suppose que tu n'a pas mit à jour ton joomla ?

cduray · 20 Janvier 2015

C'est toujours sympa de voir par où ils sont rentrés -> as-tu la date & heure de modif de ton index.php + tous les logs?

Sinon comme dit madri, un CMS + modules, c'est mise à jour, mise à jour et.... mise à jour

MissTea · 20 Janvier 2015

Mon Joomla est on ne peut plus à jour, j'ai fait la migration de la version 2.5 vers 3.3.6 le 12/01/15. Donc le cœur et tous les plugins, modules, composants, ect... sont à jour.

Je n'ai pas la date de modif du fichier index.php, car lorsque je l'ai réparé hier, il a pris la date du 19/01/15 (je n'ai pas pensé à regarder ça avant d'écraser le fichier piraté).
Sinon, tous mes fichiers sur l'hébergement sont datés du 12 sauf le dossier www>tmp et le dossier www>cache

Dans le fichier www>log>error.php, j'ai vu plein de tentatives d'entrée sur le site où l’identifiant et le mot de passe ne correspondent pas. Ces tentatives viennent des Etats-Unis, de Russie, d'Ukraine... mais rien ne prouve que ce soit ce ou ces hackers-là qui aient réussit à entrer.

madri2 · 20 Janvier 2015

l'infection date peut être d'avant le 12

Leonick · 21 Janvier 2015

regarde tes logs ssh & ftp

aloxe · 27 Janvier 2015

Il y a eu de nombreuses attaques le 15 janvier sur les sites français mais aucun site majeur n'a été touché. À cette occasion, l"ANSSI (l'agence gouvernementale française de sécurité informatique) a publié plusieurs rappel pour renforcer la sécurité de son site. C'est repris dans la news ici : http://www.ssi.gouv.fr/fr/menu/actualites/proteger-son-site-internet-des-cyberattaques.html

Les agents insistent sur les mises à jour régulières des CMS et des modules, le choix des mots de passe et le contrôle régulier des sites. le fait de partager les privilèges d'éditeur ou d'admin multiplie aussi les risques.

N'hésites pas à partager tes trouvailles si tu trouves des détails dans les logs mais il est aussi possible que les traces ait été effacées.

hibou57 · 28 Janvier 2015

aloxe a dit:
[…]
Les agents insistent sur les mises à jour régulières des CMS et des modules, le choix des mots de passe et le contrôle régulier des sites. le fait de partager les privilèges d'éditeur ou d'admin multiplie aussi les risques.
[…]

Ou même mieux, une phrase de passe.

Pour la connexion j’utilise la méthode où l’on copie la clé publique sur le serveur, dans “~/.ssh/authorized_keys”, et qui nécessite que la clé privée soit sur sa machine et d’entrer une phrase de passe à la première authentification (qui reste active pendant un délais variable), comme expliqué ici : Configurer et utiliser SSH (linux-france.org). La procédure indiquée est pour Linux (peut‑être Mac OS aussi ?), mais ça doit être possible aussi pour Windows.

Il faut que le pirate connaisse la phrase de passe et possède une copie de la clé privée… très difficile, parce que ça nécessite de pirater la machine personnelle de l’administrateur du serveur aussi.

Mais ça ne protège pas contre les autres types de failles non‑plus.