Forums de SIVIT

ograweb · 16-12-2007 21:57:43

Bonjour,

Mon site a été hacké le 14/12 entre 0H10 et 0H11 precisement.

Sur le forum je ne voit personne se plaindre, il semblerai que cela ne vienne pas de sivit... Donc c'est ma faute
Un de mes script doit donc avoir une faille.

J'ai téléchargé les logs apaches et j'ai bien cerné l'heure du hack car :
- le fichier index.php a ete modifié a 0H10
- une image a été ajouté dans le dossier images a 0H11
- dans les logs apache, un visiteur est arrivé sur le site a 0H10, il est tombé sur la bonne page
- un autre visiteur est arrivé a 0H12, et il est tombé sur la page index hacké.

Problème :
Dans les logs apache, les seuls url qui sont appelé au moment du hack ne sont que des images, la faille ne peut donc pas etre la !

Avez-vous des logs des FTP a la maniere de ceux d'apaches ? (il est peut etre passer par le ftp)
Peut ton acceder a une page (php) sans etre loggé dans les log apache ?
suis-je le seul a m'etre fait hacké par lui ()?

Pour info voici sa signature :

Code:

Hacked By His0k4; H.L.M STREET TEAM HACKERS ==> MOSTA CITY 27000

PS: Je n'utilise pas de phpbb ou autre script public, a part "les visiteurs" modifié par mes soins pour des stats de visites
PS2 : site : radio - sonora . com

merci

suede · 17-12-2007 08:15:37

Tout ce qui est galerie de photo est fait maison?
Est-ce qu'une photo été ajouté par exemple?

ograweb · 17-12-2007 11:26:19

Oui tout ce qui est photo est fait main

j'ai trouvé la faille, elle ne vient pas de moi mais de sivit, j'essaye de les contacter pour qu'il me rappel mais pour l'instant sans effets ...

Je supprimerai ce post en entier dés que la faille sera résolu

/* Mode mechant ON */
Autre alternative, je pourrai les faires chanter lol, un dédié a vie contre un proof of concept de la faille !
/* Mode mechant OFF */

Si quelqu'un de sivit passe par ici, qu'il regarde les mails pour support@sivit.fr

francois78 · 17-12-2007 12:44:25

mon site web a aussi été hacké (hébergement mutualisé), www.kiosque-musique.com, même signature que pour ograweb : Hacked By His0k4; H.L.M STREET TEAM HACKERS ==> MOSTA CITY 27000.

J'ai envoyé un mail à sivit et j'attends la réponse.

francois78 · 17-12-2007 12:46:11

re-moi, apparemment le problème vient d'être réglé, ma page d'accueil est redevenue normale... affaire à suivre.

mashmulo · 17-12-2007 15:49:20

Bonjour, mon site l'a tété aussi (Hacked By His0k4).

Le fichier index est changé et deux jpg placées dans le dossier images.

Alors je remplace l'index par ma sauvegarde, je change ses droits en 444 rien que pour voir qui fait koi et ça recommence plus tard malgrès les droits 444.

Pour réécrire un 444 en dossier racine fo que la machine Sivit soit compromise par le hacker... alors j'attends.

Laurentg · 17-12-2007 17:05:57

Idem. Mon site a été hacké par la même personne.

J'ai ouvert un ticket auprès du support pour connaître la marche à suivre et savoir ce qui a été touche précisément.

Laurent

ograweb · 17-12-2007 17:10:15

Ils travaillent dessus,

Pour l'instant il suffit de remplacer le fichier index.php ainsi que 2 images et le problemes doit etre reglé.

Attention : Il se peut que vous ne puissiez pas rmplacer le fichier index.php, dans ce cas la, supprimer le sur le ftp puis re-uploader le.

Le pirate fait tout ceci à la main grace a dés failles dans les scripts. Verifier donc vos include() en php !
- autre piste que je suis en train de regarder, dans l'interface d'admin, on peut faire une "restauration des droits", sa peut le ralentir, ou le bloquer, mais verifier que vos scripts marchent !

Wait and see, sivit est prévenu et ils corrigent la faille...

Ograweb

Obelix · 18-12-2007 16:32:32

Bonjour,

Pas de nouvelles bonnes nouvelles comme dis l'adage..... mais on aimerais quand même être informé de la suite de l'évènement pour savoir ce qu'il en ressort exactement... Sivit ? Site privé ?

ograweb · 18-12-2007 19:38:53

J'ai pas été tenu informé officielement non plus, je ne trouve pas sa super fair-play ...

Mais bon j'ai pas mal tester et il ne semble plus y avoir la faille.

Maintenant si votre site a été hacké depuis aujourdui 9H, c'est VOTRE faute, vous utilisé surement un phpbb, punbb, ou autre script public avec une faille

Ograweb

Kaliceos · 20-12-2007 09:39:54

Site piraté également, le 19 décembre à 21h55, page d'index modifiée, plus 2 images ajoutées. J'utilise phpBB, qui certes n'était pas parfaitement à jour (RC7) mais c'est quand même étrange que plusieurs sites hébergés chez sivit (une recherche sur Google permet de trouver citations-amour.com et cadeaux-noel.com) aient subi le même sort par le même hacker.

Certes il n'y a que peu de dégats, il suffit de remettre l'index en place, mais bon, un peu plus d'informations seraient les bienvenues de la part de Sivit.

Cela me rappelle étrangement ce qui s'est passé début avril de cette même année...

Dernière modification par Kaliceos (20-12-2007 09:45:52)

francois78 · 20-12-2007 11:26:05

Bonjour, c'est encore moi.

concernant ces attaques, je souhaiterais savoir s'il y a un moyen de s'en prémunir. Sachant que mon site ne contient que du html, images, et flash (tous logiciels à jour), et que le seul script que j'ai est celui de google analytics. Je n'utilise pas le php, je n'ai pas de forum. Une idée ?

Après mon attaque, j'ai changé mes mots de passe, c'est tout ce que je vois pour l'instant (je suis tout débutant dans le domaine).
D'ailleurs, j'ai remarqué sur mes logs que depuis l'attaque, mon site a été visité par Netcraft, qui apparemment fait des audits sécurité de serveurs web. Coincidence ??

Mon site a de nouveau été visité par le hacker mais cette fois, pas de dégats. Est ce que Sivit a renforcé la sécurité ?

Merci pour vos infos.

Kaliceos · 20-12-2007 12:05:49

Ha moi j'ai eu droit à un autre défaçage à 11h46...

Chojin · 23-12-2007 20:02:56

Bonjour,

il faut faire très attention en ce moment.
En effet, une recrudescence de piratage a actuellement lieu ces derniers jours, exploitant diverses failles de sécurité d'un site web (que ce soit en php, flash, ...), voire même en tentant d'inclure depuis l'extérieur des scripts permettant de défacer le site en question.

Nous sommes en train de faire le nécessaire pour renforcer les mesures de sécurité à notre niveau.
Noël approchant, je vous invite doublement à vérifier vos sites web et les mises à jour disponibles.

Forums de SIVIT

#1 16-12-2007 21:57:43

Site hacké, comment trouver la faille

Code:

#2 17-12-2007 08:15:37

Re: Site hacké, comment trouver la faille

#3 17-12-2007 11:26:19

Re: Site hacké, comment trouver la faille

#4 17-12-2007 12:44:25

Re: Site hacké, comment trouver la faille

#5 17-12-2007 12:46:11

Re: Site hacké, comment trouver la faille

#6 17-12-2007 15:49:20

Re: Site hacké, comment trouver la faille

#7 17-12-2007 17:05:57

Re: Site hacké, comment trouver la faille

#8 17-12-2007 17:10:15

Re: Site hacké, comment trouver la faille

#9 18-12-2007 16:32:32

Re: Site hacké, comment trouver la faille

#10 18-12-2007 19:38:53

Re: Site hacké, comment trouver la faille

#11 20-12-2007 09:39:54

Re: Site hacké, comment trouver la faille

#12 20-12-2007 11:26:05

Re: Site hacké, comment trouver la faille

#13 20-12-2007 12:05:49

Re: Site hacké, comment trouver la faille

#14 23-12-2007 20:02:56

Re: Site hacké, comment trouver la faille

Pied de page des forums