hacking

[vespa]

Hi everybody

J'ai eu la mauvaise surprise ce soir en allant sur un de mes sites dont je n'ai pas trop le temps de m'occuper de voir que je m'étais fais hacké.

Le s'appel "R3d-Kill3r" et c'est amusé à m'éffacer mon index.php en le remplacant par un texte pourrave.

J'ai remis un fichier mais je ne sais pas comment il a fait..

Le serveur est en WK2...

Bref, je serais pas contre de petits tuyeau...

Merci d'avance...

Modifié 21 Avril 2005 par vespa

[The Lootrophile]

Déjà, on ne parle pas d'un hackeur, mais d'un pirate ou d'un débutant qui veut se faire mousser selon les cas, le hackeur corrige les failles de sécurité.

Peut on avoir l'adresse de ton site, en MP au pire pour y trouver les éventuelles failles de sécurité ? A première vue je dirais faille include, sinon ils n'aurait pas pris le temps de chercher réellement des failles si c'est un petit site..

[The Lootrophile]

Un petit post que j'ai créé il y a un petit moment qui résume les failles les plus basiques : http://www.pcinpact.com/forum/sujet_47608_0.htm#entry743220

[thick]

Le terme exact est "Lamer" car un hacker peut très bien faire le bien (White Hat) ou le mal (Black Hat).

Un Lamer est un hacker de bas étage que le "déface" (remplacement de la page d'accueil) amuse et fait mousser...

Si ton site est en php, c'est peut-être par une faille qu'il est passé, mais si tu partages ton hébergement avec d'autres, tu as peut-être une fuite qui a causé un simple hack avec accès FTP

Bref, dur à dire d'où vient le hack. Il faut un audit par qq'un qui connaisse la sécurité informatique pour trouver le chemin qu'à pris ton lamer.

Au pire, ton hébergeur pourra t'aider ?

[Arlette]

Bref, dur à dire d'où vient le hack. Il faut un audit par qq'un qui connaisse la sécurité informatique pour trouver le chemin qu'à pris ton lamer.

Au pire, ton hébergeur pourra t'aider ?

Je connais quelqu'un sur le Hub qui pourrait te dire quel chemin a pris ton hackeur pour venir te faire cette farce... Son pseudo commence par D et fini par N

[Sarc]

Je connais quelqu'un sur le Hub qui pourrait te dire quel chemin a pris ton hackeur pour venir te faire cette farce... Son pseudo commence par D et fini par N tongue.gif

Y'a un A dedans ?

[The Lootrophile]

En 3 lettres, mot compte tripple ?

[Arobase]

Je connais quelqu'un sur le Hub qui pourrait te dire quel chemin a pris ton hackeur pour venir te faire cette farce... Son pseudo commence par D et fini par N 

<{POST_SNAPBACK}>

Y'a un A dedans ?

<{POST_SNAPBACK}>

Là franchement, je vois pas....

[lupucide]

Mais... Mais... Vous parlez de qui, là ?

[thick]

Ben il y a un sosie de Sean Connery sur le Hub qui est très fort en maintenance informatique.

Ce n'est qu'un simple membre et il ne post pas souvent, mais tu devrais le trouver en cherchant bien

Il est inscit depuis quelques jours seulement en plus, mais Arlette le connait bien

Ok je =>

[Sarc]

Vous pensez que Dan pourrait nous aider à le trouver ? Il connait bien les membres lui...

[thick]

Bonne idée.

Mais où est Dan quand on a besoin de lui ?

[Dudu]

Si ton site est en php...

Je me trompe peut-être mais y'a peu de chances ->

Le serveur est en WK2...

Et effectivement sans plus d'infos, on va pas pouvoir te donner de tuyaux

Quel langage utilisé principalement pour le site ? PHP (possible avec les modules spéciaux pour Apache Win) ? Depuis quand à peu près date le défacement ? Que disent les logs ? Tout çà, quoi.

Je connais quelqu'un sur le Hub qui pourrait te dire quel chemin a pris ton hackeur pour venir te faire cette farce... Son pseudo commence par D et fini par N

Tu parles de qui ? de Dagnan ? de damienbern ? de Darken ? de darkervein ? de Darwin ? de David_lyon ? de ddebin ? de dean ? de Delphin ? de den ? de DS-Admin ? de Duduviolon ? (rien à voir avec moi je précise ) de dunun ? de dupognon ? ou de dzin ?

[Anonymus]

Si ton site est en php...

<{POST_SNAPBACK}>

Je me trompe peut-être mais y'a peu de chances ->

Le serveur est en WK2...

<{POST_SNAPBACK}>

Et effectivement sans plus d'infos, on va pas pouvoir te donner de tuyaux

Quel langage utilisé principalement pour le site ? PHP (possible avec les modules spéciaux pour Apache Win) ? Depuis quand à peu près date le défacement ? Que disent les logs ? Tout çà, quoi.

On met rarement des extensions .php pour un site en asp...

Le  s'appel "R3d-Kill3r" et c'est amusé à m'éffacer mon index.php en le remplacant par un texte pourrave.

(j'ai dis 'rarement', pas impossible, mais bon..)

Anonymus.

[Dudu]

pan sur le bec

Merci Anonymus

[Xenon_54]

Faut faire attention, PHP n'est peut-être même pas responsable de ce "hack", Win2k peut très bien être le responsable.

Je parle par expérience puisque j'ai déjà pu testé certaines failles sous win2k (en laboratoire informatique)

[vespa]

Merci à tous pour vos réponses

Pour l'hébergeur, ca sera facile d'obtenir de l'aide car je fais mon propre hébergement donc je peux garantir que le port 21 est fermé...

Je pencherais plus pour une faille sur le site en lui même qui est en php..

J'utilise apache, mysql, php...

Le site est à 80% rewrité...

Pour l'url je peux la communiquer sans problème par MP...

Je vais éplucher mes logs ce week end j'ai pas eu le temps de le faire hier...

Pour l'url c'est celle de ma signature "club de rencontres".

Voili s'il y a besoin d'autres infos n'hésitez pas , même si ce n'était pas trop grave j'aimerais bien comprendre pour éviter que cela se repete...

[Portekoi]

Ch'tite parenthèse

je fais tourné l'un de mes sites sur un IIS 5 avec php et mysql d'installer.

Ca tourne très très bien. Je pourrais même faire ce même site moitié php, moitié asp mais ca serait pousser le vice

Php n'est pas propriétaire (contre sens) au monde libre et heureusement d'ailleurs

++

Portekoi

PS : @vespa: Si tu vois des trucs bizarre dans tes logs d'aujourd'hui, c'est moi

PS2 : Pour la personne qui pourrait aider sur le Hub dont le pseudo commençant par un 'D' et finnissant par un 'N' ayant un 'A' dedans je pense que c'est.... nan je vois pas non plus Faut demander à Dan là

Modifié 22 Avril 2005 par portekoi

[thick]

Si je pige bien c'est un forum qui a été la cible du hack ?

Si c'est le cas, ce sont des nids à failles de sécurité (les forums).

Ce fameux D.N pourrait bien t'aider car il connait (un peu) les forums...

Mais où est-il ?

[ams51]

PS2 : Pour la personne qui pourrait aider sur le Hub dont le pseudo commençant par un 'D' et finnissant par un 'N' ayant un 'A' dedans je pense que c'est.... nan je vois pas non plus  Faut demander à Dan là

<{POST_SNAPBACK}>

il y a bien ADN mais c'est pas dans l'ordre

[vespa]

PS : _AT_vespa: Si tu vois des trucs bizarre dans tes logs d'aujourd'hui, c'est moi   

Pas de soucis Portekoi, si tu vois un truc ou une énorme faille n'hésites pas à m'envoyer un ptit MP

Si je pige bien c'est un forum qui a été la cible du hack ?

Non pas exactemment c'est juste ma page d'accueil du site... sur celle ci apparait les derniers messages du forum (qui sont très vieux d'ailleurs ) mais c'est toutes la page qui avait été effacée..

En tout cas merci à tous

Modifié 22 Avril 2005 par vespa

[Nargzul]

je peux te dire que oxito(mon hébergeur acutel)

a eu un problème du meme style:

ca venait de:

un logiciel awstats(installé par un utilisateur du truc en commun), qui avait un problème

[Dan]

Salut Vespa,

J'ai vu qu'on parlait d'un utilisateur dont le pseudo est en 3 lettres et j'ai pensé que je pouvais peut-être être celui-ci.

As-tu Php-Nuke d'installé ? As-tu sous Php-Nuke un module de stats spécifique ?

Dan

[vespa]

Salut Vespa,

J'ai vu qu'on parlait d'un utilisateur dont le pseudo est en 3 lettres et j'ai pensé que je pouvais peut-être être celui-ci.

As-tu Php-Nuke d'installé ? As-tu sous Php-Nuke un module de stats spécifique ?

Dan

<{POST_SNAPBACK}>

Salut Dan,

Effectivement phpnuke est installé, et les patchs du module stat ne sont pas à jours...

Donc je sais comment m'occuper ce week end

Merci à toi

[Dan]

Il est clair que c'est par le module de stats que le hacker est entré...

Bon weekend

Dan

PS: pas mal la boule de cristal, vu l'absence d'URL, non ?