Alerte ! hacking 7.5Fr besoin d'aide svp

Posté le: 22.07.2005, 23:20:27 Sujet du message:

Re-uploade les fichiers principaux. (root, admin)

Regarde du côté de ta BDD (en commençant par la table authors). Faire une copie et y chercher avec wordpad ou autre au moins une partie de l''url vers laquelle tu es redirigé.

Novice Inscrit le: Feb 01, 2004 Messages: 11

il redirige ton site vers la page du sien. il ne se gene pas non plus pour donner ses infos :
text[0]=' ===> Hacked by spikecursed'
text[1]=' ===> spikecursed@gmail.com'
text[2]=' ===> http://spikecursed.atspace.com'
text[3]=' ===> spike_cursed@yahoo.com'
text[4]=' ===> Please fix this admin'
text[5]=' ===> ::: VIVA INDONESIAN HACKERS :::'
(dans le code source de la page)

Il a incustré son URL dans ta page (soit index ou mainfile, je sais pas)
Voici la partie du code qu'il a modifié : (si quelqu'un peut voir ca se rapporte a quoi, moi je my perd la dedans.

Novice Inscrit le: May 02, 2003 Messages: 13

Merci pour toutes vos réponses
pour plus de sécurité je vais utiliser la dernière version public que je viens de télécharger ici
j'ai juste à y réintégrer le thème, le sommaire , cziframe, kalendermx....
voila pas mal de boulot à la poubelle à cause d' personne qui ne réspecte pas le travail des autres

Quelqu'un connait le mode opératoire de ces gens? est ce une faille de sécurité de nuke ou de mon hébergeur?
Merci encore

Posté le: 23.07.2005, 09:28:28 Sujet du message:

Salut MGK59,

Franchement navré pour ta mésaventure. Je suis allé faire un tour sur le site de ce taré, il est verolé java à mort ... si je touchais un peu plus je lui ferais peter tout le bordel, ce serait un site débile de moins sur terre Laughing

Concernant ton site tu t'héberges sur ton propre serveur (une Fedora), non ?
Si oui, tu le tiens par les couilles car les fichiers log de ton serveur ont tout enregistré Mr. Green

Rendez-vous dans /var/log/apache
Là dedans se trouve les 2 fichiers clef :
- access.log
- error.log

Il s'agit de simple fichiers textes qui enregistrent les IP et les requêtes de ces différentes IP.
En passant un peu de temps il est inévitable de tomber sur l'IP du Hacker et de trouver très exactement quelles ont été les modifications effectuées pour prendre le contrôle.

Je suis arrivé trop tard mais selon fresh4life il a modifié un fichier en place (index.php ou mainfile.php) et il suffit donc de faire des recherches sur cette base. Note que c'est une attaque à la mode en ce moment (si toutefois on peut dire ainsi) que de placer sur un site un fichier PHP phantôme ; un prog bricolé du style Webadmin.php ; et ce plusieurs jours ou semaines avant de s'en servir. Il utilise des failles des modules, dans mon cas cela avait été FCKEDITOR 2.0.
Le prog ainsi en place permet naturellement au pirate d'accéder non seulement à TOUT ce qui est hébergé sur le serveur (éditions de type FTP) mais le plus souvent aussi A TOUT LE SYSTEME D'EXPLOITATION Exclamation

Non, non je ne plaisante pas Exclamation

Il peut visualiser (sans modifier) toutes les partitions qui sont montées, j'ai fais le test avec le fichier qui m'avait été placé sur mon site. Il faut donc partir du principe qu'il a pu se procurer absolument tout.

Cherche donc une opération étrange dans tes fichiers logs puis identifie l'IP.
Après il ne te reste plus qu'à faire des recherches avec cette IP pour remonter et trouver ce qui a pêché. Trouve le ou les fichier parasytes qui ont permis au pirate d'éditer tes fichiers du portail, par quelles instructions ils ont été placés et par mesure de sécurité met naturellement des fifchiers sain en place.

Très important :
Nous communiquer l'IP du Gus pour que nous puissions le bannir au cas ou et donner le nom et version du module défaillant.
Ce sont là des choses importantes visant à protéger le reste de la communeauté.

A+

Gérald

Novice Inscrit le: May 02, 2003 Messages: 13

Merci pour ta réponse qui me réconforte un peu!
Je n'héberge pas moi même le site, mais j'ai de bon rapport avec les amin du service d'hébergement a qui je vais demander de m'envoyer le fichier log

Question sécurité :
comment un site aussi féquenté et important que phpnuke-fr fait il pour ne pas subir les mêmes désagréments?

Pour répondre à ta question sur les modules, j'ai d'abord utilisé la version 7.5FR de base, à laquelle j'ai ensuite ajouté CZIFRAME (dernière version présente dans les téléchargement phpnuke-fr), puis kalendermx 1.4 c'est tout

Merci
je vous tiens informé

Là je passe à la version 7.6FR dites moi comment la sécuriser au max