Site web hacké

  • Auteur de la discussion Jey_dc3
  • Date de début
J

Jey_dc3

Nouveau membre
Bonjour,

Je possède un site web associatif qui vient tout juste d'être piraté (
Vous devez être connecté pour voir les liens.
).
Ma page d'accueil a changé. Idem pour le sous-domaine (blog.a*alec*o.org). (Enlevez les étoiles si vous souhaitez faire un tour sur les sites. J'ai fait ça pour éviter que ce poste se retrouve dans les résultats Google si l'on tape le nom de mon site.)

Afin de détecter quels étaient les fichiers modifiés, j'ai regardé les dates de modification les plus récentes.

Voici les fichiers qui ont été changés le 02/04/2012 (je n'avais rien touché depuis le 19/01/2012) :

A la racine de mon FTP :
.ftpquota
.lastlogin

Dans mon fichier access-logs :
blog.a*alec*o.org
a*alec*o.org
(Sans les étoiles là aussi.)

Quelqu'un saurait-il me dire comment retrouver mon site dans son état normal et, surtout, me donner quelques conseils concernant les failles de sécurité potentiellement présentes sur mon site car je n'y connais absolument rien.
Merci par avance!
 
VaderFR

VaderFR

Grand Maître
1)

la liste des fichiers que tu as trouvé me semble un poil légère...je pense que le pirate a changé la date de modification des fichiers pour pas que tu t'y retrouves.

si tu n'as pas une copie des fichiers, ça va être dur...
à la rigueur, adresses-toi à ton hébergeur, il a peut-être des sauvegardes de ses sites.
de toute façon faudra lui signaler le piratage.

Déjà, tu pourrais changer le fichier d'index (index.php ou index.html) et remettre en ligne quelques pages.
vu que là tout ce qu'il y a c'est une page web toute pourrie (pardon, un fichier html) avec un dossier du même nom.

Vous devez être connecté pour voir les liens.
-> http://www.aaleco.org/HACKED%20BY%20DZ-SEC_fichiers/

ce qui veut dire que ce pirate est un n00b, un "script kiddy" qui se contente d'utiliser des outils que d'autres ont développé. Style cliquodrome kikou et je me la pète.

tu effaces via FTP ce dossier, tu ré-injectes une page d'index en html (ou php, selon le fonctionnement de ton hébergeur) et pi voilà.

si ça se trouves, ton site existe encore, en arrière-plan. (pas garanti ça, mais soyons optimistes)
enfin, n'oublies pas de porter plainte.
(pi oublies pas de changer tes mots de passe d'accès FTP et console web aussi)

pour info, quel genre de technologies utilisait ton site ? et quelles fonctionnalités ? ça peut aider à comprendre par où le pirate est passé, et ce qu'il faut par conséquent corriger.

2)
un peu tard pour le dire, mais il faut faire régulièrement des sauvegardes de sécurité.

A ce sujet, un plugin de SPIP permet de le faire automatiquement.

Ensuite, certes l'hébergeur peut avoir des failles, mais en fonction des droits définis sur les répertoires du serveur web, les scripts qui y tournent, etc, ça rajoute des failles que toi tu peux combler.

-> utiliser un système plus sûr, avec des scripts de sécurisation (l'écran de SPIP par exemple), une connexion chiffrée (https), et comportant des .htaccess, qui eux vont bloquer l'accès "distant" http à certains répertoires clés.

sinon, pour l'hébergeur tu peux le tester avec l'utilitaire NESSUS afin d'identifier des failles possibles.
 
J

Jey_dc3

Nouveau membre
Bonjour,

Je te remercie pour tes conseils.

J'ai bien une copie des fichiers, du moins pour le site principal. Pour le blog j'ai une sauvegarde sans les plugins.
Pour ce dernier, ce n'est pas bien grave, j'avais bossé dessus mais y'a pas grand chose en contenu. J'utilisais Wordpress mis à jour fin 2011.

Je viens de voir que le fichier index de mon site était très volumineux. Je viens de remettre mon fichier index.html et le site est de retour. Rien n'a été effacé comme j'avais pu le constater sur le serveur FTP.

Par contre le blog (blog.aaleco.org), est inaccessible. Je pense donc que c'est par ce dernier que le pirate s'est introduit. J'ai tout effacé. Je recommencerai sur une base saine comme ça.

Sinon, mon site utilise flash.

Et je n'ai pas trouvé de fichier "HACKED%20BY%20DZ-SEC_fichiers/"
Il n'y a rien sur mon FTP.

J'ai changé mes mots de passe aussi...

Je vais tester l'utilitaire NESSUS et faire des sauvegardes régulières de mon blog et sa base de données.
J'espère ne plus avoir affaire à ce genre de problème à l'avenir...

Merci encore!
 
VaderFR

VaderFR

Grand Maître
mouais...

sans vouloir te vexer, l'objet flash semble fait pour du 800x600...

(si tu veux savoir tout le bien que je pense de ce genre d'architecture tu peux voir
Vous devez être connecté pour voir les liens.
)

bonne nouvelle en tout cas que tu aies pu récupérer ton site.
 
J

Jey_dc3

Nouveau membre
Pourtant sur mon écran full HD la taille du site en flash occupe une partie assez importante de mon écran. Sur des écrans de faible résolution le site est trop grand.
C'est vrai que le flash n'est pas l'idéal pour un site (lourd, peu modulable, un peu dépassé...). Mais ce site est en fait notre "vitrine", qui changera peu et le blog, lui, sert à avoir un site annexe évolutif, interactif, où l'on peut laisser des commentaires, etc...
La solution du flash a aussi été utilisée par soucis de simplicité : avoir un design déjà fait (je l'ai acheté) dans lequel je n'avais plus qu'à insérer mes images, modifier mon texte, changer les couleurs...
Mais j'ai déjà pensé à la prochaine version du site qui ne sera pas en flash. Mais je m'y mettrai quand j'aurai plus de temps. :)

En tout cas, merci d'avoir pris le temps de me répondre!
 
VaderFR

VaderFR

Grand Maître
pas de souci.

si tu as besoin d'infos sur le développement web, hésites pas.
 
zeb

zeb

Modérateur
Ah bravo VaderFR !!!

Sur le sujet "web hacké", tu proposes un superbe lien https vers ton site, mais FireFox me dit "Cette connexion n'est pas certifiée" et essaie de me faire peur avec un ssl_error_bad_cert_domain...


:lol:
 
VaderFR

VaderFR

Grand Maître
pour la connexion non certifiée, c'est parce que le certificat n'est pas signé par une "grande" organisation. (ce qui coûte assez cher, au passage). Mais la connexion est ensuite chiffrée correctement, pas de problème là dessus.

on peut quand même voir le certificat, ce qui permet de s'assurer un tant soit peu de l'authenticité de l'éditeur (ovh, l'hébergeur).

Il suffit d'ajouter une exception et d'accepter le certificat, ça marche quand même.

Pour l'erreur "ssl_error_bad_cert_domain.", c'est bizarre, ça le fait pas chez moi.
 
zeb

zeb

Modérateur
J'ai bien compris. C'était juste pour relever le côté cocasse de l'affaire ;)

---------------

le certificat n'est pas signé par une "grande" organisation
Cliquez pour agrandir...
Si, le certif est signé par OVH, validé par UserTrust, validé par AddTrust.
Je suppose que tu es hébergé chez OVH. Mais ce certificat ne connaît pas ton nom de domaine personnalisé.
Donc le problème est bien un ssl_error_bad_cert_domain.

Ce site essaie de s'identifier lui-même avec des informations invalides.
Mauvais site.
Le certificat appartient à un site différent, ce qui pourrait indiquer un vol d'identité.
Cliquez pour agrandir...
Ce n'est pas auprès de ton hébergeur, mais auprès de ton registrar qu'il faut obtenir ton certif.
Ce qui est gênant, c'est qu'un whois sur ton nom de domaine renvoie bien sur OVH !

Réclame-leur donc un certificat valide, celui qui correspond à ton nom de domaine.
Et surtout, ne demande pas à tes visiteurs de gérer des exceptions, c'est un trou de sécurité et tu attireras sur ton site la suspicion.
 
VaderFR

VaderFR

Grand Maître
normalement les visiteurs n'ont accès qu'en http, le https est réservé aux rédacteurs.

mais je demanderais un certificat valide.
 
VaderFR

VaderFR

Grand Maître
Et je me permet d'ajouter :

- quand tu édites ton site, i.e que tu accèdes à ton "serveur", il y a quelques "failles" à combler.

-> FTP pour le transfert de fichiers. Mot de passe et autres données circulent en clair : voir à utiliser sftp ou un autre protocole chiffré (SSH...)
-> Http pour l'édition des pages, si tu as un système de gestion de contenu (site dynamique), là encore tout passe en clair : utiliser Https comme dit plus haut.
-> messagerie : utiliser un protocole chiffré comme Pop3S (par exemple) au lieu de Pop3, ImapS/TLS au lieu d'Imap...
-> protéger l'accès à un répertoire "sensible" par un .htaccess
-> garder le logiciel à jour (système de publication de contenu)
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Dernières actus
Derniers messages publiés
Statistiques globales
Discussions
730 135
Messages
6 718 107
Membres
1 586 397
Dernier membre
Chachabidou
Partager cette page
Haut