Discussion :

[troumad]

Bonjour

J'ai un site web qui a été piraté... Je me suis trouvé avec des fichiers pour récupérer des données paypal. Je pense que ce n'est pas la première fois que ça arrive !
Pour le moment, par manque de temps, j'ai juste déconnecté le site car il est peu utilisé.
J'ai vérifié sur les autres et je n'ai pas vu les marqueurs.
Les marqueurs semblent surtout être un fichier av.php et quelques autres fichiers récents.

POur mettre tout ça, il y vont par piratage du mot de passe ftp ? Ils font comment ?

[tho.feron]

Bonjour,

Il y a en fait une quantité assez énorme de façons de faire ça. Sans une analyse forensique plus poussée, impossible d'en dire plus.

Cordialement,
Thomas Feron.

[troumad]

Bonjour

Comme c'est un serveur mutualisé d'OVH, je ne pense pas pouvoir faire cette analyse !

[tho.feron]

Bonjour,

Vous avez quand même accès aux logs sur les mutus OVH je pense. Sinon, il va falloir analyser le code du site au peigne fin pour corriger les failles de sécurité.

Cordialement,
Thomas Feron.

[troumad]

La principale faille viendrait peut-être de http://genealogie.siaud.org , Pour me rassurer, le premiers fichier infecté est plus ancien que ma dernière mise à jour !
C'est ce site qui était le plus atteint. Mais, par contre, j'en vu juste un autre fichier sur un autre site (une autre arborescence du même ftp).
Ces fichiers php renvoient sur http://ccteam.ru/update/c999shell/ sûrement un autre site qui a été piraté ! Il est en Russie...

Si ça peut être utile, je garde le code infecté (mais inaccessible).

[dourouc05]

La principale faille viendrait peut-être de http://genealogie.siaud.org

Très probablement, même : la dernière version du script sortie date de 2009. Dit autrement, toute faille découverte depuis lors n'a pas été corrigée, donc reste potentiellement exploitable. Bon, ça me semble assez marginal, comme script, mais c'est probablement un grand risque.

Maintenant, il faudrait voir le reste des scripts utilisés sur ton hébergement pour voir les trous à colmater (phpMyAdmin 1.x, phpBB 1.x et autres, par exemple).

Sinon, leur manière de procéder ? Tout est possible : dès qu'il y a quelque chose qui peut être détourné, c'est une faille de sécurité possible (envoi ou téléchargement de fichiers généralement, mais aussi requête SQL préparée en JS côté client ou autres horreurs).

[troumad]

Les seuls scripts que j'ai qui modifient quoi ce ce soit sont dans genealogie. J'en ai eu ailleurs, mais ils n'intervenaient que sur des nombres et noms dans une base de données.
Je suspecte une attaque massive car ils ont pris pied dans deux sites. Celui de la généalogie et celui avec les nombres et les noms dans la base de données !