[Site] Un virus a attaqué ReL
Modérateurs : sg1_diablo, Rollo, Gadget, emile64, clochette, wawa, 8wd, alfathor, BOBOR, DELVAR, Appache-Zwoofff
-
alfathor
- Administrateur
- Messages : 5445
- Enregistré le : 18 déc. 2003 7:57
- Localisation : Bordeaux
- Contact :
[Site] Un virus a attaqué ReL
Un virus a attaqué ReL. J'ai réussi à réparer les dégâts mais je ne sais pas si ça ne recommencera pas sous peu...
-
Régis
- Membre bienfaiteur
- Messages : 3232
- Enregistré le : 11 mars 2007 10:46
- Contact :
-
Benson
- Messages : 100
- Enregistré le : 12 mai 2007 21:27
- Localisation : FreeRide in Tours! Mais pas que!
Après ma tentative de connexion cette après-midi au forum et idem sur le site, mon ordi à subi l'attaque de 2 virus et 3 cheval de troie...
Un lien surement
En espérant que ça soit réparé, pour ma part mon anti-virus à normalement fait correctement son boulot!
Un lien surement
En espérant que ça soit réparé, pour ma part mon anti-virus à normalement fait correctement son boulot!
- On est 2, que des gros débiles, et on se marre vraiment bien! -
- Pour savoir s'il va y avoir du vent, il faut mettre son doigt dans le cul du coq! -
- On peut pas vouloir conquérir le monde et schlinguer des pieds! C'est une question de standing -
- Pour savoir s'il va y avoir du vent, il faut mettre son doigt dans le cul du coq! -
- On peut pas vouloir conquérir le monde et schlinguer des pieds! C'est une question de standing -
-
chris37
- Membre bienfaiteur
- Messages : 440
- Enregistré le : 18 oct. 2007 20:27
- Localisation : Tours
- Contact :
-
alfathor
- Administrateur
- Messages : 5445
- Enregistré le : 18 déc. 2003 7:57
- Localisation : Bordeaux
- Contact :
-
Régis
- Membre bienfaiteur
- Messages : 3232
- Enregistré le : 11 mars 2007 10:46
- Contact :
-
Sparx
- Messages : 517
- Enregistré le : 04 févr. 2009 12:57
- Localisation : Nissa la Bella
ReL serait il victime de son succès grandissant?
Ou cette attaque est peut être l'oeuvre de quelques groupuscules terroristes de piétons fanatiques pensant que nous sommes mû par une force diabolique lors de nos déplacements à roulettes?....à suivre....
Ou cette attaque est peut être l'oeuvre de quelques groupuscules terroristes de piétons fanatiques pensant que nous sommes mû par une force diabolique lors de nos déplacements à roulettes?....à suivre....
La perfection ne s'approche que par la répétition.
-
XeNoBuS
- Messages : 61
- Enregistré le : 07 juil. 2009 11:25
- Localisation : Carriere sur seine 78
-
alfathor
- Administrateur
- Messages : 5445
- Enregistré le : 18 déc. 2003 7:57
- Localisation : Bordeaux
- Contact :
Je ne sais pas si c'est passé par le forum...
La séquence est la suivante :
1) un scan de tous les répertoires du ftp a débuté vers 14H00 par une première adresse IP
2) Ensuite, tous les fichiers index.php et index.html ont été modifiés dans tous les répertoires par plusieurs adresses ip localisées en Inde, aux USA, au Canada, etc. jusqu'à 16h20.
Une ligne de code avec une iframe a été ajoutée dans tous les index et quelques lignes de codes y ont été supprimées systématiquement en fin de fichier.
Ce qui m'inquiète aussi, c'est que OLS a subi le même sort.
La séquence est la suivante :
1) un scan de tous les répertoires du ftp a débuté vers 14H00 par une première adresse IP
2) Ensuite, tous les fichiers index.php et index.html ont été modifiés dans tous les répertoires par plusieurs adresses ip localisées en Inde, aux USA, au Canada, etc. jusqu'à 16h20.
Une ligne de code avec une iframe a été ajoutée dans tous les index et quelques lignes de codes y ont été supprimées systématiquement en fin de fichier.
Ce qui m'inquiète aussi, c'est que OLS a subi le même sort.
-
alfathor
- Administrateur
- Messages : 5445
- Enregistré le : 18 déc. 2003 7:57
- Localisation : Bordeaux
- Contact :
-
valus
- Messages : 78
- Enregistré le : 21 juil. 2009 23:05
c'est une injection d'iFrame. déjà est ce que le forum est à jour ? y'a t'il une version plus récente de phpBB à installer ? utilises tu Joomla pour heberger le site ?
un des premiers point est de banir les addresses ayant servi au hack
changer les permissions sur les repertoires (user/invité/owner) du ftp et aussi utiliser un mot de passe de la mort qui tue bien compliqué pas un mot présent dans un dictionnaire car les attaques par dictionnaire cassent les sécu assez facilement.
Valus
un des premiers point est de banir les addresses ayant servi au hack
changer les permissions sur les repertoires (user/invité/owner) du ftp et aussi utiliser un mot de passe de la mort qui tue bien compliqué pas un mot présent dans un dictionnaire car les attaques par dictionnaire cassent les sécu assez facilement.
Valus
-
alfathor
- Administrateur
- Messages : 5445
- Enregistré le : 18 déc. 2003 7:57
- Localisation : Bordeaux
- Contact :
Le forum est ancien oui... mais on ne peut pas passer à une version plus récente parce qu'on en a modifié le code. Si on le met à jour, on risque de perdre notre base de données, j'ai déjà essayé en local. c'est une sacré merde. plus de 4.000 personnes sont inscrites, on ne peut pas trop jouer.
Je ne pense pas que ça vienne du forum car OLS, la version anglophone de ReL qui est sur un autre serveur a été touchée aussi et elle n'a pas de forum.
Nous utilisons un code maison, donc pas du CMS. Normalement, il doit pas y avoir trop de failles, mais on ne sait jamais.
Concernant les permissions, normalement, c'est bon, j'ai vérifié.
Pour le mot de passe ftp, nous l'avons changé à nouveau mais il était déjà bien complexe (minuscules, majuscules, chiffres, caractères spéciaux...).
Je me demandais si un spyware que l'un ou l'autre des webmasters aurait pû chopper sur son pc aurait pu provoquer ça ?
Je ne pense pas que ça vienne du forum car OLS, la version anglophone de ReL qui est sur un autre serveur a été touchée aussi et elle n'a pas de forum.
Nous utilisons un code maison, donc pas du CMS. Normalement, il doit pas y avoir trop de failles, mais on ne sait jamais.
Concernant les permissions, normalement, c'est bon, j'ai vérifié.
Pour le mot de passe ftp, nous l'avons changé à nouveau mais il était déjà bien complexe (minuscules, majuscules, chiffres, caractères spéciaux...).
Je me demandais si un spyware que l'un ou l'autre des webmasters aurait pû chopper sur son pc aurait pu provoquer ça ?
-
valus
- Messages : 78
- Enregistré le : 21 juil. 2009 23:05
non i ls'agit d'une attaque via le système d'hébergement (le serveur web). si le site est hebergé en local (chez toi sur une machine dédiée) tu dois utiliser un serveur web (joomla, IIS, ...) c'est ce serveur qui à été attaqué. et vu que tous les sites y sont stockés (rel, ols, forum rel) toutes les pages index des différents sites ont étés modifiées. après avec une iFrame injection on peut arriver à prendre le contrôle du PC. si tu as une gestion des logs vérifie ce qui s'est passé. quelqu'un aurait pu s'introduire via l'iframe et en plus de mettre HS le site en profiter pour copier la BDD des membres 
.
ce type d'attaque est somme toute assez fréquente. si l'on choppe la BDD des membres on peut facilement vendre les addresses mails pour quelques euros à des societés qui envoient des pubs par mail (le fameux spam).
après c'est une supposition rien n'indique que celà à eu lieu. deux possibilités peuvent survenir :
- une attaque au hasard petit bonheur la chance dans ce cas le forum ne subira pas d'autre bug
- une attaque visée et là ben il se peut que l'attaque se reproduise dans les jours qui viennent
c'est peut être le fruit d'un concurent qui pense que OLS ou REL lui pique des parts de marché
edit : en gros un truc comme ca s'est ajouté en bas de tes index.php :
.ce type d'attaque est somme toute assez fréquente. si l'on choppe la BDD des membres on peut facilement vendre les addresses mails pour quelques euros à des societés qui envoient des pubs par mail (le fameux spam).
après c'est une supposition rien n'indique que celà à eu lieu. deux possibilités peuvent survenir :
- une attaque au hasard petit bonheur la chance dans ce cas le forum ne subira pas d'autre bug
- une attaque visée et là ben il se peut que l'attaque se reproduise dans les jours qui viennent
c'est peut être le fruit d'un concurent qui pense que OLS ou REL lui pique des parts de marché
edit : en gros un truc comme ca s'est ajouté en bas de tes index.php :
Code : Tout sélectionner
<iframe src="une URL bizare" width=125 height=125 style="visibility: hidden"></iframe>
-
valus
- Messages : 78
- Enregistré le : 21 juil. 2009 23:05
ptite aide sur le vif :
lance un anti spyware sur la machine (ou plusieurs : ad aware, malwarebyte, glary utilities) tous sont gratuits
essaies de faire un raport Hijackthis et de le postes sur leur site pour voir si tu as des entrées suspectes
(tuto ici :
http://forums.cnetfrance.fr/index.php?showtopic=796)
ne jamais sauvegarder les mot de passe (case a cocher conserver le mot de passe dans filezilla ou autre) ou les stocker dans un fichier
regarder du coté des outils contre l'injection de code : Crawltrack ou sh404sef
sauvegarder la BDD souvent
utiliser la sécurisation par .htaccess (tuto http://www.siteduzero.com/tutoriel-3-14 ... ccess.html)
verifier si l'Iframe n'est pas présente ailleurs que dans les pages index
enfin ce ne sont que quelques pistes ...
lance un anti spyware sur la machine (ou plusieurs : ad aware, malwarebyte, glary utilities) tous sont gratuits
essaies de faire un raport Hijackthis et de le postes sur leur site pour voir si tu as des entrées suspectes
(tuto ici :
http://forums.cnetfrance.fr/index.php?showtopic=796)
ne jamais sauvegarder les mot de passe (case a cocher conserver le mot de passe dans filezilla ou autre) ou les stocker dans un fichier
regarder du coté des outils contre l'injection de code : Crawltrack ou sh404sef
sauvegarder la BDD souvent
utiliser la sécurisation par .htaccess (tuto http://www.siteduzero.com/tutoriel-3-14 ... ccess.html)
verifier si l'Iframe n'est pas présente ailleurs que dans les pages index
enfin ce ne sont que quelques pistes ...