[Site] Un virus a attaqué ReL
Posté : 04 août 2009 17:04
Un virus a attaqué ReL. J'ai réussi à réparer les dégâts mais je ne sais pas si ça ne recommencera pas sous peu...
www.rollerenligne.com
Forum de rollerenligne.com
https://www.rollerenligne.com/phpBB2/
[Site] Un virus a attaqué ReL
Page 1 sur 3
Posté : 04 août 2009 18:09
ah c'était çà tout a l'heure....
Posté : 04 août 2009 18:30
Grippe pornine ? 
Posté : 04 août 2009 18:35
grippe championnat d'europe à OOstende!?
Posté : 04 août 2009 19:00
Après ma tentative de connexion cette après-midi au forum et idem sur le site, mon ordi à subi l'attaque de 2 virus et 3 cheval de troie...
Un lien surement
En espérant que ça soit réparé, pour ma part mon anti-virus à normalement fait correctement son boulot!
Un lien surement
En espérant que ça soit réparé, pour ma part mon anti-virus à normalement fait correctement son boulot!
Posté : 04 août 2009 19:05
C'est des choses qu'elles arrivent dés fois.
Prompt rétablissement à REL!
Prompt rétablissement à REL!
Posté : 04 août 2009 20:12
Bonsoir,
J'ai vue cette après-midi qu'il avait un petite problème j'ai pas insister pas hue de problème sur mon PC.
@+
Chris37
PS: Bien rentré benson
J'ai vue cette après-midi qu'il avait un petite problème j'ai pas insister pas hue de problème sur mon PC.
@+
Chris37
PS: Bien rentré benson
Posté : 04 août 2009 22:46
Il y a un spyware qui a injecté du code html dans quelques fichiers php et html du site (tous les index). J'ai nettoyé les dégâts mais pas encore tracé précisément la source.
Espérons que ça ne cache pas plus grave.
Espérons que ça ne cache pas plus grave.
Posté : 04 août 2009 23:52
une injection de code malicieux via un payload :s prompt rétablissement a ReL
Posté : 05 août 2009 5:53
Ah, c'est ça ? Un moment la page d'acceuil était du code HTML et d'autres caractères.
Posté : 05 août 2009 7:45
ReL serait il victime de son succès grandissant?
Ou cette attaque est peut être l'oeuvre de quelques groupuscules terroristes de piétons fanatiques pensant que nous sommes mû par une force diabolique lors de nos déplacements à roulettes?....à suivre....
Ou cette attaque est peut être l'oeuvre de quelques groupuscules terroristes de piétons fanatiques pensant que nous sommes mû par une force diabolique lors de nos déplacements à roulettes?....à suivre....
Posté : 05 août 2009 7:51
Sparx a écrit :cette attaque est peut être l'oeuvre de quelques groupuscules terroristes de piétons fanatiques pensant que nous sommes mû par une force diabolique lors de nos déplacements à roulettes?....à suivre....
Posté : 05 août 2009 7:54
plutot un pirate en herbe qui fait le tour des phpbb2 pour tester une faille et la lancer sur tous les forums
Posté : 05 août 2009 8:30
Je ne sais pas si c'est passé par le forum...
La séquence est la suivante :
1) un scan de tous les répertoires du ftp a débuté vers 14H00 par une première adresse IP
2) Ensuite, tous les fichiers index.php et index.html ont été modifiés dans tous les répertoires par plusieurs adresses ip localisées en Inde, aux USA, au Canada, etc. jusqu'à 16h20.
Une ligne de code avec une iframe a été ajoutée dans tous les index et quelques lignes de codes y ont été supprimées systématiquement en fin de fichier.
Ce qui m'inquiète aussi, c'est que OLS a subi le même sort.
La séquence est la suivante :
1) un scan de tous les répertoires du ftp a débuté vers 14H00 par une première adresse IP
2) Ensuite, tous les fichiers index.php et index.html ont été modifiés dans tous les répertoires par plusieurs adresses ip localisées en Inde, aux USA, au Canada, etc. jusqu'à 16h20.
Une ligne de code avec une iframe a été ajoutée dans tous les index et quelques lignes de codes y ont été supprimées systématiquement en fin de fichier.
Ce qui m'inquiète aussi, c'est que OLS a subi le même sort.
Posté : 05 août 2009 8:41
J'ai eu la même chose sur 100% Quad quelques semaines en arrière.
Un enfer à nettoyer ...
Mais je peux te rassurer, à part le code inséré dans les fichiers index, y'a rien d'autre.
Un enfer à nettoyer ...
Mais je peux te rassurer, à part le code inséré dans les fichiers index, y'a rien d'autre.
Posté : 05 août 2009 8:55
Le problème est de comprendre comment c'est rentré ?
Quelqu'un sait par où ça passe ?
Quelqu'un sait par où ça passe ?
Posté : 05 août 2009 9:14
c'est une injection d'iFrame. déjà est ce que le forum est à jour ? y'a t'il une version plus récente de phpBB à installer ? utilises tu Joomla pour heberger le site ?
un des premiers point est de banir les addresses ayant servi au hack
changer les permissions sur les repertoires (user/invité/owner) du ftp et aussi utiliser un mot de passe de la mort qui tue bien compliqué pas un mot présent dans un dictionnaire car les attaques par dictionnaire cassent les sécu assez facilement.
Valus
un des premiers point est de banir les addresses ayant servi au hack
changer les permissions sur les repertoires (user/invité/owner) du ftp et aussi utiliser un mot de passe de la mort qui tue bien compliqué pas un mot présent dans un dictionnaire car les attaques par dictionnaire cassent les sécu assez facilement.
Valus
Posté : 05 août 2009 9:55
Le forum est ancien oui... mais on ne peut pas passer à une version plus récente parce qu'on en a modifié le code. Si on le met à jour, on risque de perdre notre base de données, j'ai déjà essayé en local. c'est une sacré merde. plus de 4.000 personnes sont inscrites, on ne peut pas trop jouer.
Je ne pense pas que ça vienne du forum car OLS, la version anglophone de ReL qui est sur un autre serveur a été touchée aussi et elle n'a pas de forum.
Nous utilisons un code maison, donc pas du CMS. Normalement, il doit pas y avoir trop de failles, mais on ne sait jamais.
Concernant les permissions, normalement, c'est bon, j'ai vérifié.
Pour le mot de passe ftp, nous l'avons changé à nouveau mais il était déjà bien complexe (minuscules, majuscules, chiffres, caractères spéciaux...).
Je me demandais si un spyware que l'un ou l'autre des webmasters aurait pû chopper sur son pc aurait pu provoquer ça ?
Je ne pense pas que ça vienne du forum car OLS, la version anglophone de ReL qui est sur un autre serveur a été touchée aussi et elle n'a pas de forum.
Nous utilisons un code maison, donc pas du CMS. Normalement, il doit pas y avoir trop de failles, mais on ne sait jamais.
Concernant les permissions, normalement, c'est bon, j'ai vérifié.
Pour le mot de passe ftp, nous l'avons changé à nouveau mais il était déjà bien complexe (minuscules, majuscules, chiffres, caractères spéciaux...).
Je me demandais si un spyware que l'un ou l'autre des webmasters aurait pû chopper sur son pc aurait pu provoquer ça ?
Posté : 05 août 2009 10:16
non i ls'agit d'une attaque via le système d'hébergement (le serveur web). si le site est hebergé en local (chez toi sur une machine dédiée) tu dois utiliser un serveur web (joomla, IIS, ...) c'est ce serveur qui à été attaqué. et vu que tous les sites y sont stockés (rel, ols, forum rel) toutes les pages index des différents sites ont étés modifiées. après avec une iFrame injection on peut arriver à prendre le contrôle du PC. si tu as une gestion des logs vérifie ce qui s'est passé. quelqu'un aurait pu s'introduire via l'iframe et en plus de mettre HS le site en profiter pour copier la BDD des membres .
ce type d'attaque est somme toute assez fréquente. si l'on choppe la BDD des membres on peut facilement vendre les addresses mails pour quelques euros à des societés qui envoient des pubs par mail (le fameux spam).
après c'est une supposition rien n'indique que celà à eu lieu. deux possibilités peuvent survenir :
- une attaque au hasard petit bonheur la chance dans ce cas le forum ne subira pas d'autre bug
- une attaque visée et là ben il se peut que l'attaque se reproduise dans les jours qui viennent
c'est peut être le fruit d'un concurent qui pense que OLS ou REL lui pique des parts de marché
edit : en gros un truc comme ca s'est ajouté en bas de tes index.php :
.ce type d'attaque est somme toute assez fréquente. si l'on choppe la BDD des membres on peut facilement vendre les addresses mails pour quelques euros à des societés qui envoient des pubs par mail (le fameux spam).
après c'est une supposition rien n'indique que celà à eu lieu. deux possibilités peuvent survenir :
- une attaque au hasard petit bonheur la chance dans ce cas le forum ne subira pas d'autre bug
- une attaque visée et là ben il se peut que l'attaque se reproduise dans les jours qui viennent
c'est peut être le fruit d'un concurent qui pense que OLS ou REL lui pique des parts de marché
edit : en gros un truc comme ca s'est ajouté en bas de tes index.php :
Code : Tout sélectionner
<iframe src="une URL bizare" width=125 height=125 style="visibility: hidden"></iframe>
Posté : 05 août 2009 10:33
ptite aide sur le vif :
lance un anti spyware sur la machine (ou plusieurs : ad aware, malwarebyte, glary utilities) tous sont gratuits
essaies de faire un raport Hijackthis et de le postes sur leur site pour voir si tu as des entrées suspectes
(tuto ici :
http://forums.cnetfrance.fr/index.php?showtopic=796)
ne jamais sauvegarder les mot de passe (case a cocher conserver le mot de passe dans filezilla ou autre) ou les stocker dans un fichier
regarder du coté des outils contre l'injection de code : Crawltrack ou sh404sef
sauvegarder la BDD souvent
utiliser la sécurisation par .htaccess (tuto http://www.siteduzero.com/tutoriel-3-14 ... ccess.html)
verifier si l'Iframe n'est pas présente ailleurs que dans les pages index
enfin ce ne sont que quelques pistes ...
lance un anti spyware sur la machine (ou plusieurs : ad aware, malwarebyte, glary utilities) tous sont gratuits
essaies de faire un raport Hijackthis et de le postes sur leur site pour voir si tu as des entrées suspectes
(tuto ici :
http://forums.cnetfrance.fr/index.php?showtopic=796)
ne jamais sauvegarder les mot de passe (case a cocher conserver le mot de passe dans filezilla ou autre) ou les stocker dans un fichier
regarder du coté des outils contre l'injection de code : Crawltrack ou sh404sef
sauvegarder la BDD souvent
utiliser la sécurisation par .htaccess (tuto http://www.siteduzero.com/tutoriel-3-14 ... ccess.html)
verifier si l'Iframe n'est pas présente ailleurs que dans les pages index
enfin ce ne sont que quelques pistes ...