Site hacké le 29/03/11

[Dieamond]

j'ai reagi un peu tard face aux recentes intrusions de faux comptes chinois

tout est revenu dans l'ordre, pour ceux qui ont vu le hack, et donc on ete renvoyes sur le site chinois ou taiwanais, je vous conseille d'effacer vos cookies et historique, de changer vos mot de passe importants (banque, ebay, paypal, amazon, etc) si vous avez l'habitude de les enregistrer, et de passer un antivirus si vous etes sous linux ou windows

je reviendrais un peu sur ce qu'il s'est passe plus tard, mais l'attaque n'est pas arrivee par le forum qui est a jour en securites

[MR917]

Firefox avertissait gentiment de la redirection vers un site malveillant.

[Dieamond]

chrome aussi ^^

[MRiste 400%]

enfin chrome ça date pas d'hier qu'il me redirige vers un site malveillant, mais en réessayant il repassait sous MRSP. moi ça me l'a fait la soirée du 26 ou du 27 me souviens plus.
et firefox pas testé.

Die à raison pour un scan à l'anti-virus mais si je peux me permettre certaines bases de données d'anti-virus sont pas à jour.
Donc en plus de votre anti-virus habituel, je préconise un scan sous Ccleaner (disponible sur les plateformes de téléchargement légal), très complet et efficace et surtout bien plus rapide que n'importe quel scan AV.

[Dieamond]

Tiens on va dire qu'aujourd'hui c'est le jour des recits

29 mars - 22h34
Apres avoir regarde 2 episodes de Lie to Me saison 3, je me connecte au forum pour voir si mes collegues du Bureau sont satisfaits des réservations de resto pour le meeting.
L'iPad me met alors une erreur sur le client tapatalk.
J'ouvre le forum dans Safari, alerte de redirection vers un site malveillant.
GRMBLBLBLBBLBL !

Je vais chercher le MacBook, je m'installe et je me connecte en FTP, pour voir que tous les fichiers PHP ont subis une injection de code.
Tous ceux de MRS-Passion.com : le wiki, le forum, tout.

Je fais un backup, et je mets tout offline.
En parallele, changement de mon mot de passe admin, et création d'un nouvel utilisateur pour la base SQL.
Je commence à regarder pour recuperer les fichiers un par un, mais impossible.


29 mars - minuit
Je commence la procédure de restauration, mais c'est super long. J'ouvre donc un ticket auprès de l'infogéreur pour demander la restoration de tout public_html. Identification du demandeur, validation de ou et quoi restaurer blabla.

30 mars - 1h30
Je m'endors sur mon ipad alors que je surveillais la procedure de restauration

30 mars - 6h45
Sonnage du reveil Lady Gaga; c'est l'heure de me lever pour aller bosser :-(
Un bonjour a ma cherie, et je vais lire le rapport de restauration, et surtout celui de sécurité pour voir par ou s'est faite l'injection. A priori, ils sont passé par le vieux moteur SPIP de la base article que j'avais pas pensé à virer :-( Putain de hackers chinois !!

30 mars - 7h15
Apres la douche, je remets le forum en ligne, modification de la connexion à la base de données (rappelez vous, j'ai changé l'utilisateur la veille), réactivation de l'accès Tapatalk... ok on doit être bon.
Un p'tit post pour dire que tout est remis d'aplomb, et go le boulot.

30 mars - 10h50
"Bonjour, je m'appelle Arnaud le Zombie, vous avez pu me voir dans des films comme Resident Evil ou la Nuit des Morts vivants".
3 cafés plus tard, je suis toujouts naze, a midi j'attaque le redbull !!

[Profed]

Beau travail, on voit que tu donne tout pour le forum :-D

[karlus972]

Je fais un scan tous les 2-3 jours (McAfee, version complete achetée), et a priori tout roule. Je crois avoir une 50aine de mots de passe, je vais changer les plus importants (emails, blog, etc...) de ce pas.

Merci Die! :-)

[dabeny]

T as quand même dormi 5 heures quoi, j suis sur que les ptits hackers chinois ils dorment pas autant !!

[MRiste 400%]

Sacré boulot que tu fais!!! :shock: MERCI et BRAVO pour la réaction rapide!

Lorsque tu auras un peu de temps libre tente de t'auto-hacker. C'est pas une blague, même si ça peut parraître absurde mais beaucoup de e-commerce engage des hackeur (mais des white-hat bien sûr) pour travailler et déceler les failles.
Je sais que chaque jour naît une nouvelle technique et qu'on ne peut pas parer à tout mais au moins tu pourra checker si tu as d'autres erreur de ce type (comme le SPIP oublié).
Check un peu tous les types de failles courrantes genre SQL, XSS, include, ect...

bien entendu ce n'est qu'un suggestion hein t'en fait ce que tu veux après.

c'est quand même dommage d'en arriver là

T as quand même dormi 5 heures quoi, j suis sur que les ptits hackers chinois ils dorment pas autant !!

+1000 :evil: :twisted:

[Dieamond]

Check un peu tous les types de failles courrantes genre SQL, XSS, include, ect...

c'est ce que l'infogereur m'a fait, c'est ca le rapport de securite de ce matin

[MRiste 400%]

Au temps pour moi :wink:

[MR917]

Sonnage du reveil Lady Gaga; c'est l'heure de me lever pour aller bosser :-(
Un bonjour a ma cherie, et je vais lire le rapport de restauration, et surtout celui de sécurité pour voir par ou s'est faite l'injection. A priori, ils sont passé par le vieux moteur SPIP de la base article que j'avais pas pensé à virer :-( Putain de hackers chinois !!

SPIP, c'est la double peine, c'est chiant quand il faut bosser avec, et ça t'emmerde encore quand tu l'as viré.

[dabeny]

Quand j'ai vu ce qu il avait mît en quote j ai cru qu il allait bâché sur lady gaga !
mais non

[Dieamond]

Alors que meme toi t'as pas osé ??

[Fred777]

Tu as l'heure du hack?