Salut a tous,
aujourd'hui est un mauvais jour pour moi, mon premier site, que j'ai réalisé pour le restaurant de mon père a été hacké...
Rien de bien méchant, mais c'est toujours frustrant..
En se rendant sur le site on tombait sur une page blanche ou était écrit "Fucked by MiyaChung hihi :D".
Je me suis donc rendu directement sur le serveur FTP, un nouveau fichier était apparu "index.html".
je l'ai supprimé et tout est redevenu normal (l'accueil original étant index.php).

Est-il possible de savoir par quel procédé ceci a été effectué ?
Avez vous certains conseils a me donner point de vue sécurité ?

Merci d'avances amis Zéros !

Salut

Tu le sais, il n'y a pas de sécurité optimale. En revanche, il y a des astuces

Je vais t'en dire une parmi celles que je connais, si tu ne l'as pas utilisée : toujours considérer tes variables transmises ($_POST / $_GET) avec une fonction htmlspecialchars(). Si mes souvenirs sont bons, ça permet que ton système ne lise pas du code pirate transmise dans une variable écrite par un hacker, et qui est lue par ton système à cause d'un champ de formulaire par exemple.

Mateo21 l'avait conseillé dans son cours, je ne sais pas si tu l'as parcouru

Bonjour

Il est possible que ce soit le FTP de ton hébergeur qui soit mal protégé.
En tout cas, il est préférable de changer les mots de passe, au cas où.

Quel était l'hébergeur d'ailleurs ? Est-ce un hébergeur connu ? Gratuit ou payant ?

Bah y'a plusieurs failles pas bien difficiles à fouiner qu'on voit pas forcément tout de suite.
Cherche des site de «hacking» ou de sécurité pour te renseigner (sur comment sécuriser ton site hein.), genre ici.

Merci de vos réponses,
l'hébergeur est MavenHosting
j'ai changé immédiatement les mots de passe, mais en ce moment le serveur n'est plus accessible...

sinon j'ai utilisé les fonction htmlspecialchars() et addslashes().

@bomanz

Merci pour ton lien je vais me renseigner, et ne t'inquiètes pas, j'ai les boules qu'on m'ait hacké je ne veux pas le faire aux autres...

Bon courage en tout cas

Bonsoir,
Je viens d'avoir exactement le même problème, chez MavenHosting aussi...

Salut,
cela veut donc dire que le problème ne vient pas de mon site ni du tiens mais de l'hébergeur...
As-tu accès a ton site en ce moment ?

Selon moi, une telle faille est soit une faille upload ou une faille venant de MavenHosting.

Bonsoir,

J'ai eu un problème équivalent il y a de cela deux mois, et je suis aussi chez mavenhosting.
Dans mon cas, un hackeur était entré par une faille d'un autre site du serveur, et l'attaque s'était bêtement propagée à tous les sites du serveur.
Donc ça ne venait pas de mon site, mais bel et bien d'un autre site du serveur.
Suite à ça, ils ont fait un back-up et ont transféré toutes les données du serveur vers un autre serveur - plus sécurisé selon eux -. Ce transfert a duré environ 24 heures.
Ce qui me paraît bizarre, par contre, c'est que normalement les attaques doivent se limiter aux sites attaqués, et pas à tout le serveur, mais bon...

Voilà, je dis ça, je dis rien

Si l'attaque avait été un cas isolée, je t'aurais parlé des virus qui se transmettent par scripts malveillants (présents sur les sites piratés) et qui volent le mot de passe FTP.

Car à partir de l'hiver dernier, il y a eu plusieurs cas de piratage par vol de mot de passe, et ce lien suivant a été posté sur phpBB-Fr : http://forum.malekal.com/hack-web-site-t22837.html

Donc, mon conseil si t'es sur Win : Préférer utiliser Firefox et gérer toi-même les autorisation d'exécution de scripts avec une extension comme Noscript. Mon frère avait eu ce même conseil pour prévenir le vol de son mot de passe PlayOnline.

Un bon reflexe est soit de passer tous tes $_GET et $_POST en htmlentities(); ou bien plus joli encore, d'utiliser strip_tags(); qui enlève les balises.

Un autre site victime de ce pirate: http://unavenirpourhynd.fr/

Lui aussi hébergé chez MavenHosting...
Cherche pas, la faille vient probablement (encore une fois) d'eux...

réponse de mavenhosting

Bonjour,

Nous avons déjà retrouvé et corrigé la faille utilisée par le pirate qui s’est infiltré par le Joomla d’un client qui n’était pas à jour.

Merci

le plus surprenant c'est que: mon site n'est pas sous joomla alors pourquoi, ai-je été touché

Citation : Fecal-Matter

Cherche pas, la faille vient probablement (encore une fois) d'eux...

MarvenHosting n'est pas sur ?

Ne fait pas non plus confiance aux cookies.

Citation : rayquaza

MarvenHosting n'est pas sur ?

C'est pas la première fois que des zér0s hébergés chez MavenHosting viennent chercher de l'aide à propos de ce genre de problèmes.

Citation : pascal5

le plus surprenant c'est que: mon site n'est pas sous joomla alors pourquoi, ai-je été touché

Apparemment, c'est le site de quelqu'un d'autre qui présentait une faille. Une fois que celle-ci a été exploitée, le "pirate" a du pouvoir obtenir des informations sur la façon de s'immiscer sur le serveur FTP de l'hébergeur.

À première vu, tu n'y serais donc pour rien. C'est le risque de l'hébergement mutualisé. Un risque apparemment assez élevé chez MavenHosting, puisque ce n'est pas la première fois que l'on voit ça.

http://www.google.ch/#sclient=psy&hl=f [...] ba30ab708f993

Bonjour à tous,
je suis également hébergée chez mavenhosting et je me suis aperçu hier que mon site www.glpeinture.com était redirigé vers godaddy.com Apparemment, cela s'est passé le 08 octobre. A priori tous les codes sont bons, pas de fichiers supplémentaires.
L'adresse dans la barre url reste celle de mon site mais ce qui s'affiche, c'est le site godaddy.com

Je précise que la redirection se fait que je fasse une recherche dans google (en cliquant sur le lien correspondant à mon site) ou que j'entre directement l'adresse de mon site dans la barre url.

En résumé, impossible d'avoir accès à mon site.

Avez-vous une idée de ce qu'il s'est passé? J'ai envoyé un message à mavenhosting, j'attends leur réponse.

Merci d'avance pour votre aide.

Je sais que je suis sensée ouvrir un autre post mais comme la problème ressemble un peu à celui de pinodu13 !!

Un .htaccess de modifié ?

pour ma part, je vois bien ton site

La société G.L. PEINTURE, entreprise artisanale depuis 2001, située à LA TESTE DE BUCH

@gyom : j'ai regardé tous mes .htaccess et je n'ai pas vu de modification.

@pascal5 : comment ça tu vois mon site ? il s'affiche correctement dans ton navigateur ?

Ca y ressemble. Ou une iframe. En tout cas dites-vous que ce Miya Chung n'est pas un débutant http://www.zone-h.org/archive/notifier=MiyaChung/page=1

Kiss.

PS : moi aussi je vois ton site marsupilami ... T'es sûr que ça vient pas de ton pc ?

oui le site est bien la

sa sent le virus ou spyware sur ton pc d'après tes indications

À tout hasard, jette un oeil au fichier hosts, non ?
(Sous Windows : C:\Windows\System32\drivers\etc\hosts )

si c'était un virus sur mon pc, je vois pas pourquoi ça ne le ferait que sur un seul site internet. De plus, une amie a regardé le site hier soir et c'était pareil.
Enfin, "google outils pour les webmasters" m'indique que depuis le 8 octobre, il y a une problème avec mon sitemap. Pourtant tout semble correcte...

Citation : gyom

À tout hasard, jette un oeil au fichier hosts, non ?
(Sous Windows : C:\Windows\System32\drivers\etc\hosts

Je viens de regarder... Je ne vois rien qui cloche..

n'a tu pas récemment changé les DNS ou mavenhosting n'a t-il pas récemment changé ton serveur de baie ...cela expliquerais les problème.. si la propagation des DNS n'est pas correct

Moi, perso, je n'ai rien modifié... Quant à mavenhosting, je ne sais pas...

Effectivement, je viens d'allumer mon 2ème ordi et je vois très bien mon site...

Quel est donc le problème? Un virus ok mais pourquoi que rapport à ce site internet ?

[EDIT] merci à tous pour votre aide, c'est bon, j'ai vidé le cache de mon navigateur et c'est nickel !!

C'est impressionnant qu'un hébergeur comme ça ne sécurise pas ses serveurs. Si c'est une faille dans un Joomla outdated, il suffit que le pirate prenne un hébergement chez eux, installe le Joomla faillé, et il peut alors foutre sa merde oO