Je me suis fait hacker mon site
Apparemment rien de méchant puisqu'ils ont ajouter uniquement dans le fichier index.php qui se situe à la racine du site :

Code: Tout sélectionner

<?php
header("Location: http://www.officialxi.com/"); /* Redirect browser */

exit;
?>

Je vais tout de même vérifier le reste, changer les mots de passe, etc.

Et essayer de rechercher d'où peut venir la faille.

Fichtre.

Juste au cas ou, je ferais un hack report sur le domaine qu'il ont liés : http://www.dnsstuff.com/tools/whois.ch? ... m&email=on

Il y a peu de chance je pense que ce soit le site du hacker, mais quand même, s'ils n'ont rien à voir avec ça, ils seront content de savoir que d'autre leur causent du tort du coup.

Ensuite, effectivement, il faut faire un bon check up de ton site, le mieux serait de comparer tous les fichiers en ligne avec une sauvegarde, pour voir s'ils n'auraient pas ajouter d'autre fichiers ou bout de code, il y a des applis qui peuvent te faciliter la tache pour ça.

Il faudrait également analyser tes logs serveur, il faut retrouver l'ip (ou les ip) qui à servit à faire ça, et voir si elle (ou elles) n'a pas été utilisé ailleurs sur le site par la même occasion.
Et surtout, faire un bon vieux hack report sur celle ci, pareil, en utilisant dnsstuff.com.

Le critère de recherche est pas évident sur les logs, index.php doit très souvent apparaître, mais avec de la patience ... de toutes façons, il faut boucher la faille et donc trouver la porte.

Vérifiez que register_global est bien sur off dans ta config, cela seul pourrait être l'explication de ton souci.

Il faut vraiment que je finissent mon module de sécurisation de site

++

dcz a écrit:Fichtre.

Juste au cas ou, je ferais un hack report sur le domaine qu'il ont liés : http://www.dnsstuff.com/tools/whois.ch? ... m&email=on

Il y a peu de chance je pense que ce soit le site du hacker, mais quand même, s'ils n'ont rien à voir avec ça, ils seront content de savoir que d'autre leur causent du tort du coup.

Ce site est sur le même hébergeur que le mien...

dcz a écrit:Ensuite, effectivement, il faut faire un bon check up de ton site, le mieux serait de comparer tous les fichiers en ligne avec une sauvegarde, pour voir s'ils n'auraient pas ajouter d'autre fichiers ou bout de code, il y a des applis qui peuvent te faciliter la tache pour ça.

Un petit coup de WinMerge et la question sera réglée rapidement

dcz a écrit:Il faudrait également analyser tes logs serveur, il faut retrouver l'ip (ou les ip) qui à servit à faire ça, et voir si elle (ou elles) n'a pas été utilisé ailleurs sur le site par la même occasion.
Et surtout, faire un bon vieux hack report sur celle ci, pareil, en utilisant dnsstuff.com.

Le critère de recherche est pas évident sur les logs, index.php doit très souvent apparaître, mais avec de la patience ... de toutes façons, il faut boucher la faille et donc trouver la porte.

Je n'ai pas vraiment moyen de le faire, car je n'ai pas accès aux logs d'Apache

dcz a écrit:Vérifiez que register_global est bien sur off dans ta config, cela seul pourrait être l'explication de ton souci.

Il est bien sur off

dcz a écrit:Il faut vraiment que je finissent mon module de sécurisation de site ++

Intéressant, mais je me demande où tu arrive à trouver tout le temps pour faire ce que tu fais, c'est à dire assurer le support, développer une quantité astronomique de mods avec les upgrade qui vont derrière et en développer d'autres

héhé, j'ai quatre bras trois mains et deux claviers

En fait, ce module de sécurité, je l'ai commencé il y a pas mal de temps déjà, et c'est marrant parce qu'hier, j'ai commencer à remettre des trucs au propre.

Je pense que je vais bientôt le sortir en béta, ce serait dommage qu'il ne serve pas, et les concepts utilisés sont vraiment de nature à rendre difficile toute entreprise de nuisance. Il devrait rendre très difficile le fait de passer inaperçu.

Mais revenons à nos moutons, il faut vraiment que tu ais accès aux logs serveur, demande à ton hébergeur, ils doivent en avoir quand même, et pour un hack, il serait malvenu qu'ils ne te les donnent pas.

Sans les logs, il te sera impossible de remonter au hacker, et c'est dommage, car c'est le seul truc que l'on peut faire, ne pas rien faire !

Je veux dire, je ne suis pas un absolutiste, certaint hacker ont du talent, voir ont permis de belles choses, mais les types qui hackent des "petit" sites ne prouvent rien du tout, ne font avancer rien du tout, il ne démontre qu'un pouvoir de nuisance, le plus souvent basé sur des trucs dont ils ne sont même pas le auteurs.

Franchement, c'est de l'onanisme à force.

++

Ok, je demande les logs à mon hébergeur, j'espère qu'il va pouvoir me les extraire.

J'ai comparé tous les fichiers avec WinMerge et pas de soucis à ce niveau.

Par contre, après avoir bataillé dur avec le support de mon hébergeur en leur demandant les logs ils m'ont finalement donné cette réponse innaceptable juste pour se débarasser honteusement de ma demande :

Hello Nicolas,

I have just checked and unfortunately we do not keep the logs. Once they are analyzed they are deleted.

We are sorry about the inconvenience.


Kind regards,
Steffan, Servage Hosting

Par contre, avec ce lien que tu m'as donné plus haut http://www.dnsstuff.com/tools/whois.ch? ... m&email=on on voit que officialxi est hébergé par Servage mon hébergeur et d'ailleurs c'est que je leur ai justement fait remarquer, mais comme tu l'as dit, ce n'est peut-être pas eux.

En effet, c'est un peu gonflé de leur part, surtout s'agissant de sécurité.

Après, comme toi, je doute qu'un groupe techno chepawak soit à l'origine du hack, un fan peut être.

C'est embêtant en tous cas de ne pas pouvoir remonter à la source, parce qu'autant, la faille est toujours là.

Peut être est il temps d'envisager un autre hébergeur, pour le long terme, des accès logs, c'est essentiel.

Tu peux toujours envoyer un hack report sur officialxi.com, dans l'espoir que cela fasse bouger les choses, mais s'ils sont chez le même hébergeur, ils auront pas plus de logs, donc ...

++