Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 5 sur 5
  1. #1
    Membre Expert Avatar de Willpower
    Homme Profil pro Boris Dessy
    sans emploi
    Inscrit en
    décembre 2010
    Messages
    1 008
    Détails du profil
    Informations personnelles :
    Nom : Homme Boris Dessy
    Localisation : Belgique

    Informations professionnelles :
    Activité : sans emploi

    Informations forums :
    Inscription : décembre 2010
    Messages : 1 008
    Points : 1 510
    Points
    1 510

    Par défaut Aide, je suis attaqué !?

    Bonjour,

    Je viens de trouver 2 fichiers sur mon ftp qui ne proviennent pas de moi :
    Code :
    1
    2
    index.php_id=7&email=dessyboris@hotmail.com
    index.phpid=7&email=dessyboris@hotmail.com
    Le 7 correspond à mon ID et l'email à mon login sur le site. (ces 2 informations sont accessibles sur mon site).

    Les 2 fichiers font 0 octets (ils sont bien vides).

    Comment le hackeur a-t'il pu créer ces fichiers sur mon ftp ?

    Quelqu'un aurait-il des informations sur cette technique de hack ?
    Qu'est-ce que le hackeur a pu récupérer avec ces fichiers ?


    :/


    Tout indice sera le bienvenu, merci d'avance.
    Code javascript :
    eval(a='eval(a)')
    recursive make it evil
    eval make it eval


    Mes sites : gpt1 - codeeplus - instantw

  2. #2
    Membre chevronné Avatar de messinese
    Homme Profil pro Jean-marie Bourbon
    IT Security Consultant
    Inscrit en
    septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean-marie Bourbon
    Âge : 32
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2007
    Messages : 429
    Points : 783
    Points
    783

    Par défaut

    Bonjour,

    Cela dépend de ton site :

    -Utilises tu un CMS si oui lequel et est il a jour?

    -Dans le cas contraire , vérifie si tu as une galerie image ( faille gallery trop souvent présente malgrés que ce soit vieux comme le monde)..

    -As tu déja effectué des tests de type SQLi ou XSS ( session Hijacking) afin de tester la robustesse de tes filtres ?

    -Es tu sur que personne d'autre n'a accés au site ( ça peut paraitre bete mais ...)

    -Es-tu sur des droit sur ton FTP (session anonymous entre autre ..?)
    Tellement de paramères peuvent entrer en jeu que ce n'est pas évident a vu de nez , comme ça ... attention toutefois au facteur humain : le S.E étant souvent le plus efficace !

    Trop peu de temps pour en dire plsu ( le vendredi soir a cette heure la ...) , j'espere que d'autre t'apporterons plsu d'aide !

    Cordialement et ...a lundi !

  3. #3
    Membre Expert Avatar de Willpower
    Homme Profil pro Boris Dessy
    sans emploi
    Inscrit en
    décembre 2010
    Messages
    1 008
    Détails du profil
    Informations personnelles :
    Nom : Homme Boris Dessy
    Localisation : Belgique

    Informations professionnelles :
    Activité : sans emploi

    Informations forums :
    Inscription : décembre 2010
    Messages : 1 008
    Points : 1 510
    Points
    1 510

    Par défaut

    Bonjour,

    -Utilises tu un CMS si oui lequel et est il a jour?
    -Dans le cas contraire , vérifie si tu as une galerie image ( faille gallery trop souvent présente malgrés que ce soit vieux comme le monde)..
    Rien à part un sous-repertoire wiki que je n'utilise plus (et que je supprime maintenant).

    -As tu déja effectué des tests de type SQLi ou XSS ( session Hijacking) afin de tester la robustesse de tes filtres ?
    Non, je fais ça comment ? (désolé, je ne m'y connais pas du tout)

    -Es tu sur que personne d'autre n'a accés au site ( ça peut paraitre bete mais ...)
    -Es-tu sur des droit sur ton FTP (session anonymous entre autre ..?)
    Tellement de paramères peuvent entrer en jeu que ce n'est pas évident a vu de nez , comme ça ... attention toutefois au facteur humain : le S.E étant souvent le plus efficace !
    Oui j'en suis sûr(705), le problème ne vient pas de là.


    Merci de t'intéresser à mon problème.

    Sinon sais-tu quelle portée à ce genre d'attaque... en supposant que le hackeur n'ai eu accès qu'au 2 fichiers créés ? Avez-vous des cas d'attaque similaire ? Vu que mon site n'est pas très connu, cela m'étonnerait d'avoir affaire à un "grand hackeur", le faille est donc probablement qqe chose de "connu" ?

    (note mon herbergeur est godaddy et il s'agit d'un serveur linux "mutualisé")
    Code javascript :
    eval(a='eval(a)')
    recursive make it evil
    eval make it eval


    Mes sites : gpt1 - codeeplus - instantw

  4. #4
    Membre chevronné Avatar de messinese
    Homme Profil pro Jean-marie Bourbon
    IT Security Consultant
    Inscrit en
    septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean-marie Bourbon
    Âge : 32
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2007
    Messages : 429
    Points : 783
    Points
    783

    Par défaut

    Bonjour ,

    Citation:
    -Utilises tu un CMS si oui lequel et est il a jour?
    -Dans le cas contraire , vérifie si tu as une galerie image ( faille gallery trop souvent présente malgrés que ce soit vieux comme le monde)..

    Rien à part un sous-repertoire wiki que je n'utilise plus (et que je supprime maintenant).
    Alors dis- moi un peu qu'y-a-t-il sur ce site exactement ?
    Je veux juste savoir si tu pourrais avoir des éventuels points d'entrées connu.

    Comme tu le dis tu n'a pas affaire a THE HACKER mais justement !!
    Perso, je préfèrerai avoir affaire a une personne compétente qui, au passage n'aurais pas laissé des documents vide sur ton FTP car la si tu as affaire a un Kévin en mal de reconnaissance et en pleine crise d'ado et qu'il arrive a exploiter c'est le defacing quasi-assuré (tu as des back-up j'imagine ?).

    Utilises-tu une BDD ?

    Citation:
    -As tu déja effectué des tests de type SQLi ou XSS ( session Hijacking) afin de tester la robustesse de tes filtres ?

    Non, je fais ça comment ? (désolé, je ne m'y connais pas du tout)
    Si tu as un Linux sous la main lance un test avec W3AF ou WebSecurify par exemple sinon, essaye de DL backtrack en live cd et lance le, ça donnera une premiere impression avec d'éventuelles vulnérabilitées a corriger rapidement.

    Difficilie de t'aider comme ça , a l'aveuglette déja parceque le web n'est pas ma spécialité et ensuite parcequ'il peut y avoir des tas de vecteurs d'attaques.

    Bonne chance a toi et surtout : n'hésites pas (meme en mp )

    Cordialement.

  5. #5
    Membre Expert Avatar de Willpower
    Homme Profil pro Boris Dessy
    sans emploi
    Inscrit en
    décembre 2010
    Messages
    1 008
    Détails du profil
    Informations personnelles :
    Nom : Homme Boris Dessy
    Localisation : Belgique

    Informations professionnelles :
    Activité : sans emploi

    Informations forums :
    Inscription : décembre 2010
    Messages : 1 008
    Points : 1 510
    Points
    1 510

    Par défaut

    http://www.prizeeplus.fr/

    Il n'y a plus d'upload file (s'il y en avait c'était via le wiki qui a été supprimé), il reste juste des GET et POST normaux.

    Je ne sais pas si la faille persiste, elle a peut-être été résolu avec la suppression du wiki.

    Mais je trouve ça étrange, c'est comme si le hackeur était resté bloqué au stade de créer des fichiers vides. =/

    Oui, j'ai une base de donnée MYSQL (fourni avec l'hebergement mutualisé de godaddy) mais le ftp est qqe chose de distinct non. (je veux dire hacker le ftp permet de hacker la base de donnée grace aux identifiants de celle-ci mais l'inverse hacker la base de donnée ne donne pas accès au ftp, si ?)

    Bref, je vais changer tous mes identifiants, et espérer que la faille ait été supprimée. :/

    Merci en tout cas pour ton aide.
    Code javascript :
    eval(a='eval(a)')
    recursive make it evil
    eval make it eval


    Mes sites : gpt1 - codeeplus - instantw

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •