Aide, je suis attaqué !?

Willpower · 17/08/2012, 17h31

Bonjour,

Je viens de trouver 2 fichiers sur mon ftp qui ne proviennent pas de moi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
index.php_id=7&email=dessyboris@hotmail.com
index.phpid=7&email=dessyboris@hotmail.com

Le 7 correspond à mon ID et l'email à mon login sur le site. (ces 2 informations sont accessibles sur mon site).

Les 2 fichiers font 0 octets (ils sont bien vides).

Comment le hackeur a-t'il pu créer ces fichiers sur mon ftp ?

Quelqu'un aurait-il des informations sur cette technique de hack ?
Qu'est-ce que le hackeur a pu récupérer avec ces fichiers ?

:/

Tout indice sera le bienvenu, merci d'avance.

messinese · 17/08/2012, 17h53

Bonjour,

Cela dépend de ton site :

-Utilises tu un CMS si oui lequel et est il a jour?

-Dans le cas contraire , vérifie si tu as une galerie image ( faille gallery trop souvent présente malgrés que ce soit vieux comme le monde)..

-As tu déja effectué des tests de type SQLi ou XSS ( session Hijacking) afin de tester la robustesse de tes filtres ?

-Es tu sur que personne d'autre n'a accés au site ( ça peut paraitre bete mais ...)

-Es-tu sur des droit sur ton FTP (session anonymous entre autre ..?)
Tellement de paramères peuvent entrer en jeu que ce n'est pas évident a vu de nez , comme ça ... attention toutefois au facteur humain : le S.E étant souvent le plus efficace !

Trop peu de temps pour en dire plsu ( le vendredi soir a cette heure la ...) , j'espere que d'autre t'apporterons plsu d'aide !

Cordialement et ...a lundi !

Willpower · 17/08/2012, 18h32

Bonjour,

Citation:

-Utilises tu un CMS si oui lequel et est il a jour?
-Dans le cas contraire , vérifie si tu as une galerie image ( faille gallery trop souvent présente malgrés que ce soit vieux comme le monde)..

Rien à part un sous-repertoire wiki que je n'utilise plus (et que je supprime maintenant).

Citation:

-As tu déja effectué des tests de type SQLi ou XSS ( session Hijacking) afin de tester la robustesse de tes filtres ?

Non, je fais ça comment ? (désolé, je ne m'y connais pas du tout)

Citation:

-Es tu sur que personne d'autre n'a accés au site ( ça peut paraitre bete mais ...)
-Es-tu sur des droit sur ton FTP (session anonymous entre autre ..?)
Tellement de paramères peuvent entrer en jeu que ce n'est pas évident a vu de nez , comme ça ... attention toutefois au facteur humain : le S.E étant souvent le plus efficace !

Oui j'en suis sûr(705), le problème ne vient pas de là.

Merci de t'intéresser à mon problème.

Sinon sais-tu quelle portée à ce genre d'attaque... en supposant que le hackeur n'ai eu accès qu'au 2 fichiers créés ? Avez-vous des cas d'attaque similaire ? Vu que mon site n'est pas très connu, cela m'étonnerait d'avoir affaire à un "grand hackeur", le faille est donc probablement qqe chose de "connu" ?

(note mon herbergeur est godaddy et il s'agit d'un serveur linux "mutualisé")

messinese · 20/08/2012, 09h04

Bonjour ,

Citation:

Citation:
-Utilises tu un CMS si oui lequel et est il a jour?
-Dans le cas contraire , vérifie si tu as une galerie image ( faille gallery trop souvent présente malgrés que ce soit vieux comme le monde)..

Rien à part un sous-repertoire wiki que je n'utilise plus (et que je supprime maintenant).

Alors dis- moi un peu qu'y-a-t-il sur ce site exactement ?
Je veux juste savoir si tu pourrais avoir des éventuels points d'entrées connu.

Comme tu le dis tu n'a pas affaire a THE HACKER mais justement !!
Perso, je préfèrerai avoir affaire a une personne compétente qui, au passage n'aurais pas laissé des documents vide sur ton FTP

car la si tu as affaire a un Kévin en mal de reconnaissance et en pleine crise d'ado et qu'il arrive a exploiter c'est le defacing quasi-assuré (tu as des back-up j'imagine ?).

Utilises-tu une BDD ?

Citation:

Citation:
-As tu déja effectué des tests de type SQLi ou XSS ( session Hijacking) afin de tester la robustesse de tes filtres ?

Non, je fais ça comment ? (désolé, je ne m'y connais pas du tout)

Si tu as un Linux sous la main lance un test avec W3AF ou WebSecurify par exemple sinon, essaye de DL backtrack en live cd et lance le, ça donnera une premiere impression avec d'éventuelles vulnérabilitées a corriger rapidement.

Difficilie de t'aider comme ça , a l'aveuglette déja parceque le web n'est pas ma spécialité et ensuite parcequ'il peut y avoir des tas de vecteurs d'attaques.

Bonne chance a toi et surtout : n'hésites pas (meme en mp )

Cordialement.

Willpower · 20/08/2012, 14h31

http://www.prizeeplus.fr/

Il n'y a plus d'upload file (s'il y en avait c'était via le wiki qui a été supprimé), il reste juste des GET et POST normaux.

Je ne sais pas si la faille persiste, elle a peut-être été résolu avec la suppression du wiki.

Mais je trouve ça étrange, c'est comme si le hackeur était resté bloqué au stade de créer des fichiers vides. =/

Oui, j'ai une base de donnée MYSQL (fourni avec l'hebergement mutualisé de godaddy) mais le ftp est qqe chose de distinct non. (je veux dire hacker le ftp permet de hacker la base de donnée grace aux identifiants de celle-ci mais l'inverse hacker la base de donnée ne donne pas accès au ftp, si ?)

Bref, je vais changer tous mes identifiants, et espérer que la faille ait été supprimée. :/

Merci en tout cas pour ton aide.

17/08/2012, 17h53	#2
messinese Membre chevronné Jean-marie Bourbon IT Security Consultant Inscription : septembre 2007 Messages : 329 Détails du profil Informations personnelles : Nom : Jean-marie Bourbon Âge : 31 Localisation : France, Aude (Languedoc Roussillon) Informations professionnelles : Activité : IT Security Consultant Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : septembre 2007 Messages : 329 Points : 663 Points : 663	Bonjour, Cela dépend de ton site : -Utilises tu un CMS si oui lequel et est il a jour? -Dans le cas contraire , vérifie si tu as une galerie image ( faille gallery trop souvent présente malgrés que ce soit vieux comme le monde).. -As tu déja effectué des tests de type SQLi ou XSS ( session Hijacking) afin de tester la robustesse de tes filtres ? -Es tu sur que personne d'autre n'a accés au site ( ça peut paraitre bete mais ...) -Es-tu sur des droit sur ton FTP (session anonymous entre autre ..?) Tellement de paramères peuvent entrer en jeu que ce n'est pas évident a vu de nez , comme ça ... attention toutefois au facteur humain : le S.E étant souvent le plus efficace ! Trop peu de temps pour en dire plsu ( le vendredi soir a cette heure la ...) , j'espere que d'autre t'apporterons plsu d'aide ! Cordialement et ...a lundi !
	10

20/08/2012, 14h31	#5
Willpower Membre Expert Boris Dessy sans emploi Inscription : décembre 2010 Messages : 1 004 Détails du profil Informations personnelles : Nom : Boris Dessy Localisation : Belgique Informations professionnelles : Activité : sans emploi Informations forums : Inscription : décembre 2010 Messages : 1 004 Points : 1 653 Points : 1 653	http://www.prizeeplus.fr/ Il n'y a plus d'upload file (s'il y en avait c'était via le wiki qui a été supprimé), il reste juste des GET et POST normaux. Je ne sais pas si la faille persiste, elle a peut-être été résolu avec la suppression du wiki. Mais je trouve ça étrange, c'est comme si le hackeur était resté bloqué au stade de créer des fichiers vides. =/ Oui, j'ai une base de donnée MYSQL (fourni avec l'hebergement mutualisé de godaddy) mais le ftp est qqe chose de distinct non. (je veux dire hacker le ftp permet de hacker la base de donnée grace aux identifiants de celle-ci mais l'inverse hacker la base de donnée ne donne pas accès au ftp, si ?) Bref, je vais changer tous mes identifiants, et espérer que la faille ait été supprimée. :/ Merci en tout cas pour ton aide. __________________ Code javascript : Sélectionner tout - Visualiser dans une fenêtre à part eval(a='eval(a)') recursive make it evil eval make it eval Mes sites : gpt1 - codeeplus - instantw
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email