Discussion :

[sleperck]

Bonjour,
Notre site de club de tennis (http://www.lystennis.fr) a été hacké suite à l'attentat du Charlie hebdo en représailles des actions menées par les anonymous.
Certaines de nos pages ne fonctionnent plus et affichent un message de propagande djihadiste. (Adhérents, Multimedia, connexion au forum, ...)
OVH se dégage de toutes responsabilités et nous demande de faire le ménage des codes malveillants dans nos pages.
Nous n'avons plus les pages sources donc pas de sauvegarde...
Nous pouvons juste redescendre nos pages en locales en FTP et après ???
Comment pouvons nous nettoyer ce code ?
Merci pour votre aide.
Stéphanie

[Neckara]

Bonjour,

Dommage que vous n'ayez fait aucune sauvegarde, pensez-y bien à l'avenir.
Pensez aussi à passer par du SFTP et non du FTP. Changez aussi vos mots de passes.
Pensez aussi à mettre Drupal à jour assez régulièrement.

Mais avant cela, je vous conseille de télécharger tous vos fichiers et de les supprimer de votre serveur.
Ajoutez juste un .htacces pour rediriger toutes vos pages vers une page "site en maintenance, merci de votre compréhension".

Le mieux est de repartir à zéro, réinstaller Drupal et refaire les pages petit à petit en vous inspirant de ce que vous aurez téléchargé.

Le plus simple serait peut-être de vous tourner vers celui qui a réalisé votre site, il a peut-être même la version originale.
Après, pour un site aussi modeste, cela m'étonne qu'il ai été attaqué. Donc très probablement vous avez de grosses failles (mot de passe trop faible, injections XSS/SQL possibles, …) et l'attaquant est peut-être un de vos visiteurs (ou un de ses proches).

Juste par curiosité, votre mot de passe était-il "faible" ? Du style 123456 ?

[ABCIWEB]

Salut,

note du 16 janvier :

Suite aux évènements récents survenus en France, les sites internet français sont la cible d'attaques massives depuis quelques jours.
Les services de l'état ont contacté tous les principaux hébergeurs français afin de les alerter sur le risque et de pouvoir centraliser et partager les informations.

Plusieurs dizaines de milliers de sites ont déjà été touchés selon la presse.
La grande majorité de ces attaques utilisent des failles de sécurité présentent dans les anciennes versions des principaux scripts PHP (phpMyAdmin, Drupal, Wordpress, phpBB, Magento, etc...)

Enfin bon rien de nouveau dans l'absolu. Tous les cms - et plus particulièrement open source - doivent faire l'objet d'un suivi régulier pour faire les mises à jour de sécurité. Si l'on vous a vendu un site sans mentionner l'obligation de faire des mises à jour régulières du code open source, c'est une faute professionnelle du fournisseur/vendeur du site.

Le piratage en question n'est pas de "haut niveau" puisque ces failles sont connues pour tout pirate même amateur. Simplement ils ont scannés large sans cible particulière pour pouvoir attaquer tous (le maximum qu'ils pouvaient) les cms non mis à jour.

Faut refaire le site avec une version de drupal à jour, et ensuite ne pas oublier de vérifier régulièrement s'il existe des mises à jours et les faire (même principe que les mises à jour d'antivirus à la différence que vérifier l'existence d'une nouvelle version du cms une fois par mois devrait suffire). Evidemment changer les mots de passe administrateur au minimum, mais les mots de passe utilisateurs peuvent également avoir été piratés.

[sleperck]

Malheureusement nous n'avons pas de sauvegarde.
L'adhérent à l'origine de la création du site n'est plus joignable.
Nous ne faisions qu'administrer DRUPAL via les modules sur le site distant hébergé chez OVH
Je viens de télécharger toutes les pages j'ai fait une recherche seule la page index.php semble avoir été modifiée car c'est la source de code HTML de propagande jihadiste que l'on voit sur les quelques pages piratées du site du club comme http://www.lystennis.fr/photo
Je vais essayer de la remplacer par la page index.php d'un site vide drupal.
Ou sinon je n'ai pas d'autre idée et je ne sais pas ou chercher dans les pages.
Aucun accès FTP n'a été détecté dans les logs d'OVH, donc c'est forcement de l'injection code htlm dans les pages agrégés du CMS ou du code SQL dans les formulaires donc le code malveillant pourrait être dans l'une de mes bases de données.
Mais je ne sais pas par ou chercher...
Stéphanie

[ABCIWEB]

De toutes façons il faudra mettre Drupal à jour sinon cela va recommencer un jour ou l'autre. Si vous n'avez pas les connaissances requises, je ne vois pas d'autre solution que de faire appel à un prestataire de service qui connaît ce CMS.

[sleperck]

De toutes façons il faudra mettre Drupal à jour sinon cela va recommencer un jour ou l'autre. Si vous n'avez pas les connaissances requises, je ne vois pas d'autre solution que de faire appel à un prestataire de service qui connaît ce CMS.

J'ai réussi en changeant la page index.php qui était apparemment la seule touchée par la la page index.php d'un projet vide Drupal.
Merci à tous pour vos réponses !
Stéphanie