5 sites hackés sur compte revendeur

[benbet]

Bonsoir,

J'ai envoyé 3 tickets au support (depuis 12h00) et je suis toujours sans aucune réponse. Je sais qu'ils reçoivent beaucoup de tickets par jour mais ici, c'est hyper urgent !

5 de mes sites hébergés sur compte revendeur ont été hacké (dont deux ne sont même pas référencés par google ), les sites ont été hacké par ordre alphabétique (ordre d'apparition dans la boite de sélection lorsque l'on se connecte avec le password admin) ?

Je trouve cela très suspect ! 4 de mes sites hackés sont sous joomla 2.5.11 ... soit on connait joomla. Mais le 5ème était un simple site HTML affichant un page "UNDER CONSTRUCTION" !!!

Est-ce que quelqu'un d'entre vous (qui dispose d'un compte revendeur) a eu un ou des sites hackés par "Algerian to the core" ?

Merci pour vos feedback.

Ben

[benbet]

Tous mes sites ont été hacké !!!!!!!

Wordpress, joomla, pure HTML ...

Toujours aucune réponse de phpnet !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 

[cmd88]

De même, tous les sites (y compris les nôtres) sur un compte revendeur ont été piratés ce jour. Je vous raconte pas la "surprise" pour les clients finaux ! Au départ, on a pensé à un seul client, mais là au vu des tickets ouverts chez nous, une seule chose à dire: ALERTE ! 
Certains Cpanel sont en arabe suite à cela.

[jibeo]

Pareil, Tous mes sites de mon compte revendeur ont été piratés (wordpress, html...)
J'espère que Phpnet va faire quelque chose ! 

[thibaud]

Bonsoir,

De notre cote il n'y a rien a signaler...

Notre infra cpanel est a jour a 100% mais nous avons constate
Surtout certains clients qui se sont fait recuperer leurs passwords
Whm par des pirates... Il faut visiblement voir de ce cote la....

[cmd88]

Je doute que ce soit via whm puisque tous les sites clients ne sont pas concernés en ce qui concerne nos clients hébergés.
Toutefois, si je considère que ce soit via whm que le souci se pose, il me semble qu'il ne nous est pas possible via whm de modifier ce mot de passe, donc quelle est la procédure afin que nous puissions apporter cette modification de mot de passe nous-même ?

[benbet]

Bonsoir,

Pour info, nous pouvons changer le mot de passe du whm en modifiant le mot de passe du cpanel du compte root.

En ce qui concerne le hack de mes sites web, j'ai changé tous les passwords (sql, cpanel, accès admin joomla/wordpress ...) et je n'ai plus de problème depuis ce changement.

Quelle est la source de la divulgation des passwords En tant que client nous ne pouvons faire qu'une seule chose c'est d'étudier les logs de chaque cpanel hacké et essayer de repérer le site web/adresse ip/script d'où viennent les pirates juste avant d'arriver sur notre site.

Il y a quelques mois (fin juillet 2012 ... bizarre comme coïncidence ... on y est presque) j'avais également été hacké et j'avais réussi à repérer dans les logs un site (hébergé par PHPNET !) qui référençait certains comptes CPANEL avec pour chaque compte le password en clair !!!! Phpnet avait dû corriger une faille de sécurité du CPANEL...

Puisque nous sommes plusieurs à avoir le problème et qu'il y a beaucoup de chances que nous sommes hébergés sur la même machine et qu'il y a très peu de chance que nous aillons publiés nos user/password "sur la place publique", je suis persuadé que le problème se situe en amont de nos propres comptes whm/CPANEL !

Mais évidemment ... je n'ai pas de preuve clairement identifiée comme au mois de juillet 2012 !

C'est bien malheureux ... cela commençait à faire un moment que les interruptions de service se faisaient très rare et que les temps de réponses étaient plus que corrects... Un autre problème fait surface ! 

[cmd88]

Effectivement, le fait que plusieurs revendeurs soient concernés et non pas un compte "isolé" a bien une origine que je souhaiterais bien comprendre. En juillet 2012, je n'ai pas été concerné, c'est la 1ere fois que cela arrive en ce qui me concerne en tant que revendeur et je constate que tous les comptes clients n'ont pas été touchés, un seul a subit de réels dommages sur son site wordpress pourtant bien sécurisé, il a suffit au pirate de remplacer le fichier de config pour pirater un peu plus.

[jibeo]

Je viens de recevoir une réponse de Vincent du Service clientèle qui m'annonce que ce problème viendrait d'une faille de sécurité des CMS comme Wordpress... foutaise ! Mes sites sont à jour et sécurisés !!
J'aurais souhaité une autre explication étant donné que nous sommes plusieurs à avoir été touchés et que nous utilisons tous des CMS différents etc... bizarre cette histoire quand même !!

[cmd88]

Faille wordpress ? J'en doute, compte tenu qu'un de mes clients non touché est justement sur wordpress. Moi ce qui m'interpelle est que lorsque je tape l'accès whm, dans un laps de temps très court (moins de 1 seconde) apparait à l'écran ceci (et qui avant je n'avais pas):

(cliquer sur l'image pour l'agrandir)

[Krea3]

Nous avons le même probleme...

On pense qu'en début de semaine derniere il y a eu du "bruteforce" sur le Cpanel. Même si effectivement les mots de passes peuvent être faibles, il est impensable qu'une telle installation ne soit pas protégée par le bruteforce...

A partir de là le vers etait dans la pomme... j'ai essayé de coupé l'accès à Mysql depuis l'exterieur dans le cpanel mais en vain, en fait quoiqu'on fasse Mysql reste toujours accessible depuis l'exterieur

Car ensuite sous WP le hacker se connecte au mysql depuis l'exterieur, change les mot de passe admin et email admin du Wordpress, vous met des mouchard a la place des plugins, des themes, des pages 404... et pour s'en sortir il faut TOUT eplucher methodiquement.

Donc meme si a la base c'est dû à des mots de passes faibles (mais pas des mots du dictionnaire), il serait bon que:

1. Le cpanel/whm rejette les mots de passe faible
2. Que le cpanel soit protégé contre le bruteforce avec quelque chose de type Fail2ban
3. Que l'on puisse coupé le Mysql depuis l'exterieur si on le veut. Car ca n'aide pas pour rechercher l'origine de l'attaque...

Et pour info, la liste des sites hackés sur le 195.144.11.74:
http://www.hack-db.com/ip_195.144.11.74_1.html

[benbet]

Ce n'est pas une faille WP, ni joomla, ni d'aucun CMS d'ailleurs. Je le répète, un de mes sites était en pur html !!!

De plus 2 de mes sites en cours de test ont été hacké également ... à part mon client personne ne connait ces adresses et celles-ci ne sont référencées nulle-part ... S'ils m'ont hacké ces 2 sites là ... c'est que forcément ils ont pu récupérer les infos quelque part au niveau de "l'infrastructure revendeur" ...

Apparemment, il n'y a pas qu'a nous que cela arrive ces moments-ci : http://forums.cpanel.net/f185/server-hacked-351431.html#post1411782

[cmd88]

Oui, voir du côté de l'infrastructure revendeur car seuls les comptes revendeurs whm/cpanel sommes concernés apparemment. En effet, je ne vois pas d'autres piratages chez phpnet en dehors de ces comptes revendeurs. Donc souci quelque part et j'espère que phpnet va auditer en interne l'origine de ce souci majeur avant que ne revienne à la charge ces pirates.

[benbet]

De plus je pense que les tâches CRON sont suspendues  (ne fonctionne plus donc ...)

[cmd88]

Sur les comptes clients ? si oui, va falloir que je m'attende à recevoir des courriels en ce sens...
Sinon, phpnet, Thibaut, silence radio ?