Auteur Sujet: 5 sites hackés sur compte revendeur  (Lu 5460 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne benbet

  • Débutant
  • *
  • Messages: 55
    • http://www.smash51.be
5 sites hackés sur compte revendeur
« le: 21 Juin 2013 à 00:51:45 »
Bonsoir,

J'ai envoyé 3 tickets au support (depuis 12h00) et je suis toujours sans aucune réponse. Je sais qu'ils reçoivent beaucoup de tickets par jour mais ici, c'est hyper urgent !

5 de mes sites hébergés sur compte revendeur ont été hacké (dont deux ne sont même pas référencés par google ???), les sites ont été hacké par ordre alphabétique (ordre d'apparition dans la boite de sélection lorsque l'on se connecte avec le password admin) ?

Je trouve cela très suspect ! 4 de mes sites hackés sont sous joomla 2.5.11 ... soit on connait joomla. Mais le 5ème était un simple site HTML affichant un page "UNDER CONSTRUCTION" !!!

Est-ce que quelqu'un d'entre vous (qui dispose d'un compte revendeur) a eu un ou des sites hackés par "Algerian to the core" ?

Merci pour vos feedback.

Ben

Hors ligne benbet

  • Débutant
  • *
  • Messages: 55
    • http://www.smash51.be
Re : 5 sites hackés sur compte revendeur
« Réponse #1 le: 21 Juin 2013 à 10:08:47 »
Tous mes sites ont été hacké !!!!!!!

Wordpress, joomla, pure HTML ...

Toujours aucune réponse de phpnet !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  :angry: :angry: :angry: :angry: :angry: :angry: :angry: :angry:

Hors ligne cmd88

  • Débutant
  • *
  • Messages: 28
Re : 5 sites hackés sur compte revendeur
« Réponse #2 le: 23 Juin 2013 à 19:09:57 »
De même, tous les sites (y compris les nôtres) sur un compte revendeur ont été piratés ce jour. Je vous raconte pas la "surprise" pour les clients finaux ! Au départ, on a pensé à un seul client, mais là au vu des tickets ouverts chez nous, une seule chose à dire: ALERTE ! 
Certains Cpanel sont en arabe suite à cela.

Hors ligne jibeo

  • Débutant
  • *
  • Messages: 9
    • Webdesigner Freelance
Re : 5 sites hackés sur compte revendeur
« Réponse #3 le: 23 Juin 2013 à 20:03:45 »
Pareil, Tous mes sites de mon compte revendeur ont été piratés (wordpress, html...)
J'espère que Phpnet va faire quelque chose !  :wacko:

Hors ligne thibaud

  • Administrateur
  • VIP
  • *****
  • Messages: 3 908
    • http://www.phpnet.org/
Re : 5 sites hackés sur compte revendeur
« Réponse #4 le: 23 Juin 2013 à 21:30:50 »
Bonsoir,

De notre cote il n'y a rien a signaler...

Notre infra cpanel est a jour a 100% mais nous avons constate
Surtout certains clients qui se sont fait recuperer leurs passwords
Whm par des pirates... Il faut visiblement voir de ce cote la....
Thibaud GRANGIER
Division Technique mutualise-dedie
PHPNET

Hors ligne cmd88

  • Débutant
  • *
  • Messages: 28
Re : 5 sites hackés sur compte revendeur
« Réponse #5 le: 23 Juin 2013 à 21:39:18 »
Je doute que ce soit via whm puisque tous les sites clients ne sont pas concernés en ce qui concerne nos clients hébergés.
Toutefois, si je considère que ce soit via whm que le souci se pose, il me semble qu'il ne nous est pas possible via whm de modifier ce mot de passe, donc quelle est la procédure afin que nous puissions apporter cette modification de mot de passe nous-même ?

Hors ligne benbet

  • Débutant
  • *
  • Messages: 55
    • http://www.smash51.be
Re : 5 sites hackés sur compte revendeur
« Réponse #6 le: 23 Juin 2013 à 22:30:31 »
Bonsoir,

Pour info, nous pouvons changer le mot de passe du whm en modifiant le mot de passe du cpanel du compte root.

En ce qui concerne le hack de mes sites web, j'ai changé tous les passwords (sql, cpanel, accès admin joomla/wordpress ...) et je n'ai plus de problème depuis ce changement.

Quelle est la source de la divulgation des passwords ??? En tant que client nous ne pouvons faire qu'une seule chose c'est d'étudier les logs de chaque cpanel hacké et essayer de repérer le site web/adresse ip/script d'où viennent les pirates juste avant d'arriver sur notre site.

Il y a quelques mois (fin juillet 2012 ... bizarre comme coïncidence ... on y est presque) j'avais également été hacké et j'avais réussi à repérer dans les logs un site (hébergé par PHPNET !) qui référençait certains comptes CPANEL avec pour chaque compte le password en clair !!!! Phpnet avait dû corriger une faille de sécurité du CPANEL...

Puisque nous sommes plusieurs à avoir le problème et qu'il y a beaucoup de chances que nous sommes hébergés sur la même machine et qu'il y a très peu de chance que nous aillons publiés nos user/password "sur la place publique", je suis persuadé que le problème se situe en amont de nos propres comptes whm/CPANEL !

Mais évidemment ... je n'ai pas de preuve clairement identifiée comme au mois de juillet 2012 !

C'est bien malheureux ... cela commençait à faire un moment que les interruptions de service se faisaient très rare et que les temps de réponses étaient plus que corrects... Un autre problème fait surface !  :angry:




Hors ligne cmd88

  • Débutant
  • *
  • Messages: 28
Re : 5 sites hackés sur compte revendeur
« Réponse #7 le: 24 Juin 2013 à 09:21:44 »
Effectivement, le fait que plusieurs revendeurs soient concernés et non pas un compte "isolé" a bien une origine que je souhaiterais bien comprendre. En juillet 2012, je n'ai pas été concerné, c'est la 1ere fois que cela arrive en ce qui me concerne en tant que revendeur et je constate que tous les comptes clients n'ont pas été touchés, un seul a subit de réels dommages sur son site wordpress pourtant bien sécurisé, il a suffit au pirate de remplacer le fichier de config pour pirater un peu plus.

Hors ligne jibeo

  • Débutant
  • *
  • Messages: 9
    • Webdesigner Freelance
Re : 5 sites hackés sur compte revendeur
« Réponse #8 le: 24 Juin 2013 à 10:45:34 »
Je viens de recevoir une réponse de Vincent du Service clientèle qui m'annonce que ce problème viendrait d'une faille de sécurité des CMS comme Wordpress... foutaise ! Mes sites sont à jour et sécurisés !!
J'aurais souhaité une autre explication étant donné que nous sommes plusieurs à avoir été touchés et que nous utilisons tous des CMS différents etc... bizarre cette histoire quand même !!

Hors ligne cmd88

  • Débutant
  • *
  • Messages: 28
Re : 5 sites hackés sur compte revendeur
« Réponse #9 le: 24 Juin 2013 à 11:02:16 »
Faille wordpress ? J'en doute, compte tenu qu'un de mes clients non touché est justement sur wordpress. Moi ce qui m'interpelle est que lorsque je tape l'accès whm, dans un laps de temps très court (moins de 1 seconde) apparait à l'écran ceci (et qui avant je n'avais pas):

(cliquer sur l'image pour l'agrandir)

Hors ligne Krea3

  • Débutant
  • *
  • Messages: 20
Re : 5 sites hackés sur compte revendeur
« Réponse #10 le: 24 Juin 2013 à 14:10:49 »
Nous avons le même probleme...

On pense qu'en début de semaine derniere il y a eu du "bruteforce" sur le Cpanel. Même si effectivement les mots de passes peuvent être faibles, il est impensable qu'une telle installation ne soit pas protégée par le bruteforce...

A partir de là le vers etait dans la pomme... j'ai essayé de coupé l'accès à Mysql depuis l'exterieur dans le cpanel mais en vain, en fait quoiqu'on fasse Mysql reste toujours accessible depuis l'exterieur :(

Car ensuite sous WP le hacker se connecte au mysql depuis l'exterieur, change les mot de passe admin et email admin du Wordpress, vous met des mouchard a la place des plugins, des themes, des pages 404... et pour s'en sortir il faut TOUT eplucher methodiquement.

Donc meme si a la base c'est dû à des mots de passes faibles (mais pas des mots du dictionnaire), il serait bon que:

1. Le cpanel/whm rejette les mots de passe faible
2. Que le cpanel soit protégé contre le bruteforce avec quelque chose de type Fail2ban
3. Que l'on puisse coupé le Mysql depuis l'exterieur si on le veut. Car ca n'aide pas pour rechercher l'origine de l'attaque...

Et pour info, la liste des sites hackés sur le 195.144.11.74:
http://www.hack-db.com/ip_195.144.11.74_1.html





« Modifié: 24 Juin 2013 à 14:14:54 par Krea3 »

Hors ligne benbet

  • Débutant
  • *
  • Messages: 55
    • http://www.smash51.be
Re : Re : 5 sites hackés sur compte revendeur
« Réponse #11 le: 24 Juin 2013 à 16:27:13 »
Ce n'est pas une faille WP, ni joomla, ni d'aucun CMS d'ailleurs. Je le répète, un de mes sites était en pur html !!!

De plus 2 de mes sites en cours de test ont été hacké également ... à part mon client personne ne connait ces adresses et celles-ci ne sont référencées nulle-part ... S'ils m'ont hacké ces 2 sites là ... c'est que forcément ils ont pu récupérer les infos quelque part au niveau de "l'infrastructure revendeur" ...

Apparemment, il n'y a pas qu'a nous que cela arrive ces moments-ci : http://forums.cpanel.net/f185/server-hacked-351431.html#post1411782

« Modifié: 24 Juin 2013 à 17:09:50 par benbet »

Hors ligne cmd88

  • Débutant
  • *
  • Messages: 28
Re : 5 sites hackés sur compte revendeur
« Réponse #12 le: 24 Juin 2013 à 18:47:58 »
Oui, voir du côté de l'infrastructure revendeur car seuls les comptes revendeurs whm/cpanel sommes concernés apparemment. En effet, je ne vois pas d'autres piratages chez phpnet en dehors de ces comptes revendeurs. Donc souci quelque part et j'espère que phpnet va auditer en interne l'origine de ce souci majeur avant que ne revienne à la charge ces pirates.

Hors ligne benbet

  • Débutant
  • *
  • Messages: 55
    • http://www.smash51.be
Re : 5 sites hackés sur compte revendeur
« Réponse #13 le: 25 Juin 2013 à 17:21:46 »
De plus je pense que les tâches CRON sont suspendues  (ne fonctionne plus donc ...)

Hors ligne cmd88

  • Débutant
  • *
  • Messages: 28
Re : 5 sites hackés sur compte revendeur
« Réponse #14 le: 26 Juin 2013 à 09:44:04 »
Sur les comptes clients ? si oui, va falloir que je m'attende à recevoir des courriels en ce sens...
Sinon, phpnet, Thibaut, silence radio ?