Auteur Sujet: 5 sites hackés sur compte revendeur  (Lu 5466 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Fhalken

  • Débutant
  • *
  • Messages: 8
Re : 5 sites hackés sur compte revendeur
« Réponse #15 le: 26 Juin 2013 à 13:47:12 »
Bonjour,

Je suis aussi dans ce cas : compte revendeur, site sous WP hacké par "The Algerian"
Une 1er fois le 17, une seconde fois cette nuit à 4H33.
Un répertoire "Product" a été ajouté dans mon root avec une appli complète que je n'ai pas encore annalysé.

J'avoue ne pas bien connaître CPanel et j'ai donc cherché via une autre voie.
Il y a une activité suspecte sur XMLRPC...

La semaine dernière le hack était appliqué sur le thème, cette semaine c'est carrément le fichier index.php du root qui a été changé.

L'activité FTP ne montre pas de connexion suspecte. Par mesure de sécurité je voudrais tout de même changer le mot de passe FTP du compte "spécial" installé automatiquement à la création, comment on fait ça dans CPANEL ? Changer le mot de passe de CPANEL ne change pas le mot de passe FTP.

Merci d'avance pour votre aide



Hors ligne Krea3

  • Débutant
  • *
  • Messages: 20
Re : 5 sites hackés sur compte revendeur
« Réponse #16 le: 26 Juin 2013 à 14:09:05 »
Si pas d'accès FTP ils ont peut-etre passé par le fileUploader de Cpanel. Il faut, via FTP, verifier le fichier .lastlogin à la racine de l'espace FTP. Cela affiche qui s'est connecté au cpanel (adresse ip) et à quelle heure. Dans tous les cas changer le mot de passe Cpanel.

Hors ligne Fhalken

  • Débutant
  • *
  • Messages: 8
Re : 5 sites hackés sur compte revendeur
« Réponse #17 le: 26 Juin 2013 à 21:44:40 »
Merci du conseil (c'est fait)
Malheureusement, lastlogin ne contient que mon IP d'aujourd'hui, plus celle de mon hacker...
Sais-tu comment changer le mot de passe FTP du compte par défaut ?

Hors ligne Fhalken

  • Débutant
  • *
  • Messages: 8
Re : 5 sites hackés sur compte revendeur
« Réponse #18 le: 26 Juin 2013 à 23:27:49 »
J'ai du nouveau...
Il s'agit bien d'un trou de sécurité permettant une connexion FTP. Voici le mail que je viens d'envoyer au support.
En espérant que cela vous aidera.
Notez que j'ai trouvé pas mal d'info ici : http://hack-db.com


Bonjour,

Le site XXX.COM a été Deffacé le 17/06 et aujourd'hui le 26/06. Il s'agit d'un site sous WordPress dont tous les Patchs ont été mis en place. Les mots de passe ont été changés et durcis. Le fichier index.php a été changé par le pirate qui a également installé un répertoire avec une Backdoor.

Aujourd'hui à 18:24, c'est au tour de XXX.BE d'être Deffacé. Ce site est statique et ne contient qu'un fichier index.php générant une redirection vers XXX.COM

Le fichier .lastlogin note une connexion FTP en provenance de 173.193.202.116

Clairement, il existe une faille dans votre serveur permettant des connexions FTP illicites. Votre responsabilité est engagée.

Je vous mets en demeure de résoudre ce problème de sécurité dans les meilleurs délais, à défaut en cas de nouvelle attaque, une plainte sera immédiatement déposée avec constitution de partie civile.

Bien à vous,
XXX


Hors ligne Fhalken

  • Débutant
  • *
  • Messages: 8
Re : 5 sites hackés sur compte revendeur
« Réponse #19 le: 26 Juin 2013 à 23:33:56 »
Incroyable !

http://hack-db.com/hacker/apoca-dz/all.html

Tous les sites deffacés par Apoca-DZ  sont hébergés chez PHPNET !

Christian

Hors ligne thibaud

  • Administrateur
  • VIP
  • *****
  • Messages: 3 908
    • http://www.phpnet.org/
Re : 5 sites hackés sur compte revendeur
« Réponse #20 le: 27 Juin 2013 à 02:29:25 »
Des investigations sont faites depuis plusieurs jours sur ce sujet.

Le fichier .lastlogin ne contient pas l'ip de la dernière connexion ftp mais l'ip de la dernière connexion a WHM ou CPANEL.
Cela signifie donc que la personne DISPOSE de votre mot de passe.


Les droits sur les dossiers des comptes clients créés après une certaines date étaient trop permissifs, de même que sur certains compte dont les clients ont défini du 755 ou 777 sur leurs dossiers par FTP ou SSH.
Ceci PEUT potentiellement permettre a un pirate qui a un accès au serveur (via un compte contenant des failles de securité dans des scripts PHP par exemple), d'avoir un accès a des fichiers de connexion SQL par exemple.
=> pour régler cela, nous avons lancé un script qui redefini les droits en ce moment et celui-ci vérifiera désormais l'ensemble des comptes régulièrement.

A priori les pirates utilisent cette faille présente sur certains comptes au niveau droits pour pirater les comptes concernés.
Suite a la modification des droits (chmod + chown) faite ce soir, ils ne pourront plus l'utiliser.
Il faut néanmoins modifier vos passwords CPANEL, WHM et BDD mysql, un mail sera fait dans ce sens demain afin d'éviter tout nouveau défacage.

Il ne s'agit pas en soit une faille lié a PHPNET mais plutôt a CPANEL qui créé les nouveaux comptes avec des droits qui ne sont pas valables. (nous allons leur remonter le souci).

Désolé pour la gène occasionnée mais en tant que fournisseur de solution CPANEL pour les revendeurs PHPNET, nous n'avons pas la main complète sur leur système et nous ne pouvons donc pas prévenir ce genre de souci a l'avance...
Thibaud GRANGIER
Division Technique mutualise-dedie
PHPNET

Hors ligne Fhalken

  • Débutant
  • *
  • Messages: 8
Re : 5 sites hackés sur compte revendeur
« Réponse #21 le: 27 Juin 2013 à 08:25:22 »
Merci Thibaud pour votre réponse,

Mes mots de passe CPanel sont relativement costauds... Je n'y crois pas trop via force brute d'autant que le nombre de serveur impactés est grand.

Christian

Hors ligne benbet

  • Débutant
  • *
  • Messages: 55
    • http://www.smash51.be
Re : 5 sites hackés sur compte revendeur
« Réponse #22 le: 05 Juillet 2013 à 11:03:51 »
Hé hop ce matin un 6ème site hacké sur machine revendeur ! Apparemment la faille n'et toujours pas fermée !!!

Je tente d'uploader un backup --> 50 users (the maximum) are already logged ... MAGNIFIQUE !

« Modifié: 05 Juillet 2013 à 11:24:40 par benbet »

Hors ligne jibeo

  • Débutant
  • *
  • Messages: 9
    • Webdesigner Freelance
Re : 5 sites hackés sur compte revendeur
« Réponse #23 le: 08 Juillet 2013 à 11:31:36 »
Ce week-end l'ensemble de mes sites sont de nouveau passés à la moulinette des hackers...
D'après le service technique c'est une faille dans l'un de mes CMS (Wordpress), je continue à en douter...

Bref je pense que je vais migrer vers une autre solution rapidement chez phpnet (ou pas...) ! D'autres ont eu le même souci ce week-end ? Quelles solutions avez-vous pris ??

++

Hors ligne thibaud

  • Administrateur
  • VIP
  • *****
  • Messages: 3 908
    • http://www.phpnet.org/
Re : 5 sites hackés sur compte revendeur
« Réponse #24 le: 08 Juillet 2013 à 14:20:12 »
la faille présente sur certain compte l'autre fois a été corrigée et n'est plus exploitable....
Votre piratage n'est donc pas coté serveur cette fois-ci mais du coté applicatif.

Que vous soyez sur une offre X ou Y dans ce cas, cela ne changera rien...
Thibaud GRANGIER
Division Technique mutualise-dedie
PHPNET

Hors ligne jibeo

  • Débutant
  • *
  • Messages: 9
    • Webdesigner Freelance
Re : 5 sites hackés sur compte revendeur
« Réponse #25 le: 08 Juillet 2013 à 16:11:55 »
Je viens de me rendre compte que des sous domaines ont été crée dans cpanel sur l'ensemble de mes sites (pour du phishing)

Par exemple : system-resolution-center-paypal-cgi-bin.nazima98z4d98a7ze98az4d.draganmilenkovic.com.mondomaine.com

Alors comment expliquer qu'un hackers puissent pirater un Wordpress pour se retrouver à bidouiller sur Cpanel... j'avoue ne pas être un technicien réseau mais il y a des choses qui paraissent un petit peu logique tout de même ...
 :huh:

Hors ligne benbet

  • Débutant
  • *
  • Messages: 55
    • http://www.smash51.be
Re : Re : 5 sites hackés sur compte revendeur
« Réponse #26 le: 09 Juillet 2013 à 22:36:37 »
De plus je pense que les tâches CRON sont suspendues  (ne fonctionne plus donc ...)

Je viens de recevoir un mail auto comme de quoi mon backup cpanel via tâche cron a bien été effectué ... cela fait environ 3 semaines que les tâches cron ne fonctionnaient plus...

@Thibaut: vous avez modifié quelque chose à ce niveau ?

Hors ligne thibaud

  • Administrateur
  • VIP
  • *****
  • Messages: 3 908
    • http://www.phpnet.org/
Re : 5 sites hackés sur compte revendeur
« Réponse #27 le: 10 Juillet 2013 à 08:43:05 »
Oui, cron n'a pas fonctionné entre l'incident du 30 juin et le 8 juillet.
Depuis cron fonctionne tout a fait normalement.
Thibaud GRANGIER
Division Technique mutualise-dedie
PHPNET

Hors ligne jibeo

  • Débutant
  • *
  • Messages: 9
    • Webdesigner Freelance
Re : 5 sites hackés sur compte revendeur
« Réponse #28 le: 10 Juillet 2013 à 08:53:28 »
Sinon les réponses ne sont réservées qu'à certains problèmes ?
Avez-vous lu mes posts aussi ?
Pourrais-je aussi avoir une réponse à me interrogations à défaut de solutions à mes problèmes ?

Hors ligne Krea3

  • Débutant
  • *
  • Messages: 20
Re : Re : 5 sites hackés sur compte revendeur
« Réponse #29 le: 10 Juillet 2013 à 09:06:43 »
Sinon les réponses ne sont réservées qu'à certains problèmes ?

Selon mon experience de ces derniers mois, je serais tenté de te repondre Oui....