Bonjour à tous,
Tout d'abord, j'aimerais commencer par préciser que mon post n'est pas un post incendiaire mais un post qui a pour but de faire évoluer la situation positivement.
Je dois tout de même vous avouer que je viens de passer les plus mauvaises vacances de ma vie suite à la succession d'actes de piratage en tout genre sur "mes" sites web hébergés sur "la machine revendeur". Mais bon ... c'est du passé, même si je l'ai encore en travers de la gorge !
Depuis des semaines je me creuse la tête afin de trouver une piste sur la faille qui permet aux différents hackers de faire leurs basses besognes. J'écris les différents hackers car, il y en a effectivement plusieurs. (Somaliens, Algériens, Coréens etc... d'après leur IP évidemment).
Le but de l'acte de piratage diffère selon le hacker :
- Un simple "deface" de site (remplace la page d'accueil)
- Création de dossier avec contenu relatif à du phishing
- Création d'adresses mails permettant l'envoi et la réception de mail via le domaine piraté (SPAM)
- Redirection du domaine piraté vers des sites infestés de virus trojeans et autre spyware
- Simple et bête destruction de compte (dossiers, contenus, DB)
- Suppression des comptes mails
- Suppression et recréation de DB pour le phishing
- Hack à l'aide de l'utilisation des liens symboliques (SYMLINK, le plus souvent sym.php)
- Hack afin de permettre le piratage du référencement google afin que Google renvoi vers des sites illégaux (pornographie, jeux …) lorsque l’on clique sur le nom de votre site dans les résultats Google
Sur le seul mois de juillet, j'ai subi
tous les actes de piratages listés ci-dessus !
J'ai été hacké environ
4 fois par semaine sur des comptes différents. Ces comptes hébergeaient soit des CMS, soit du pur HTML, soit ... rien du tout (compte créé mais pas encore utilisé, comme mon compte root cpanel).
Alors ... ? La faille ... ?
Après un mois de travail de surveillance accrue de tous mes comptes et de tous les logs, je n'ai toujours pas trouvé la source de notre calvaire.
Et donc, après analyse de la situation :
- Phpnet rejetant la faute sur les revendeurs (CMS pas à jour, scripts qui divulguent les mots de passe etc...).
- Etant persuadé que mes sites étaient redevenus sains (restore de backup sain).
- N'étant pas le seul à avoir ces problèmes de sécurité récurrents
- Les attaques continuant malgré les différentes actions prises
Il m’était donc impossible de continuer ma collaboration avec une infrastructure en laquelle je n'avais plus confiance (en tout cas pour la structure revendeur - cela fait 12 ans que j'utilise l’hébergement mutualisé chez PHPNET sans
JAMAIS avoir eu
AUCUN problème).
La décision de faire un étude de marché a été prise et réalisée en urgence. Je ne publierai pas les résultats de mon étude de marché par respect pour PHPNET, cela de toute façon n'apporterait rien aux problèmes évoqués dans ce post et mon but n'est pas de faire de la pub !
Bref.
Fin juillet, j'ai commencé à migrer mes comptes vers une autre infrastructure.
La première migration ne s'est pas réalisée sans problème ... en cause ? Les droits d'accès 700 initialisés par PHPNET sur tous les dossiers/fichiers.
Donc, pour que mes sites puissent fonctionner sur une autre infrastructure que PHPNET, j'ai dû réinitialiser les droits d'accès de mes dossiers à 755 et ceux de mes fichiers à 644. Ce qui est tout à fait logique puisque avec les droits 700 seul le propriétaire a accès en lecture/écriture.
Mais alors, quelqu'un pourrait-il me dire pourquoi mes sites fonctionnaient sans problème sur l'infra PHPNET avec les droits d'accès 700 
La réponse est peut être simple, j'aimerais que phpnet me réponde à ce sujet.
Depuis la migration de mes sites (une grosse semaine), plus aucun n'a été piraté cependant mes comptes chez phpnet ce font toujours hackés
La dernière fois date d'hier (création d'un dossier « ahmed » au niveau du root de 3 comptes).
Pour que vous compreniez bien la situation :
- Mes comptes cpanel/phpnet ont été transférés sur une autre infra.
- Les serveurs DNS de ces comptes migrés pointent vers la nouvelle infra
--> Ces mêmes comptes ne se font pas piraté sur la nouvelle infra mais sur l’ancienne (PHPNET) !!!
Pour moi, c'est clair! Je ne cherche plus, je sais que la faille est en interne chez phpnet, c'est par "l'intérieur" de la plateforme revendeur que les hackers se faufilent pour prendre possession de nos comptes sans aucune restriction !
Comment feraient-ils autrement ? Ils ne peuvent pas venir via l'IP du serveur puisque PHPNET à bloqué cette possibilité par "sécurité". Ex: 195.144.11.74/~user_cpanel.
Pour info, cette possibilité d'accéder à notre compte sans enregistrer de nom de domaine n'est jamais bloquée sur les autres infras ...
Pour résumer, 2 questions sont posées :
1) Comment un site web configuré avec des droits d'accès dossiers/fichier à 700 peut-il fonctionner sans problème chez PHPNET?
2) Comment un compte cpanel peut-il être hacké sur une infrastructure (PHPNET) alors que les DNS de ce compte pointent vers une autre infrastructure ?
Cordialement
