PHPNET Assistance

Support et Entraide PHPNET => Offres Revendeurs => Discussion démarrée par: benbet le 21 juin 2013 à 00:51:45

Titre: 5 sites hackés sur compte revendeur
Posté par: benbet le 21 juin 2013 à 00:51:45
Bonsoir,

J'ai envoyé 3 tickets au support (depuis 12h00) et je suis toujours sans aucune réponse. Je sais qu'ils reçoivent beaucoup de tickets par jour mais ici, c'est hyper urgent !

5 de mes sites hébergés sur compte revendeur ont été hacké (dont deux ne sont même pas référencés par google ???), les sites ont été hacké par ordre alphabétique (ordre d'apparition dans la boite de sélection lorsque l'on se connecte avec le password admin) ?

Je trouve cela très suspect ! 4 de mes sites hackés sont sous joomla 2.5.11 ... soit on connait joomla. Mais le 5ème était un simple site HTML affichant un page "UNDER CONSTRUCTION" !!!

Est-ce que quelqu'un d'entre vous (qui dispose d'un compte revendeur) a eu un ou des sites hackés par "Algerian to the core" ?

Merci pour vos feedback.

Ben
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: benbet le 21 juin 2013 à 10:08:47
Tous mes sites ont été hacké !!!!!!!

Wordpress, joomla, pure HTML ...

Toujours aucune réponse de phpnet !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  :angry: :angry: :angry: :angry: :angry: :angry: :angry: :angry:
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: cmd88 le 23 juin 2013 à 19:09:57
De même, tous les sites (y compris les nôtres) sur un compte revendeur ont été piratés ce jour. Je vous raconte pas la "surprise" pour les clients finaux ! Au départ, on a pensé à un seul client, mais là au vu des tickets ouverts chez nous, une seule chose à dire: ALERTE ! 
Certains Cpanel sont en arabe suite à cela.
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: jibeo le 23 juin 2013 à 20:03:45
Pareil, Tous mes sites de mon compte revendeur ont été piratés (wordpress, html...)
J'espère que Phpnet va faire quelque chose !  :wacko:
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: thibaud le 23 juin 2013 à 21:30:50
Bonsoir,

De notre cote il n'y a rien a signaler...

Notre infra cpanel est a jour a 100% mais nous avons constate
Surtout certains clients qui se sont fait recuperer leurs passwords
Whm par des pirates... Il faut visiblement voir de ce cote la....
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: cmd88 le 23 juin 2013 à 21:39:18
Je doute que ce soit via whm puisque tous les sites clients ne sont pas concernés en ce qui concerne nos clients hébergés.
Toutefois, si je considère que ce soit via whm que le souci se pose, il me semble qu'il ne nous est pas possible via whm de modifier ce mot de passe, donc quelle est la procédure afin que nous puissions apporter cette modification de mot de passe nous-même ?
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: benbet le 23 juin 2013 à 22:30:31
Bonsoir,

Pour info, nous pouvons changer le mot de passe du whm en modifiant le mot de passe du cpanel du compte root.

En ce qui concerne le hack de mes sites web, j'ai changé tous les passwords (sql, cpanel, accès admin joomla/wordpress ...) et je n'ai plus de problème depuis ce changement.

Quelle est la source de la divulgation des passwords ??? En tant que client nous ne pouvons faire qu'une seule chose c'est d'étudier les logs de chaque cpanel hacké et essayer de repérer le site web/adresse ip/script d'où viennent les pirates juste avant d'arriver sur notre site.

Il y a quelques mois (fin juillet 2012 ... bizarre comme coïncidence ... on y est presque) j'avais également été hacké et j'avais réussi à repérer dans les logs un site (hébergé par PHPNET !) qui référençait certains comptes CPANEL avec pour chaque compte le password en clair !!!! Phpnet avait dû corriger une faille de sécurité du CPANEL...

Puisque nous sommes plusieurs à avoir le problème et qu'il y a beaucoup de chances que nous sommes hébergés sur la même machine et qu'il y a très peu de chance que nous aillons publiés nos user/password "sur la place publique", je suis persuadé que le problème se situe en amont de nos propres comptes whm/CPANEL !

Mais évidemment ... je n'ai pas de preuve clairement identifiée comme au mois de juillet 2012 !

C'est bien malheureux ... cela commençait à faire un moment que les interruptions de service se faisaient très rare et que les temps de réponses étaient plus que corrects... Un autre problème fait surface !  :angry:



Titre: Re : 5 sites hackés sur compte revendeur
Posté par: cmd88 le 24 juin 2013 à 09:21:44
Effectivement, le fait que plusieurs revendeurs soient concernés et non pas un compte "isolé" a bien une origine que je souhaiterais bien comprendre. En juillet 2012, je n'ai pas été concerné, c'est la 1ere fois que cela arrive en ce qui me concerne en tant que revendeur et je constate que tous les comptes clients n'ont pas été touchés, un seul a subit de réels dommages sur son site wordpress pourtant bien sécurisé, il a suffit au pirate de remplacer le fichier de config pour pirater un peu plus.
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: jibeo le 24 juin 2013 à 10:45:34
Je viens de recevoir une réponse de Vincent du Service clientèle qui m'annonce que ce problème viendrait d'une faille de sécurité des CMS comme Wordpress... foutaise ! Mes sites sont à jour et sécurisés !!
J'aurais souhaité une autre explication étant donné que nous sommes plusieurs à avoir été touchés et que nous utilisons tous des CMS différents etc... bizarre cette histoire quand même !!
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: cmd88 le 24 juin 2013 à 11:02:16
Faille wordpress ? J'en doute, compte tenu qu'un de mes clients non touché est justement sur wordpress. Moi ce qui m'interpelle est que lorsque je tape l'accès whm, dans un laps de temps très court (moins de 1 seconde) apparait à l'écran ceci (et qui avant je n'avais pas):
(http://nsa34.casimages.com/img/2013/06/24/mini_130624110509142922.jpg) (http://www.casimages.com/img.php?i=130624110509142922.jpg)
(cliquer sur l'image pour l'agrandir)
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: Krea3 le 24 juin 2013 à 14:10:49
Nous avons le même probleme...

On pense qu'en début de semaine derniere il y a eu du "bruteforce" sur le Cpanel. Même si effectivement les mots de passes peuvent être faibles, il est impensable qu'une telle installation ne soit pas protégée par le bruteforce...

A partir de là le vers etait dans la pomme... j'ai essayé de coupé l'accès à Mysql depuis l'exterieur dans le cpanel mais en vain, en fait quoiqu'on fasse Mysql reste toujours accessible depuis l'exterieur :(

Car ensuite sous WP le hacker se connecte au mysql depuis l'exterieur, change les mot de passe admin et email admin du Wordpress, vous met des mouchard a la place des plugins, des themes, des pages 404... et pour s'en sortir il faut TOUT eplucher methodiquement.

Donc meme si a la base c'est dû à des mots de passes faibles (mais pas des mots du dictionnaire), il serait bon que:

1. Le cpanel/whm rejette les mots de passe faible
2. Que le cpanel soit protégé contre le bruteforce avec quelque chose de type Fail2ban
3. Que l'on puisse coupé le Mysql depuis l'exterieur si on le veut. Car ca n'aide pas pour rechercher l'origine de l'attaque...

Et pour info, la liste des sites hackés sur le 195.144.11.74:
http://www.hack-db.com/ip_195.144.11.74_1.html





Titre: Re : Re : 5 sites hackés sur compte revendeur
Posté par: benbet le 24 juin 2013 à 16:27:13
Ce n'est pas une faille WP, ni joomla, ni d'aucun CMS d'ailleurs. Je le répète, un de mes sites était en pur html !!!

De plus 2 de mes sites en cours de test ont été hacké également ... à part mon client personne ne connait ces adresses et celles-ci ne sont référencées nulle-part ... S'ils m'ont hacké ces 2 sites là ... c'est que forcément ils ont pu récupérer les infos quelque part au niveau de "l'infrastructure revendeur" ...

Apparemment, il n'y a pas qu'a nous que cela arrive ces moments-ci : http://forums.cpanel.net/f185/server-hacked-351431.html#post1411782 (http://forums.cpanel.net/f185/server-hacked-351431.html#post1411782)

Titre: Re : 5 sites hackés sur compte revendeur
Posté par: cmd88 le 24 juin 2013 à 18:47:58
Oui, voir du côté de l'infrastructure revendeur car seuls les comptes revendeurs whm/cpanel sommes concernés apparemment. En effet, je ne vois pas d'autres piratages chez phpnet en dehors de ces comptes revendeurs. Donc souci quelque part et j'espère que phpnet va auditer en interne l'origine de ce souci majeur avant que ne revienne à la charge ces pirates.
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: benbet le 25 juin 2013 à 17:21:46
De plus je pense que les tâches CRON sont suspendues  (ne fonctionne plus donc ...)
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: cmd88 le 26 juin 2013 à 09:44:04
Sur les comptes clients ? si oui, va falloir que je m'attende à recevoir des courriels en ce sens...
Sinon, phpnet, Thibaut, silence radio ?
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: Fhalken le 26 juin 2013 à 13:47:12
Bonjour,

Je suis aussi dans ce cas : compte revendeur, site sous WP hacké par "The Algerian"
Une 1er fois le 17, une seconde fois cette nuit à 4H33.
Un répertoire "Product" a été ajouté dans mon root avec une appli complète que je n'ai pas encore annalysé.

J'avoue ne pas bien connaître CPanel et j'ai donc cherché via une autre voie.
Il y a une activité suspecte sur XMLRPC...

La semaine dernière le hack était appliqué sur le thème, cette semaine c'est carrément le fichier index.php du root qui a été changé.

L'activité FTP ne montre pas de connexion suspecte. Par mesure de sécurité je voudrais tout de même changer le mot de passe FTP du compte "spécial" installé automatiquement à la création, comment on fait ça dans CPANEL ? Changer le mot de passe de CPANEL ne change pas le mot de passe FTP.

Merci d'avance pour votre aide


Titre: Re : 5 sites hackés sur compte revendeur
Posté par: Krea3 le 26 juin 2013 à 14:09:05
Si pas d'accès FTP ils ont peut-etre passé par le fileUploader de Cpanel. Il faut, via FTP, verifier le fichier .lastlogin à la racine de l'espace FTP. Cela affiche qui s'est connecté au cpanel (adresse ip) et à quelle heure. Dans tous les cas changer le mot de passe Cpanel.
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: Fhalken le 26 juin 2013 à 21:44:40
Merci du conseil (c'est fait)
Malheureusement, lastlogin ne contient que mon IP d'aujourd'hui, plus celle de mon hacker...
Sais-tu comment changer le mot de passe FTP du compte par défaut ?
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: Fhalken le 26 juin 2013 à 23:27:49
J'ai du nouveau...
Il s'agit bien d'un trou de sécurité permettant une connexion FTP. Voici le mail que je viens d'envoyer au support.
En espérant que cela vous aidera.
Notez que j'ai trouvé pas mal d'info ici : http://hack-db.com


Bonjour,

Le site XXX.COM a été Deffacé le 17/06 et aujourd'hui le 26/06. Il s'agit d'un site sous WordPress dont tous les Patchs ont été mis en place. Les mots de passe ont été changés et durcis. Le fichier index.php a été changé par le pirate qui a également installé un répertoire avec une Backdoor.

Aujourd'hui à 18:24, c'est au tour de XXX.BE d'être Deffacé. Ce site est statique et ne contient qu'un fichier index.php générant une redirection vers XXX.COM

Le fichier .lastlogin note une connexion FTP en provenance de 173.193.202.116

Clairement, il existe une faille dans votre serveur permettant des connexions FTP illicites. Votre responsabilité est engagée.

Je vous mets en demeure de résoudre ce problème de sécurité dans les meilleurs délais, à défaut en cas de nouvelle attaque, une plainte sera immédiatement déposée avec constitution de partie civile.

Bien à vous,
XXX

Titre: Re : 5 sites hackés sur compte revendeur
Posté par: Fhalken le 26 juin 2013 à 23:33:56
Incroyable !

http://hack-db.com/hacker/apoca-dz/all.html

Tous les sites deffacés par Apoca-DZ  sont hébergés chez PHPNET !

Christian
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: thibaud le 27 juin 2013 à 02:29:25
Des investigations sont faites depuis plusieurs jours sur ce sujet.

Le fichier .lastlogin ne contient pas l'ip de la dernière connexion ftp mais l'ip de la dernière connexion a WHM ou CPANEL.
Cela signifie donc que la personne DISPOSE de votre mot de passe.


Les droits sur les dossiers des comptes clients créés après une certaines date étaient trop permissifs, de même que sur certains compte dont les clients ont défini du 755 ou 777 sur leurs dossiers par FTP ou SSH.
Ceci PEUT potentiellement permettre a un pirate qui a un accès au serveur (via un compte contenant des failles de securité dans des scripts PHP par exemple), d'avoir un accès a des fichiers de connexion SQL par exemple.
=> pour régler cela, nous avons lancé un script qui redefini les droits en ce moment et celui-ci vérifiera désormais l'ensemble des comptes régulièrement.

A priori les pirates utilisent cette faille présente sur certains comptes au niveau droits pour pirater les comptes concernés.
Suite a la modification des droits (chmod + chown) faite ce soir, ils ne pourront plus l'utiliser.
Il faut néanmoins modifier vos passwords CPANEL, WHM et BDD mysql, un mail sera fait dans ce sens demain afin d'éviter tout nouveau défacage.

Il ne s'agit pas en soit une faille lié a PHPNET mais plutôt a CPANEL qui créé les nouveaux comptes avec des droits qui ne sont pas valables. (nous allons leur remonter le souci).

Désolé pour la gène occasionnée mais en tant que fournisseur de solution CPANEL pour les revendeurs PHPNET, nous n'avons pas la main complète sur leur système et nous ne pouvons donc pas prévenir ce genre de souci a l'avance...
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: Fhalken le 27 juin 2013 à 08:25:22
Merci Thibaud pour votre réponse,

Mes mots de passe CPanel sont relativement costauds... Je n'y crois pas trop via force brute d'autant que le nombre de serveur impactés est grand.

Christian
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: benbet le 05 juillet 2013 à 11:03:51
Hé hop ce matin un 6ème site hacké sur machine revendeur ! Apparemment la faille n'et toujours pas fermée !!!

Je tente d'uploader un backup --> 50 users (the maximum) are already logged ... MAGNIFIQUE !

Titre: Re : 5 sites hackés sur compte revendeur
Posté par: jibeo le 08 juillet 2013 à 11:31:36
Ce week-end l'ensemble de mes sites sont de nouveau passés à la moulinette des hackers...
D'après le service technique c'est une faille dans l'un de mes CMS (Wordpress), je continue à en douter...

Bref je pense que je vais migrer vers une autre solution rapidement chez phpnet (ou pas...) ! D'autres ont eu le même souci ce week-end ? Quelles solutions avez-vous pris ??

++
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: thibaud le 08 juillet 2013 à 14:20:12
la faille présente sur certain compte l'autre fois a été corrigée et n'est plus exploitable....
Votre piratage n'est donc pas coté serveur cette fois-ci mais du coté applicatif.

Que vous soyez sur une offre X ou Y dans ce cas, cela ne changera rien...
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: jibeo le 08 juillet 2013 à 16:11:55
Je viens de me rendre compte que des sous domaines ont été crée dans cpanel sur l'ensemble de mes sites (pour du phishing)

Par exemple : system-resolution-center-paypal-cgi-bin.nazima98z4d98a7ze98az4d.draganmilenkovic.com.mondomaine.com

Alors comment expliquer qu'un hackers puissent pirater un Wordpress pour se retrouver à bidouiller sur Cpanel... j'avoue ne pas être un technicien réseau mais il y a des choses qui paraissent un petit peu logique tout de même ...
 :huh:
Titre: Re : Re : 5 sites hackés sur compte revendeur
Posté par: benbet le 09 juillet 2013 à 22:36:37
De plus je pense que les tâches CRON sont suspendues  (ne fonctionne plus donc ...)

Je viens de recevoir un mail auto comme de quoi mon backup cpanel via tâche cron a bien été effectué ... cela fait environ 3 semaines que les tâches cron ne fonctionnaient plus...

@Thibaut: vous avez modifié quelque chose à ce niveau ?
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: thibaud le 10 juillet 2013 à 08:43:05
Oui, cron n'a pas fonctionné entre l'incident du 30 juin et le 8 juillet.
Depuis cron fonctionne tout a fait normalement.
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: jibeo le 10 juillet 2013 à 08:53:28
Sinon les réponses ne sont réservées qu'à certains problèmes ?
Avez-vous lu mes posts aussi ?
Pourrais-je aussi avoir une réponse à me interrogations à défaut de solutions à mes problèmes ?
Titre: Re : Re : 5 sites hackés sur compte revendeur
Posté par: Krea3 le 10 juillet 2013 à 09:06:43
Sinon les réponses ne sont réservées qu'à certains problèmes ?

Selon mon experience de ces derniers mois, je serais tenté de te repondre Oui....
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: thibaud le 10 juillet 2013 à 14:37:51
Jibeo: vous avez eu une reponse hier par ticket.
Donc pour vous repondre, non le forum n'est toujours pas le support...
Titre: Re : 5 sites hackés sur compte revendeur
Posté par: jibeo le 10 juillet 2013 à 14:46:19
Ok, désolé, cela dit votre réponse sur le suport était une question et depuis j'ai répondu à vos interrogations par le support mais plus de nouvelles... vous y travaillez peut-être encore, mais en tout cas de mon côté les choses n'ont pas évoluées d'un iota et je n'ai pas plus d'infos sur ce qui se passe...