NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
30 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 108 406 331
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Résolu] - site npds hacké
[Résolu] - site npds hacké#14787
11Contributeur(s)
3 Modérateur(s)
Anonyme
Bonjour,
Je suis chez l'hébergeur www.Oxito.fr
Même problème en allant sur mon site Npds, le message "this site is defaced" :-|
Même problème en allant sur mes bases de données avec PhpMyAdmin.
Par contre, mon autre site qui n'utilise pas de base de données fonctionne toujours.
Cela s'est passé hier en fin de journée. J'étais sur mon site, çà marchait, je pars diner, je reviens sur mon site 20mn après et c'est l'apparission du message "this site is defaced".
J'ai contacté Oxito qui m'a dit
"Bonjour
Pour l'accès par phpmyadmin, le problème a été résolu. Pour le problème sur certaines de vos pages, elles ont été hacké car avaient des droits trop permissifs.
Meilleures salutations"
En effet, le PhpMyAdmin fonctionne à nouveau mais pas mon site.
Je suis débutant dans la matière. J'ai utilisé les CHMOD comme indiqué dans les tuto. Est ce que cela permet quand même à des hacker d'agir ?
Plusieurs clients d'Oxito se sont plein de la même chose en même temps sur le forum d'Oxito.
Un client d'Oxito a mis sur le forum d'Oxito qu'Oxito avait dit qu'il changerait de version de PhpMyAdmin fin décembre.
Pensez vous que ce changement de version peut être à l'origine de ce problème ?
Apparemment l'hébergeur Oxyd (dont le nom ressemble beaucoup à mon hébergeur ! ) de Florian-w changeait également de version.
Grosses coïncidences quand même !!!! :D
Je suis chez l'hébergeur www.Oxito.fr
Même problème en allant sur mon site Npds, le message "this site is defaced" :-|
Même problème en allant sur mes bases de données avec PhpMyAdmin.
Par contre, mon autre site qui n'utilise pas de base de données fonctionne toujours.
Cela s'est passé hier en fin de journée. J'étais sur mon site, çà marchait, je pars diner, je reviens sur mon site 20mn après et c'est l'apparission du message "this site is defaced".
J'ai contacté Oxito qui m'a dit
"Bonjour
Pour l'accès par phpmyadmin, le problème a été résolu. Pour le problème sur certaines de vos pages, elles ont été hacké car avaient des droits trop permissifs.
Meilleures salutations"
En effet, le PhpMyAdmin fonctionne à nouveau mais pas mon site.
Je suis débutant dans la matière. J'ai utilisé les CHMOD comme indiqué dans les tuto. Est ce que cela permet quand même à des hacker d'agir ?
Plusieurs clients d'Oxito se sont plein de la même chose en même temps sur le forum d'Oxito.
Un client d'Oxito a mis sur le forum d'Oxito qu'Oxito avait dit qu'il changerait de version de PhpMyAdmin fin décembre.
Pensez vous que ce changement de version peut être à l'origine de ce problème ?
Apparemment l'hébergeur Oxyd (dont le nom ressemble beaucoup à mon hébergeur ! ) de Florian-w changeait également de version.
Grosses coïncidences quand même !!!! :D
developpeur
- phpMyAdmin à effectivement corriger une faille importante récement.
- les tutos indique des chmods qui sont assez sécuritaires :
CHMOD 777 sur les répertoires (indispensable mais non directement dangereux)
CHMOD 766 sur les fichiers devant être écrit par NPDS (c'est la suel solution)
CHMOD 744 sur le reste
Tous les sites chez oxito sont des NPDS ?
A suivre
- les tutos indique des chmods qui sont assez sécuritaires :
CHMOD 777 sur les répertoires (indispensable mais non directement dangereux)
CHMOD 766 sur les fichiers devant être écrit par NPDS (c'est la suel solution)
CHMOD 744 sur le reste
Tous les sites chez oxito sont des NPDS ?
A suivre
developpeur
florian-w : c'est une page html qui est incluse je dirais.
Les logs ne montre que le site adopoemes et rien d'anormal (mais ce n'est pas un NPDS) ?
Les logs ne montre que le site adopoemes et rien d'anormal (mais ce n'est pas un NPDS) ?
developpeur
attention aussi à des trojans / psyware sur vos machines perso ... le dernier hack d'un site NPDS a été réalisé avec ce type d'outil (et non pas via une faille).
A Suivre
A Suivre
leloup31X
salut florian-w
Je viens de faire un tour sur ton site.
En affichant le code source de ta page d'accueil, voila ce que le début me donne:
En cliquant sur "livre d'or" (qui est une encapsulation, le message This site is defaced!!! s'affiche en plein centre de ta page. A verifier ;)
Bon courage et tiens nous au courant.
Je viens de faire un tour sur ton site.
En affichant le code source de ta page d'accueil, voila ce que le début me donne:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Club de Tir L. Uselding, Habay</title>
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>This site is defaced!!!</TITLE>
</HEAD><BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR>
<ADDRESS><b>NeverEverNoSanity WebWorm generation 10.</b></ADDRESS>
</BODY></HTML>
<LINK REL="StyleSheet" HREF="themes/XBlue/style/style.css" TYPE="text/css">
<style type="text/css">@import !url(!"themes/XBlue/style/style.css"); </style><SCRIPT type="text/!javascript!" language="!javascript!">
<!--
function showimage() {
if (!document.images)
return
document.images.avatar.src=
'images/forum/avatar/' + document.Register.user_avatar.options[document.Register.user_avatar.selectedIndex].value
}
//-->
En cliquant sur "livre d'or" (qui est une encapsulation, le message This site is defaced!!! s'affiche en plein centre de ta page. A verifier ;)
Bon courage et tiens nous au courant.
Message édité par : leloup31
isalome
Réponse d'Oxito :
Oxito nous a même donné le n° IP du Hacker
Bref, après avoir fait le point avec mes collègues qui travaillent sur ces problèmes depuis l'aube, la situation est la suivante :
- Seuls les fichiers avec un droit 777 ont été touchés.
- Seuls les fichiers qui appartiennent au user oxito-oxito sur Apache ont été touchés, par exemple les stats et l'accès phpmyadmin.
=> Comme vous le voyez, seulement certains sites, voire certaines pages de certains sites ont été touchés.
Les bases de données n'ont pas été touchées.
CONSEIL : Il faut absolument modifier les droits des fichiers 777 en 644.
(pour ceux qui maîtrise, il faut éviter 777, 773, 772 et 776).
Oxito nous a même donné le n° IP du Hacker
isalome
Oxito a donné des infos sur le hacker.
Un client d'Oxito a donné le liens web suivant qui parle de ce hacker :
http://www.secuser.com/alertes/2004/santy.htm
Un client d'Oxito a donné le liens web suivant qui parle de ce hacker :
http://www.secuser.com/alertes/2004/santy.htm
florian-w
bonjour,
j'ai enfin réussi à réparer mon site (comme de quoi les backups c'est pas fait pour les chiens lol). Pour ceux à qui le même pb est arrivé, il faut vérifier tous les fichiers dont la taille est égale à 270. Ils sont tous vérolés.
Merci à tous pour vos réponses très constructives et surtout pour votre aide précieuse et que ce désagrément ne nous empêche pas de passer un Joyeux Noel :=!
j'ai enfin réussi à réparer mon site (comme de quoi les backups c'est pas fait pour les chiens lol). Pour ceux à qui le même pb est arrivé, il faut vérifier tous les fichiers dont la taille est égale à 270. Ils sont tous vérolés.
Merci à tous pour vos réponses très constructives et surtout pour votre aide précieuse et que ce désagrément ne nous empêche pas de passer un Joyeux Noel :=!
developpeur
effectivement :
"Santy.A
Santy.A est un ver qui cible uniquement les sites web hébergeant un forum phpBB. Si ce dernier n'est pas à jour, le ver infecte le site web en exploitant une vulnérabilité critique récemment divulguée, puis remplace sa page d'accueil par un message "This site is defaced!!!" en rouge sur fond noir, empêchant ses visiteurs d'y accéder. Les internautes visiteurs ne sont pas affectés par ce ver, qui automatise le piratage de sites web"
Affaire classeé pour moi et pour NPDS
"Santy.A
Santy.A est un ver qui cible uniquement les sites web hébergeant un forum phpBB. Si ce dernier n'est pas à jour, le ver infecte le site web en exploitant une vulnérabilité critique récemment divulguée, puis remplace sa page d'accueil par un message "This site is defaced!!!" en rouge sur fond noir, empêchant ses visiteurs d'y accéder. Les internautes visiteurs ne sont pas affectés par ce ver, qui automatise le piratage de sites web"
Affaire classeé pour moi et pour NPDS
leloup31X
Ce que je ne comprend pas, c'est qu'apparement florian-w n'utilise pas phpBB mais le forum de base npds.
Anonyme
je comprends ce que tu veux dire : c'est à cause des forum Phpbb non mise à jours des autres clients d'Oxito que le virus s'est propagé sur les sites des autres clients.
Pas cool, il suffit donc d'un seul client pour contaminé le reste. :paf :paf
Pas cool, il suffit donc d'un seul client pour contaminé le reste. :paf :paf
isalome
Je vais réinstaller Narval complètement mais pouvez vous me dire dans quels répertoires je peux récupérer mes articles, mes news,... ?
A moins que tout cela soit mis dans la base de donnée (qui, elle, n'a normalement pas subi de dommage) ?
Est ce qu'en réinstallant avec l'installation automatique, mes données de la base de données seront écrasées ?
Merci par avance
A moins que tout cela soit mis dans la base de donnée (qui, elle, n'a normalement pas subi de dommage) ?
Est ce qu'en réinstallant avec l'installation automatique, mes données de la base de données seront écrasées ?
Merci par avance
florian-w
tu peux réinstaller sans problème, tes articles sont dans la base de données. Le seul risque c'est que si tu as modifié des scripts, les modifs sont perdues à moins que tu n'ait un backup de tes fichiers.
Bon courage
PS. fait qd meme une sauvegarde de ta base de données à tout hasard
Bon courage
PS. fait qd meme une sauvegarde de ta base de données à tout hasard
Message édité par : florian-w