Boutique victime d'un Hacker

[Pascale]

Bonsoir,

Je ne sais pas si je suis au bon endroit... Excusez-moi si ce n'est pas le cas.
J'ai déjà fait un post sur ce sujet en anglais, mais je n'ai pas eu beaucoup de succès.

Ma boutique de T-shirts vient de se faire pirater : www.beauluxe-bike.com

Je ne suis pas développeur, et en tant que graphiste, il est vrai que, jusqu'à présent, je me suis plus préoccupée de fonctionnalité et d'apparence que de sécurité... manque d'expérience direz-vous? Vous avez raison!
J'ai beaucoup lu cet après-midi pour essayer de combler mes lacunes (j'ai une autre boutique : www.ellakare.com, et je voudrais éviter que ça arrive de nouveau).

En attendant, que faire : tout effacer et recommencer à zéro, ou y-a-t-il un moyen de "sauver les meubles"?

Merci d'avance,

Bonne soirée,

Pascale

[Olecorre]

Bonsoir,

Il faut regarder le ftp si les fichiers PS sont encore présents et la base de données si elle est aussi toucher.

cdt

[samsab]

ben oui. quel est l'état des lieux?
a t il mis un simple index.htm, ou bien a t il tout flingué?

qui peux nous dire comment ces gars font pour avoir l'accés au ftp? un mot de passe et un login sont quand même pas si simple à trouver?
A vous lire

[yaya]

Bonjour,

moi j'ai eu ce même problème sur un site, et ceci est dû pour ma part a filezilla .... car il garde les password en cache.

[Pascale]

Bonjour,

Merci pour vos réponses.
Je viens d'avoir un message de mon hébergeur qui me dit la chose suivante :

"Merci d'avoir choisi PlanetHoster pour vos solutions d'hébergement web. Un technicien a fait le nécessaire. Une faille se trouvait au niveau des permissions de votre compte. Notre équipe technique a immédiatement corrigé ce problème. Vos données n'ont pas été infiltrées, seulement, les fichiers "index*.php ,html ou autre" ont été affectés. Pour corriger ce problème, nous vous invitons à restaurer ces fichiers. Si vous n'avez pas de sauvegardes, nous vous invitons à nous le signaler et nous ferons le nécessaire."

Voilà... ça n'a pas l'air trop trop grave.
Par contre, je ne comprend pas trop si la faille vient de chez eux, ou si c'est moi qui aurais dû faire le nécessaire au niveau des permissions de mon compte.
En tous cas je me suis informée sur comment renforcer la sécurité de ma boutique et je vais faire ce qu'il faut...mieux vaut tard que jamais!

Bonne journée à tous

Pascale

[jeckyl]

Salut,

Ici on remarque le professionnalisme de planethoster, mais après, comme tu le soulève, quel était le problème réel ?

Tu devrais leur demander de t'expliquer la faille rencontrée je penses que Saber te répondra.

[Oron]

Bonjour

Le dossier et fichier du compte en chmod 777 ?
Qui permets a tout un chacun de voir lire et écrire !!
Les dossiers à ne pas montrer aux visiteurs ils ont un index.php qui renvois à la page d'accueil ou un fichier .htaccess ?
A vérifier tous ça.

Et ne mettez pas des dossiers en 777 si l'hébergement n'en demande pas la nécessité.
quand vous installez prestashop et que tout est coché vert à la deuxième étape nul besoin de mettre un chmod manuellement. Par contre vérifiez le chmod mis par le serveur.

[Pascale]

Bonjour à tous,

Voici la réponse de Planet Hoster :
"La plupart des comptes compromis sont dû à une vulnérabilité de commande à distance d'intrusion au sein d'une application Web existante. Cette question a probablement été le résultat d'une mauvaise manipulation ou le manque de sécurité de la part d'un ou plusieurs comptes d'utilisateurs, y compris les communes ou les mots de passe faibles, des permissions non sécurisées sur les fichiers de configuration (ce qui permet l'accès en lecture dans le monde), et d'autres facteurs. S'il vous plaît assurez-vous que les mesures suivantes sont prises pour aider à prévenir les intrusions sur votre compte:
- Procéder à une vérification complète de votre compte et applications. Veiller à ce que l'ensemble du contenu disponible a été mis à la disposition que par vous-même et que toute information, y compris les demandes d'identification de connexion qui ne correspondent pas sont supprimés.
- Les scripts PHP devrait être chmod 600 à tout de moins. Les scripts PHP qui contiennent des informations importantes, telles que MySQL informations de connexion de base de données devrait être chmod 400. Par défaut, ces fichiers sont susceptibles en chmod 644 ce qui permettra un accès global en lecture au fichier par n'importe quel utilisateur sur le système.
- Toutes les applications qui se connectent à la base de données MySQL devrait le faire avec leurs propres identifiants de base de données individuelles de connexion MySQL. Utiliser un utilisateur et mot de passe pour une base de données. Vous devriez aussi éviter d'utiliser votre nom d'utilisateur et mot de passe du cPanel pour ces applications mais d'en créer des nouveaux.
- Les mots de passe devraient être de 16 + caractères et contenir une casse mixte de lettres et de chiffres et doit être modifié sur une base régulière (deux fois par mois à tout le moins). Un mot de passe ne devrait jamais être utilisée pour plus d'un service.
- Tout script en PHP, Perl et autres applications web devrait être mis à jour à tout moment. Abonnez-vous aux fournisseurs de logiciels de sécurité ou mettre à jour les notifications par email. Si une application n'est plus requise ou en cours d'utilisation, l'enlever complètement. La désactivation de l'application n'est pas toujours un feu moyen sûr de rejeter les tentatives d'intrusion.
Si vous avez des difficultés à vous souvenir de vos mots de passe, nous vous invitons svp à consulter ce logiciel que je trouve très utile pour générer des mots de passe et et les garder en sureté: http://keepass.sourceforge.net"

Pardon, c'est un peu long mais ça peut toujours servir à quelqu'un.
En tous cas, merci pour vos réponses et commentaires.

Cordialement,

Pascale

[GillesNew]

Bonjour Pascale

j'ai eu la même désaventure que la tienne il y a queques jours et j'ai ouvert le Post suivant :

http://www.prestashop.com/forums/viewthread/40867/discussion_generale/tentative_de_piratage__petits_conseils

Je pense que tes hackers ont du (si le cas et similaire au mien) modifier TOUS les index de ton site ?
Soit tu as une sauvegarde complète (ce que je ne faisais pas jusqu'à présent et que propose Planet Hoster sur le CPANEL, soit tu reparts des index.php que tu trouveras sur une appli installé en local par exemple (une nouvelle installation de Prestashop).

Avec 2 h de boulot, tout devrait rentrer dans l'ordre...

[Olecorre]

Attention, il y a un virus qui se ballade et vous êtes vulnérable si vous utiliser le logiciel ftp filezilla ! le virus se connecte sur les sites et modifies tous les fichiers index.php.

Cdt

[easybizness]

Salut,

J'ai eu le meme probleme avec mon site hébergé sous planethoster il y a peu de temps.

Planethoster est super pro et répond très vite.

C'était EXACTEMENT le même hack et les réponses de planethoster étaient un peu flous.

je pense qu'il y a une faille chez planethoster (ou qu'il y a eu) car apparemment ce hacker s'amuse surtout sur les hébergements de planethoster.

Le hackeur remplace tous les fichiers index de ton site (des qu'il y a index dans le nom d'un fichier il est infecté) d'ou le message qui s'affiche. Tu peux régler le prob simplement en remettant TOUT les fichiers avec index dedans. Tu peux aussi simplement regarder le fichier index.php de l'accueil du site.

Regardes sa date de modification et son poids. TOUS tes fichiers modifiés à la meme date et de même poids sont à remplacés.

Moi, comme j'avais une sauvegarde récente j'ai juste remplacer tout mon site par ma sauvegarde.

P.S: Si la faille existe ou existait chez planethoster, rien à dire c'est un super hébergeur.

[Pascale]

Merci pour tous vos conseils.

Finalement j'ai demandé à Planet Hoster de formater mon espace car j'avais un problème que je n'arrivais pas à résoudre : je ne pouvais pas créer de nouveaux comptes clients.
J'ai fait un post en anglais à ce sujet, mais personne n'a vraiment trouvé la solution et on m'a dit que c'était sûrement un problème de base de données. Comme en local ça fonctionne très bien, j'ai "profité" de ce piratage pour tout effacer et repartir sur de bonnes bases.

Par rapport au post d'Oron, ou trouve-t-on le chmod mis par le serveur?

Merci!

ps : je confirme, Planet Hoster est très pro et très réactif!

[Oron]

Bonjour

Perso je loue un service Revendeur d'hébergement internet avec gestion whm, cpannel et cie..
donc je m'occupe pas du système d'exploitation du serveur, et tous les dossiers et fichiers ont automatiquement le bon chmod, je suppose que c'est au niveau de apache ou de la configuration serveur.

Aucun problème pour installer les scripts, programmes etc..

[Captain FLAM]

Bonjour à tous,

Je suis programmeur indépendant.

J'ai mis récemment en place une solution anti-piratage
pour les sites web de mes clients qui pourrait vous intéresser ...

Appelez-moi :

Sur Skype : captain_flam_88

Cordialement.