Bonjour,
 
Mon site a été hacké cet après midi par un certain  DZ-Z3R0 (je précise que ce n'est pas un cms, ni un forum, mais une boutique développée par une agence)
 
Le type a effacé les fichiers présents dans le rep www/web bizarrement pas le .htaccess
 
Depuis bien que ma base de donnée soit intègre, je n'y ai plus accès via mon back office (par phpmyadmin oui par contre).
 
Mes questions :  
 
1- Les logs ne faisant rien apparaitre de particulier à quel autre endroit puis-je chercher ?
2- Malgré le .htaccess est-ce valable de mettre un fichier html "bidon" dans tous les dossier ?
 
Merci

2- Malgré le .htaccess est-ce valable de mettre un fichier html "bidon" dans tous les dossier ?  
 
Je sais pas ce que tu veux dire par là mais si tu insinues que c'est une manière de mieux protéger ton site => Non.
 
Tu as du avoir une grosse faille dans ton site pour que le mec arrive a accéder a ton FTP
 
Pour les pistes de recherche, les logs Apache devraient t'afficher les requêtes faites et devraient te donner des indications pour trouver la faille (si tu commences a voir des requêtes HTTP avec des trucs genre UNION SELECT xxx, bingo)

A priori le gars n'est pas passé par le ftp (ce que me dit mon hébergeur).
 
Dans les logs, je n'ai rien vu de suspect si ce n'est une IP localisée au Maroc durant l'attaque et le fait que le dossier d'admin ait été "listé"...

Comme ça difficile à dire .. elle fesait quoi cette IP du maroc?
Sinon c'est un serveur dédié? T'es sur que tout le système est sécurisé?

Salut esox_ch !
Je suis sur un dédié mais mon second site n'a pas été impacté.
 
Voici la ligne des logs  
 

D'accord mais c'est la seule ligne que t'as eu ??

Alors ceci c'est mes logs récupérés du ftp (dans le fichier errors)  
 
Voilà la liste complète désolé c'est imbuvable :  
 

 
Pour info backup.php n'existe pas...
Merci

La ligne 63 pour quelle soit visible j'ai remplacé http par hachetétépé...
 

ça c'est les logs de ton FTP ? Pas de ton HTTP?
Regarde le access.log pour voir où il est allé après

Désolé mais où est-ce que je trouve ça ?

Demande à l'admin qui s'occupe de ton dédié

Ok merci !

Voici deux lignes de ce que j'ai pu récolter de chez mon hébergeur :
 

 
Quelqu'un sait-il à quoi cela correspond et ce qu'il a exploité comme faille ?  
Concrètement, à qui incombe la faute : hébergeur ou dev ?
Que faut-il faire ?
 
Merci

 
Visiblement il s'est servi de backup.php pour lister le contenu de certains dossiers. Probablement il a eu accès a des fichiers sensibles par ce moyen.
 

 
Les C99 / R57 sont des "shell" qui servent a obtenir un accès complet à un serveur juste en exécutant un seul fichier. Ils existent sous différentes formes: php, perl ...  
 
Pour utiliser ces scripts, il faut parvenir à les uploader puis a les exécuter. Une fois cela fait, le pirate aura accès à ta machine même si tu fixes la faille de base. De mémoire, la version php du C99 content les fichiers pl (encodés dans le script en base 64) ce qui m'amène à penser que la seule grosse faille de ton site, c'est que le pirate aie pu uploader un fichier php sur ton serveur.
 
Si c'est le cas (et pour ma part je ne vois pas d'autres hypothèses possible surtout que d'après toi il n'a pas accédé au FTP) tu dois avoir un formulaire d'upload mal sécurisé quelque part qui a permis l'upload de ce .php et ce .php a créé le c99sh_backconn.pl.
 
Et donc la faute est celle des développeurs à 100%

Ok super et merci pour ces infos !  
 
J'ai une question cependant : le fichier backup.php n'existe pas, concrètement il n'est pas présent sur le ftp : est-ce qu'il peut avoir été crée (uploadé) par le pirate puis supprimé ensuite ?
 
Cette attaque était-elle destinée à mon site ou ma machine ou est-ce une attaque visant à exploiter ce type de failles sur de multiples sites ?
 
Merci

J'ai une question cependant : le fichier backup.php n'existe pas, concrètement il n'est pas présent sur le ftp : est-ce qu'il peut avoir été crée (uploadé) par le pirate puis supprimé ensuite ?

Tout a l'heure je te parlais du script PHP "C99" que le pirate a probablement utilisé pour hacker ton site. Voici les paramètres qui ont été utilisés en exécutant backup.php:

?act=ls&d=%2Fhome%2F#######%2Fwww%2Fweb%2F/&sort=

C'est marrant parce que pour avoir utilisé le C99 (mais a des fins légales moi ) je suis 99.9% certain que ce script prend exactement les mêmes paramètres. Tu vois ou je veux en venir ?

Après réflexion, voici ce qui s'est passé sur ton serveur:

- Le pirate a découvert une faille dans un formulaire d'upload de ton site. Il a uploadé le script shell "C99" sur ton serveur en le nommant backup.php
- Il a ensuite exécuté le backup.php pour effacer tes fichiers et réécrire tes pages avec un gros "Hacked by"
- Enfin, et pour rester discret, il a effacé le backup.php qui lui a servi a hacker ton site.
- Il a également utilisé la fonction "Bind" du script C99, ce qui explique la présence des fichiers .pl sur ton serveur.

Donc pour sécuriser ton site, il te faut:

- Tuer toutes les instances de Perl ou du moins celles qui exécutent les "c99-xxx.pl" pour enlever la backdoor que le pirate a peut être mis sur ton serveur.
- Effacer les .pl
- Vérifier que le backup.php aie bien été effacé et non simplement renommé / déplacé
- Fixer la faille d'upload pour pas qu'un autre pirate vienne lui aussi refoutre la merde

Pour ce qui est de ton attaque, si les développeurs ont bien développé un site unique pour toi, il est plus que probable que le pirate n'a exploité la faille que pour ton site. En revanche si ces mêmes développeurs t'ont installé un script publique, alors là c'est juste du deface en masse, à savoir que le pirate cherche ce type de script et s'amuse à pourrir les sites qui l'utilisent

Moi dans un cas comme ça, je re-installe le serveur.
Qui sait combien de backdoors il a pu laisser. Perso je prend pas le risque

Ouai, m'enfin faut quand même localiser le problème avant hein.
Sinon réinstaller c'est useless !

Tout à fait. Mais WiiDS semble dire qu'il suffi de boucher les trous pour pouvoir repartir comme avant, alors que moi je dis que c'est pas le cas

Après relecture, je trouve ma réponse étrange... Mais sinon, oui t'as raison. Alors +1 pour la forme.
 
Bon allez, j'arrête là les posts qui servent à rien.

Bon j'essaie de continuer à comprendre...
 

Non pas du tout    
 

Comment repérer ce fichier ? Simplement par ftp en vérifiant la date d'ajout/modif du fichier ?
 

Tu veux dire on formatte tout le truc et on réinstalle l'OS ?
Ben là mon hébergeur il va me faire payer tout ça !