Phishing sur mon site... Fichier impressionnant à décrypter

Ce forum aborde toutes les questions qu'un codeur ou webmaster pourrait se poser, et n'ayant aucun rapport direct avec phpBB.
Tout ce qui peut concerner la récupération des sessions de phpBB sur votre site, doit se faire dans cette section.

Modérateur: Equipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com

Phishing sur mon site... Fichier impressionnant à décrypter

Messagepar Magelis » 05 Sep 2009 à 16:02

Bonjour,

Le sujet peut paraître trouble mais je vais m'expliquer...

Il se trouve que mon site s'est fait hacker... Les pirates se sont servis de mon site pour faire du phishing (paypal). Alerté dans un premier temps par mon hébergeur, celui-ci a fermé mon site jusqu'à ce que j'intervienne...

Après des mises à jour de sécurité sur le forum phpBB (ainsi que l'installation de la dernière version), je me suis cru en sécurité...

Mais chaque jour, de nouveaux fichiers réapparaissaient et le phishing recommençait. J'ai même été contacté par le Certa (http://www.certa.ssi.gouv.fr/), qui m'a alors conseillé de porter plainte.
Bien que cela ne serve à rien, je l'ai fait....

Le lendemain, rebelote... De nouveaux fichiers... Marre de les supprimer mais étant impuissant, je ne pouvait rien faire d'autre... Par ailleurs, la ressemblance de leur site avec le site Paypal était réellement frappante...
J'ai récupéré leurs fichiers, repérant bien les liens grâce auxquels les formulaires transmettaient les données enregistrées à des adresses mails...

Ce coup-ci, j'ai averti l'OCLCTIC (http://www.interieur.gouv.fr/sections/c ... riminalite).

Et c'est alors que j'ai trouvé un fichier suspect, au milieu d'un de mes dossiers, sur le ftp... En m'y rendant par mon navigateur, quelle surprise... Une sorte de formulaire complexe, difficile à déchiffrer pour moi, en tout cas... Mais il semblait donner accès à mon ftp sans avoir besoin de connaître toutes les données...
J'ai bien récupéré le fichier sur mon DD mais j'ai bien été incapable d'en déchiffrer tout le cheminement.

Par simple curiosité, j'aurais aimé qu'un des spécialiste de ce forum y jette un oeil, histoire de me dire si c'était bien la clef de l'entrée du ftp...

En tout cas, merci pour votre forum qui m'a permis de ne pas trop me sentir seul devant cette attaque...
Magelis
Posteur néophyte
Posteur néophyte
 
Messages: 16
Enregistré le: 09 Nov 2005 à 15:49

Re: Phishing sur mon site... Fichier impressionnant à décrypter

Messagepar lolovoisin » 05 Sep 2009 à 16:31

bonjour,
et bien passez moi le fichier par MP.
Je verrais avec l'équipe des codeurs si ils peuvent vous en dire plus ou pas. :wink:
Ceux qui échouent trouvent des excuses, ceux qui réussissent trouvent les moyens
Quand un homme a faim, mieux vaut lui apprendre à pêcher que de lui donner un poisson.
PAS DE SUPPORT PAR MP !!

tutophpbb3 + astuce + tutos debian
Avatar de l’utilisateur
lolovoisin
Rugbix ³
Rugbix ³
 
Messages: 39786
Enregistré le: 04 Mai 2006 à 13:16
Localisation: Dans la BDD ...

Re: Phishing sur mon site... Fichier impressionnant à décrypter

Messagepar micka76 » 05 Sep 2009 à 17:33

Salut,

Pourait tu me dire quels sont les format des fichiers s'il te plais
il me semble que je subit la même chose en ce moment,je vient d'aller voir mon FTP et j'ai 4000 fichiers qui n'ont rien a faire la :shock: :shock: :shock: :shock:

A bientôt... :wink:
Voici un bon site sur l'aquariophilie ==> http://www.aquadebutant.com
Si à la Saint Valentin tu me tiens la main, vivement la Sainte Marguerite que tu me tienne la ....!!! :mrgreen:
Avatar de l’utilisateur
micka76
Graphiste
Graphiste
 
Messages: 8730
Enregistré le: 04 Oct 2007 à 12:14
Localisation: Bah entre toi et ta f.... !!!

Re: Phishing sur mon site... Fichier impressionnant à décrypter

Messagepar lolovoisin » 05 Sep 2009 à 17:38

Bon oui je confirme c'est bien un script à la con qui permet de récupérer des infos, donc virez le de votre serveur, et changez TOUS vos mots de passes car là ils ne sont plus fiables du tout.
Ceux qui échouent trouvent des excuses, ceux qui réussissent trouvent les moyens
Quand un homme a faim, mieux vaut lui apprendre à pêcher que de lui donner un poisson.
PAS DE SUPPORT PAR MP !!

tutophpbb3 + astuce + tutos debian
Avatar de l’utilisateur
lolovoisin
Rugbix ³
Rugbix ³
 
Messages: 39786
Enregistré le: 04 Mai 2006 à 13:16
Localisation: Dans la BDD ...

Re: Phishing sur mon site... Fichier impressionnant à décrypter

Messagepar Magelis » 05 Sep 2009 à 17:48

Merci...

Micka, pour info, le fichier s'appelait cv.php...

Je n'ai plus d'attaque depuis que j'ai viré ce fichier et changé tous mes mots de passe...

Mort aux hackeurs... :evil:
Magelis
Posteur néophyte
Posteur néophyte
 
Messages: 16
Enregistré le: 09 Nov 2005 à 15:49

Re: Phishing sur mon site... Fichier impressionnant à décrypter

Messagepar micka76 » 05 Sep 2009 à 18:04

Re,

Et ce fichiers ce trouvait ou ?
a la racine du forum ou planquer dans un de tes dossiers

A bientôt... :wink:
Voici un bon site sur l'aquariophilie ==> http://www.aquadebutant.com
Si à la Saint Valentin tu me tiens la main, vivement la Sainte Marguerite que tu me tienne la ....!!! :mrgreen:
Avatar de l’utilisateur
micka76
Graphiste
Graphiste
 
Messages: 8730
Enregistré le: 04 Oct 2007 à 12:14
Localisation: Bah entre toi et ta f.... !!!

Re: Phishing sur mon site... Fichier impressionnant à décrypter

Messagepar Magelis » 05 Sep 2009 à 18:23

Il était planqué dans un des dossiers...
En fait, je pense que la première intrusion est due à une faille de phpBB car les premiers dossiers touchés ont été ceux du forum...

Le fichier en question a été placé dans un dossier du ftp qui n'avait rien à voir avec le forum, d'où mon manque d'attention...

En fait, si tu n'as pas de changement trop régulier dans ton ftp, aide toi des dates de modification des fichiers...
Ah ! et surtout, vérifie bien que ton client ftp affiche les fichiers cachés... parce que la plupart l'étaient...

Bon courage ! Mais surtout, n'hésite pas, selon la gravité des faits, à porter plainte ou à contacter l'OCLCTIC...
Magelis
Posteur néophyte
Posteur néophyte
 
Messages: 16
Enregistré le: 09 Nov 2005 à 15:49


Retourner vers Coding, Webmastering et Sécurité informatique

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 6 invités