Que faire en cas de piratage Intermédiaire

Partager sur FacebookPartager sur TwitterPartager sur Google+

Que faire en cas de piratage


- Que faire en cas de piratage.

Depuis quelques temps, de plus en plus de membres rencontres des problèmes de "piratage" de leur forum. Voici donc un petit résumé de ce qu'il faut faire et vérifier si cela vous arrive.

1) Comment savoir que son forum a été piraté.

    A cette question je dirais que la réponse est assez simple, c'est souvent visuel. Vous aurez soit un message d'erreur de ce type:
    Code: Tout sélectionner
    [phpBB Debug] PHP Notice: in file /xxxx/yyyy.php on line 998: Cannot modify header information - headers already sent by (output started at /xxxxx/zzzz.php:1041)

    soit des publicités ou autres liens qui apparaissent sur les pages de votre forum.


2) Identifier les fichiers infectés.

    Ce genre de code est assez repérable dans le sens ou le nom du fichier incriminé est soit indiqué dans le message d'erreur que vous avez, soit identifiable en fonction de la page ou vous avez le lien.
    Le plus généralement, les codes sont situés soit sur les fichiers de template, souvent overall_footer.html, et sont situés après </html> c'est à dire en bas du fichier, voir les fichiers index.* ou bien les fichiers .js
    Voici un exemple de ce que vous pourriez trouver comme code d'infection:
    Code: Tout sélectionner
    <script>var B=RegExp;var k={j:17757};var z;this.EW="EW";this.oV='';var q=window;this.mu=31422;this.mu++;this.Lr=13864;this.Lr-=62;var c=document;var w=null...</script>


3) Quoi faire dans ce cas.


    b) Nettoyer les fichiers infectés
    Pour ce faire, vous pouvez utiliser des logiciels de comparaison de fichiers (notepad++, winmerge ou bien kdiff3) et comparer les fichiers index, les .js et fichiers de template avec ceux d'une archive d'origine si vous ne trouvez rien en bas de page. Cela vous permettra de trouver les différences et éventuellement le code d'infection.
    Pensez bien à supprimer tous les codes et à supprimer le cache de votre forum, avant de remettre les fichiers, il serait dommage d'avoir un fichier en cache infecté qui se propagerait de nouveau partout.

    c) Changer vos mots de passe
    Une fois que vous avez supprimé tous les codes, il vous faut penser à changer votre mot de passe FTP, voir le mot de passe administrateur et celui de la base de données. Pensez aussi à faire la modification dans votre config.php pour le mot de passe d'accès à la BDD.


4) Que faire si cela se reproduit.

    Si malgré les changement de mot de passe, le nettoyage de votre PC avec un antivirus, anti-spyware ou anti-malwares vous avez encore un soucis, la première chose à faire est d'essayer de contacter votre hébergeur afin de voir si il n'y aurait pas un problème sur un site qui serait hébergé sur le même serveur que vous (ceci étant valable pour les hébergement mutualisés).

    Si l'hébergeur ne note rien de particulier vous pouvez faire un rapport sur phpbb.com (et non pas phpbb-fr)
    Voici la procédure:
    My board has been hacked, what do I do?
    Please do the following before making any modifications to your board (this includes changing passwords, editing files, running the admin toolkit, etc.):
    1) Save a copy of the files (simply create a local copy of the files on the server).
    2) Save a copy of the database.
    3) Save the server access logs for the time of the hack (they may be available in the 'logs' directory on the server, in your host's control panel or only by request directly from your host).
    4) File a report in the incident tracker. Attach the items from steps 1-3 when you file the report or upload them to a secure location for the incident investigation team to download. Please do not start a new topic on the board, the proper place for incidents reports is the tracker.


    traduction
    Mon forum à été piraté, que faire ??
    La procédure suivante est à faire AVANT TOUTES MODIFICATIONS sur votre forum (y compris changement de mot de passe, édition de fichiers, utilisation du STK, etc.):
    1) Faites une copie des fichiers (Recopiez simplement tous les fichiers de votre serveur sur votre PC en local).
    2) Faites une copie de la base de données..
    3) Sauvez les logs du serveur (ils doivent être accessible dans le répertoire logs sur le serveur, dans votre panneau de contrôle de votre hébergement ou en demandant à votre hébergeur).
    4) Faites un rapport dans le bug tracker . Joignez ou mettez un lien où les informations récupérées lors des étapes 1 à 3 pourront être téléchargées par les équipes de phpbb. Merci de ne pas poster sur le forum de support dans ce cas, mais bien dans le "bug tracker".


5) Conclusion.

    Comme vous le voyez, le problème est souvent dû à des machines infectés indépendamment du serveur et non pas à phpBB directement ou le serveur hébergeant le forum. Soyez donc toujours attentif aux sites visités, aux alertes de votre antivirus et pensez à mettre régulièrement à jour vos base de signature de l'antivirus et aussi votre forum.

15/02/2014 - modifié par Geo pour convertir le sujet en article.
Avatar de l’utilisateur
lolovoisin
Rugbix ³
Rugbix ³
 
Rédigé le: 28 Mai 2010 à 12:18
Articles: 33
Noter cet article: 123456 Votants: Aucun
Mots-clés: Que, faire, en, cas, de, piratage

Retourner vers Sécurité