Que faire en cas de piratage
Rédigé le: 28 Mai 2010 à 12:18
- Que faire en cas de piratage.
Depuis quelques temps, de plus en plus de membres rencontres des problèmes de "piratage" de leur forum. Voici donc un petit résumé de ce qu'il faut faire et vérifier si cela vous arrive.
1) Comment savoir que son forum a été piraté.
2) Identifier les fichiers infectés.
3) Quoi faire dans ce cas.
4) Que faire si cela se reproduit.
5) Conclusion.
Depuis quelques temps, de plus en plus de membres rencontres des problèmes de "piratage" de leur forum. Voici donc un petit résumé de ce qu'il faut faire et vérifier si cela vous arrive.
1) Comment savoir que son forum a été piraté.
- A cette question je dirais que la réponse est assez simple, c'est souvent visuel. Vous aurez soit un message d'erreur de ce type:
- Code: Tout sélectionner
[phpBB Debug] PHP Notice: in file /xxxx/yyyy.php on line 998: Cannot modify header information - headers already sent by (output started at /xxxxx/zzzz.php:1041)
soit des publicités ou autres liens qui apparaissent sur les pages de votre forum.
2) Identifier les fichiers infectés.
- Ce genre de code est assez repérable dans le sens ou le nom du fichier incriminé est soit indiqué dans le message d'erreur que vous avez, soit identifiable en fonction de la page ou vous avez le lien.
- Code: Tout sélectionner
<script>var B=RegExp;var k={j:17757};var z;this.EW="EW";this.oV='';var q=window;this.mu=31422;this.mu++;this.Lr=13864;this.Lr-=62;var c=document;var w=null...</script>
Le plus généralement, les codes sont situés soit sur les fichiers de template, souvent overall_footer.html, et sont situés après </html> c'est à dire en bas du fichier, voir les fichiers index.* ou bien les fichiers .js
Voici un exemple de ce que vous pourriez trouver comme code d'infection:
3) Quoi faire dans ce cas.
- a) Nettoyer votre PC
Vous allez me dire, quel rapport entre mon forum sur un serveur infecté et ma machine chez moi ?
Et bien c'est souvent de là que viens le problème.
Voici quelque liens et explication (merci à Pete Parker pour ces liens):
http://forum.malekal.com/hack-web-site- ... 22837.html
http://www.microsoft.com/security/porta ... 2FDaurso.A
http://blog.unmaskparasites.com/2009/09 ... passwords/
Pour résumer, disons qu'un ver ou un virus peut récupérer vos mots de passe FTP et avoir accès à vos fichiers, notamment si vous enregistrez vos mots de passe sous Filezilla, ces derniers étant enregistré en clair sur votre machine (voir dernier lien ci-dessus)
Voici aussi quelque conseils pour nettoyer votre PC:
http://forum.ovh.com/showthread.php?t=49433
- b) Nettoyer les fichiers infectés
Pour ce faire, vous pouvez utiliser des logiciels de comparaison de fichiers (notepad++, winmerge ou bien kdiff3) et comparer les fichiers index, les .js et fichiers de template avec ceux d'une archive d'origine si vous ne trouvez rien en bas de page. Cela vous permettra de trouver les différences et éventuellement le code d'infection.
Pensez bien à supprimer tous les codes et à supprimer le cache de votre forum, avant de remettre les fichiers, il serait dommage d'avoir un fichier en cache infecté qui se propagerait de nouveau partout.
- c) Changer vos mots de passe
Une fois que vous avez supprimé tous les codes, il vous faut penser à changer votre mot de passe FTP, voir le mot de passe administrateur et celui de la base de données. Pensez aussi à faire la modification dans votre config.php pour le mot de passe d'accès à la BDD.
4) Que faire si cela se reproduit.
- Si malgré les changement de mot de passe, le nettoyage de votre PC avec un antivirus, anti-spyware ou anti-malwares vous avez encore un soucis, la première chose à faire est d'essayer de contacter votre hébergeur afin de voir si il n'y aurait pas un problème sur un site qui serait hébergé sur le même serveur que vous (ceci étant valable pour les hébergement mutualisés).
Si l'hébergeur ne note rien de particulier vous pouvez faire un rapport sur phpbb.com (et non pas phpbb-fr)
Voici la procédure:
My board has been hacked, what do I do?
Please do the following before making any modifications to your board (this includes changing passwords, editing files, running the admin toolkit, etc.):
1) Save a copy of the files (simply create a local copy of the files on the server).
2) Save a copy of the database.
3) Save the server access logs for the time of the hack (they may be available in the 'logs' directory on the server, in your host's control panel or only by request directly from your host).
4) File a report in the incident tracker. Attach the items from steps 1-3 when you file the report or upload them to a secure location for the incident investigation team to download. Please do not start a new topic on the board, the proper place for incidents reports is the tracker.
traduction
Mon forum à été piraté, que faire ??
La procédure suivante est à faire AVANT TOUTES MODIFICATIONS sur votre forum (y compris changement de mot de passe, édition de fichiers, utilisation du STK, etc.):
1) Faites une copie des fichiers (Recopiez simplement tous les fichiers de votre serveur sur votre PC en local).
2) Faites une copie de la base de données..
3) Sauvez les logs du serveur (ils doivent être accessible dans le répertoire logs sur le serveur, dans votre panneau de contrôle de votre hébergement ou en demandant à votre hébergeur).
4) Faites un rapport dans le bug tracker . Joignez ou mettez un lien où les informations récupérées lors des étapes 1 à 3 pourront être téléchargées par les équipes de phpbb. Merci de ne pas poster sur le forum de support dans ce cas, mais bien dans le "bug tracker".
5) Conclusion.
- Comme vous le voyez, le problème est souvent dû à des machines infectés indépendamment du serveur et non pas à phpBB directement ou le serveur hébergeant le forum. Soyez donc toujours attentif aux sites visités, aux alertes de votre antivirus et pensez à mettre régulièrement à jour vos base de signature de l'antivirus et aussi votre forum.