Victime d'un piratage de Site de Vente en Ligne - Sécurité - Windows & Software
MarshPosté le 20-06-2009 à 23:57:50
Bonjour amis HFRiens
Alors voila, j'essaye de vous exposer le soucis le plus précisément et le plus concisément possible :
Mon père tient une PME dans la connectique, 4 agences, ca tourne bien.
Mais modernisme oblige, il a développé un site de vente en ligne, basé sur Oscommerce.
Ce site est donc hébergé chez OVH, avec 2 noms de domaines ratachés, un .fr et un .net
Depuis peu, il a développé un deuxieme site de vente en ligne, mais cette fois dédié uniquement à la vidéo surveillance.
Il l'a hébergé également chez OVH, sur un deuxieme hébergement.
Et encore un .fr différent rataché à ce nouveau site.
Donc je récapitule : - 2 sites distincts sur 2 hébergements distincts. Mais les 2 sites sont composés du même ensemble de scripts php.
Depuis début Juin, il est victime d'un piratage. Dans tous les fichiers comportant "index" dans leur nom, une ligne s'est retrouvé par ci par là, une fois à la ligne 60 une fois à la ligne 20, aléatoirement, comportement les balises HTML <iframe>, quelque chose ressemblant à :
(ceci est juste à titre d'exemple, je n'ai plus la ligne exacte en mémoire)
La conséquence de ces fichiers modifiés rend tout simplement le site non fonctionnel (il n'affiche plus rien à part une ligne d'erreur).
Ceci est plutôt TRES ennuyeux pour des professionnels... J'ai tout d'abord conseiller à mon padre de ne plus toucher à son site à partir de son boulot (je ne suis pas confiant de la sécurité locale qu'ils ont) mais d'y toucher que depuis son PC Portable (donc j'ai moi même fait l'installation et la configuration de NOD32, etc). Puis suivant les conseils d'OVH on a changé les mdp et emails de connexion aux FTP et à l'interface OVH. On est resté 1 semaines tranquille environ (exploit sachant qu'avant ceci, le site était "repiraté" toutes les 12h environ). Puis là, hier, BIM, les fichiers se sont retrouvés modifiés, avec en plus un _index.html apparu à la racin de /www/ ... Donc là j'ai tenté de regarder les logs de connexions FTP, j'ai , comme je m'y attendais, trouver différentes adresses IP, jamais la meme, chaque piratage provenait d'une IP différente. J'ai tout de meme fait un traceroute, je suis tombé un peu partout à la surface du globe, un peu aux USA, un peu en allemagne, un peu en italie... Donc proxy ou ip spoofing là dessous...
Je refait un point :
Connexion uniquement depuis 1 seul PC sécurisé.
Logins et Passwords OVH et FTP modifiés, ainsi qu'adresses e-mail rattachées.
1 semaine sans soucis, puis repiratage.
Jamais la meme IP dans les logs FTP.
IPs n'aboutissant à rien de concret.
Alors c'est dans le plus grand désarroi que je fais appel à vous... Dans l'idéal, il faudrait pouvoir localiser la faille, si elle provient du site web, dans les scripts PHP ou Javascript, ou bien s'il s'agit d'un virus ayant infectés les différents PCs... (Sachant qu'a chaque piratage mon pere rechange les logins/MDP/emails...) Et biensur la corriger.
Je remercie mille fois d'avance ceux qui voudront bien m'aider.
PS : l'url du site pourrait peut-être utile -> www [dot] derotronic [dot] fr (le site principal, l'autre attendra )
Marsh Posté le 20-06-2009 à 23:57:50
Bonjour amis HFRiens
Alors voila, j'essaye de vous exposer le soucis le plus précisément et le plus concisément possible :
Donc je récapitule :
- 2 sites distincts sur 2 hébergements distincts. Mais les 2 sites sont composés du même ensemble de scripts php.
Depuis début Juin, il est victime d'un piratage.
Dans tous les fichiers comportant "index" dans leur nom, une ligne s'est retrouvé par ci par là, une fois à la ligne 60 une fois à la ligne 20, aléatoirement, comportement les balises HTML <iframe>, quelque chose ressemblant à :
(ceci est juste à titre d'exemple, je n'ai plus la ligne exacte en mémoire)
La conséquence de ces fichiers modifiés rend tout simplement le site non fonctionnel (il n'affiche plus rien à part une ligne d'erreur).
Ceci est plutôt TRES ennuyeux pour des professionnels... J'ai tout d'abord conseiller à mon padre de ne plus toucher à son site à partir de son boulot (je ne suis pas confiant de la sécurité locale qu'ils ont) mais d'y toucher que depuis son PC Portable (donc j'ai moi même fait l'installation et la configuration de NOD32, etc). Puis suivant les conseils d'OVH on a changé les mdp et emails de connexion aux FTP et à l'interface OVH.
On est resté 1 semaines tranquille environ (exploit sachant qu'avant ceci, le site était "repiraté" toutes les 12h environ).
Puis là, hier, BIM, les fichiers se sont retrouvés modifiés, avec en plus un _index.html apparu à la racin de /www/ ...
Donc là j'ai tenté de regarder les logs de connexions FTP, j'ai , comme je m'y attendais, trouver différentes adresses IP, jamais la meme, chaque piratage provenait d'une IP différente.
J'ai tout de meme fait un traceroute, je suis tombé un peu partout à la surface du globe, un peu aux USA, un peu en allemagne, un peu en italie... Donc proxy ou ip spoofing là dessous...
Je refait un point :
Alors c'est dans le plus grand désarroi que je fais appel à vous...
Dans l'idéal, il faudrait pouvoir localiser la faille, si elle provient du site web, dans les scripts PHP ou Javascript, ou bien s'il s'agit d'un virus ayant infectés les différents PCs... (Sachant qu'a chaque piratage mon pere rechange les logins/MDP/emails...)
Et biensur la corriger.
Je remercie mille fois d'avance ceux qui voudront bien m'aider.
PS : l'url du site pourrait peut-être utile -> www [dot] derotronic [dot] fr (le site principal, l'autre attendra )
Message édité par mayo__ le 21-06-2009 à 00:03:33
---------------
Achats/Ventes / Feedback (+3200 €)