disparition de tous mes fichiers sur serveur 1and1 : piratage ?

disparition de tous mes fichiers sur serveur 1and1 : piratage ? - Hébergement - Réseaux grand public / SoHo

Marsh Posté le 24-07-2010 à 18:30:07    

Bonjour à tous.
 
Ce matin, vers 10h00 j'ai remarqué que l'un des sites que j'héberge chez 1and1 n'était pas disponible. :sweat:  
Après une rapide vérification, je remarque que tous le contenu du FTP à été effacé. :??:  
Il ne me reste que les fichiers de LOG(que je peux publier ici si cela peux aider)
 
Pensez-vous que j'ai pu être piraté ? :fou:  
 
J'ai envoyé un mail au service technique, mais je ne pense pas avoir de réponse avant lundi  :??:  
 
 
Merci pour vos commentaires

Reply

Marsh Posté le 24-07-2010 à 18:30:07   

Reply

Marsh Posté le 24-07-2010 à 19:33:08    

Regarde les logs Apache et FTP (si dispo).


---------------
http://www.aideinfo.com/  Whois adresses IP/domaines le plus évolué !!  FAQ Free Mobile
Reply

Marsh Posté le 24-07-2010 à 20:44:21    

Bonsoir, et merci de m'apporter de l'aide.
 
Voici un extrait du fichier ftp.log :
 

Code :
  1. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:36 +0200] "PASS (hidden)" 230 -
  2. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:36 +0200] "CWD /marcels/pages" 250 -
  3. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:37 +0200] "PWD" 257 -
  4. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:37 +0200] "TYPE A" 200 -
  5. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:37 +0200] "PASV" 227 -
  6. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:01:38 +0200] "RETR evenements.php" 226 13917
  7. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:02:28 +0200] "PASV" 227 -
  8. 90.13.32.121 UNKNOWN u39318690 [23/Jul/2010:09:02:29 +0200] "STOR evenements.php" 226 13968
  9. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:17:29 +0200] "PASS (hidden)" 230 -
  10. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:17:29 +0200] "TYPE I" 200 -
  11. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:17:29 +0200] "FEAT" 211 -
  12. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:34 +0200] "NOOP" 200 -
  13. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:34 +0200] "NOOP" 200 -
  14. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:34 +0200] "PASV" 227 -
  15. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "PASS (hidden)" 230 -
  16. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "TYPE I" 200 -
  17. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "FEAT" 211 -
  18. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "SYST" 215 -
  19. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "RETR /logs/mail.log.27.gz" 226 1116
  20. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "NOOP" 200 -
  21. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:35 +0200] "NOOP" 200 -
  22. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:18:42 +0200] "NOOP" 200 -
  23. 212.227.112.228 UNKNOWN tmp39318690-7078 [24/Jul/2010:10:20:23 +0200] "PASS (hidden)" 230 -
  24. 212.227.112.228 UNKNOWN tmp39318690-7078 [24/Jul/2010:10:20:23 +0200] "TYPE I" 200 -
  25. 212.227.112.228 UNKNOWN tmp39318690-7078 [24/Jul/2010:10:20:23 +0200] "PASV" 227 -
  26. 212.227.112.228 UNKNOWN tmp39318690-7078 [24/Jul/2010:10:20:23 +0200] "LIST /" 226 199
  27. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:26:25 +0200] "NOOP" 200 -
  28. 81.56.159.120 UNKNOWN u39318690 [24/Jul/2010:10:26:25 +0200] "NOOP" 200 -


 
et maintenant un extrait du fichier acces.log.29.6
 

Code :
  1. 207.46.199.44 - - [24/Jul/2010:13:15:11 +0200] "GET /robots.txt HTTP/1.1" 404 823 les-marcels.org "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "-"
  2. 207.46.199.44 - - [24/Jul/2010:13:17:27 +0200] "GET / HTTP/1.1" 404 823 les-marcels.org "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "-"
  3. 77.88.29.246 - - [24/Jul/2010:13:31:25 +0200] "GET /product_info.php?products_id=44&osCsid=3312479f091a26add188775924059b87 HTTP/1.1" 404 823 www.laboutiquedujouet.fr "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" "-"
  4. 67.195.37.170 - - [24/Jul/2010:13:41:26 +0200] "GET /liens.php HTTP/1.0" 404 823 www.ram-morteau.fr "-" "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)" "-"
  5. 77.88.29.246 - - [24/Jul/2010:13:41:49 +0200] "GET /histoire.php HTTP/1.1" 404 823 www.ram-morteau.fr "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" "-"
  6. 66.249.66.52 - - [24/Jul/2010:13:49:54 +0200] "GET /links.php?lng=fr HTTP/1.1" 404 823 www.les-marcels.org "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
  7. 66.199.254.189 - - [24/Jul/2010:13:50:32 +0200] "GET /images/googlec6cda4208668c8.php HTTP/1.0" 404 823 www.laboutiquedujouet.fr "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.7) Gecko/20100713 Firefox/3.6.7 ( .NET CLR 3.5.30729)" "-"
  8. 95.211.27.179 - - [24/Jul/2010:13:50:32 +0200] "GET /favicon.ico HTTP/1.0" 404 823 www.laboutiquedujouet.fr "-" "-" "-"
  9. 217.67.145.200 - - [24/Jul/2010:13:50:43 +0200] "GET / HTTP/1.1" 404 823 www.les-marcels.org "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.5; .NET CLR 1.1.4322; .NET CLR 2.0.50727; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; InfoPath.1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; AskTB5.6)" "-"
  10. 91.188.59.89 - - [24/Jul/2010:13:57:01 +0200] "GET /images/googlec6cda4208668c8.php HTTP/1.1" 404 823 www.laboutiquedujouet.fr "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "-"
  11. 216.129.119.41 - - [24/Jul/2010:14:05:32 +0200] "GET /robots.txt HTTP/1.1" 404 823 www.les-marcels.org "-" "Mozilla/5.0 (Twiceler-0.9 http://www.cuil.com/twiceler/robot.html)" "-"
  12. 86.210.228.85 - - [24/Jul/2010:14:08:57 +0200] "GET / HTTP/1.1" 404 823 www.france-remorques.fr "http://search.ke.voila.fr/S/orange?rtype=kw&bhv=web_fr&kw=+&profil=orange&rdata=remorque" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30618; Orange 8.0)" "-"
  13. 86.210.228.85 - - [24/Jul/2010:14:09:21 +0200] "GET / HTTP/1.1" 404 823 www.france-remorques.fr "http://search.ke.voila.fr/S/orange?rtype=kw&bhv=web_fr&kw=+&a


 
Je précise que IP : 90.13.32.121 est celle d'une machine sur laquelle j'ai fait une MAJ hier matin, et que l' IP : 81.56.159.120 est la mienne (fixe)
 
Qu'en pensez vous, quelque chose d'anormal ? un indice ?


Message édité par samaudio le 24-07-2010 à 21:00:05
Reply

Marsh Posté le 25-07-2010 à 18:56:13    

1/ 1et1 ne répondra sans doute jamais à ton mail
2/ vérifies aussi si ta base sql a été éffacée...


Message édité par Sgt Sharp le 25-07-2010 à 18:56:27
Reply

Marsh Posté le 25-07-2010 à 19:25:05    

Bonsoir,
 
En effet, 1and1 prend son temps pour répondre ...
Mes Bases SQL sont toujours présentes et visiblement OK, c'est déjà ca  ...
 
A suivre

Reply

Marsh Posté le 26-07-2010 à 19:10:31    

Bonsoir,
 
J'ai eut l'hébergeur au téléphone sans difficulté ce matin.
 
Ils ne savent pas pourquoi j'ai tout perdu, le technicien ( ? ) me conseille de regarder du coté des fichiers de LOG, défois que je n'y ai pas pensé ...
 
Cependant, en insistant un poil, il a accepté de faire une restauration, sous 24/48h.
Ce n'est pas bien rapide, mais c'est mieux que de tous perdre !
 
Morale de l'histoire : faire soit même des back-up !
 
@+

Reply

Marsh Posté le 29-07-2010 à 22:28:45    

Hello !
 
Ca y est, out est revenu en ordre, mais je ne sais toujours pas ce qui s'est bien passé ...
 

Reply

Marsh Posté le 30-07-2010 à 20:14:56    

Ca y est, ca a à nouveau sauté !
 
Tout à à nouveau été supprimé :-(
 
C'est visiblement une faille de sécurité qui a été exploitée sur un site réalisé à partir d'un CMS ( Guppy).
J'ai patché, j'espère que ca va tenir...

Reply

Marsh Posté le 30-07-2010 à 21:38:12    

Premières choses à faire quand un mec rentre dans ton compte :
 
1/ changer tes mots de passe ftp, sql, et applis php (forum, cms...)
2/ vérifier tes logs éventuels notamment forum pour voir si un mec a essayé d'accéder à l'interface admin (ip etc)
3/ voir qui pourrait t'en vouloir, un visiteur, un concurrent, un mec de ton staff (modérateur etc)
4/ comparer les dernières connexions de tes membres avec l'heure de suppression de tes fichiers, voir si certains correspondent, genre si le mec fait ça à 4h du mat ce sera vite visible
5/ effectivement tout mettre à jour


Message édité par Sgt Sharp le 30-07-2010 à 21:39:26
Reply

Marsh Posté le 30-07-2010 à 21:44:21    

Et vérifier que ta version sauvegardée ne soit pas corrompue ! Si ça a recommencé il y a bien une raison !


---------------
Un proverbe chinois dit que lorsqu'on a rien à dire d'intéressant, on cite généralement un proverbe chinois.
Reply

Marsh Posté le 30-07-2010 à 21:44:21   

Reply

Marsh Posté le 01-08-2010 à 11:33:41    

Bonjour à tous !
 
J'ai remarqué (gràce à l'aide du technicien de l'hébergeur) des injections de scripts dans un dossier IMAGES d'un site réalisé avec OSCommerce.
 
Je me suis retrouvé avec 3 fichiers PHP qui n'avaient rien à y faire.
J'ai bien sur changé tous les mots de passe, et je relis la FAQ d' OSCOMMERCE pour éviter que cela ne revienne.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed