Demande de changement de serveur suite hack sur mon ftp

Discussion dans 'Hébergements Mutualisés' démarrée par Freddy.k, Nov 6, 2011.

  1. Freddy.k

    Freddy.k New Member

    Bonjour a tous voila j'ai fait une demande pour changer de serveur hier , mais toujours pas de réponse.
    voila en 6 mois 4 hacks injection dans la bd et vendredi un fichier index dans mon ftp

    le voila
    HTML:
    tml dir="rtl">
    
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
    <title>HaCkEd By Simo Gone</title>
    <meta name="keywords" content="HaCkEd By Simo Gone ">
    <meta name="description" content="HaCkEd By Simo Gone ">
    </head>
    
    <body bgcolor="#000000" background="http://fc07.deviantart.net/fs27/f/2009/246/0/f/Black_Wallpaper_2_by_shmithdark.jpg">
    
    <p align="center">&nbsp;</p>
    <p align="center"><b><span lang="en-us"><font color="#FFFFFF" size="5">HaCkEd By 
    Simo Gone&nbsp; </font></span></b></p>
    <h2>&nbsp;</h2>
    
    <p align="center"><font size="6" color="#FFFFFF">!!.::C-imO GoNe::.</font> </p>
    <p align="center">&nbsp;</p>
    <p align="center">&nbsp;</p>
    <p align="center"><font color="#FFFFFF" size="6">
    <span id="result_box" class lang="en"><span class="hps">Technical</span>
    <span class="hps">support is</span> <span class="hps">bad</span>
    <span class="hps">and there is</span> <span class="hps">protection</span>
    <span class="hps">for your site</span> <span class="hps">has been</span>
    
    <span class="hps">overcome</span> <span class="hps">by the</span>
    <span class="hps">protection</span> <span class="hps">of</span>
    <span class="hps">Uncle</span> <span class="hps">Simo Gone</span>
    <span class="hps">and fall</span> <span class="hps">protection and</span>
    <span class="hps">live</span> <span class="hps">Simo Gone</span></span></font></p>
    
    <p align="center"></p>
    <p align="center"><font color="#FF0000">
    <span style="font-weight: 700; background-color: #FFFF00">ByBy Admin + SorrY</span></font></p>
    <p align="center"><font -><b>
    <font face="Tahoma"><span style="background-color: rgb(0, 0, 0)"><embed src="http://www.youtube.com/v/hin2nrXA2IM&feature=related&autoplay=1&loop=5" type="application/x-shockwave-flash" wmode="transparent" width="1" height="1"></embed></span></font></b></font></p>
    
    </body>
    
    </html>
    
    voila mon site Tuto-logiciel-info

    je vous signale que suite a ses hacks j'ai tous perdu j'ai péter un câble et tous virer .

    voila la demande de ticket CYJ-765-48435

    salutation en attente d'une réponse
     
  2. PH-Saber

    PH-Saber Administrator Membre de l'équipe

    Bonjour,

    Merci d'avoir choisi PlanetHoster.

    Je regarde cela pour vous.

    Bonne journée à vous,
     
  3. jokteur

    jokteur New Member

    Bonjour
    Je suis actuellement hébergé sur le même serveur, et j'ai subit exactement le même hack. Au début, je croyais que c'était un problème de sécurité sur de mon site, mais j'ai été chercher plus loin, et j'ai vu que je n'étais pas le seul à m'être fait hacké.
    J'ai été fouiller dans les logs de mon site, et j'ai trouvé quelques infos intéressantes (grâce au referer):
    - Une page facebook, où des hackeurs postent leurs exploits (dont Simon Gone)
    - Une page qui liste de tous les sites internets hébergés sur ce même serveur avec les logins (sans mots de passe). Je pense qu'ils ont fait par brute force (bien que mon mdp ait 14 chiffres, lettres et caractères spéciaux)
    - Le hackeur qui a attaqué mon site internet s'est directement connecté au cPanel et a effacé tous mes fichiers

    J'ai un peu regardé la page facebook, et tous les sites que hackait Simon Gone sont hebergés sur le même serveur, ce qui veut dire que le problème vient de Planethoster, et non des hébergés.
    Salutations.

    Edit : Ma demande de ticket est SRG-166-55830
     
    Dernière édition: Nov 6, 2011
  4. PH-Saber

    PH-Saber Administrator Membre de l'équipe

    Bonjour,

    Merci pour votre retour,

    Le hack n'est aucunement relié aux serveurs de PlanetHoster. Si cela était le cas, tous les sites hébergés sur le serveur Beren seraient hackés (sans aucune exception). Or, ce que nous remarquons, c'est que ceux qui se font hackés utilisent souvent Wordpress ou Joomla. Souvent, ces versions ne sont pas à jour. Les hackeurs scannent donc tous les sites hébergés sur le même serveur et dès qu'ils détectent une faille sur un site (dû à wordpress ou joomla), ils le hackent.

    Pour corriger ce problème, assurez-vous de mettre à jour vos scripts (plugins, modules et templates compris) ainsi que de changer tous vos mots de passe (assurez-vous d'utiliser des mots de passe complexes). Vous pouvez également utiliser les sauvegardes R1SOFT pour restaurer votre compte avant le hack.

    Bonne journée à vous,
     
  5. Freddy.k

    Freddy.k New Member

    Bonjour

    oui mais justement je vient juste d’installer Woodpress et il est bien a jour , et avant mon forum vbulletin qui lui était aussi a jour .
    salutation
     
  6. PH-Saber

    PH-Saber Administrator Membre de l'équipe

    Bonjour,

    Merci pour votre retour,

    Les mots de passe utilisés sont-ils complexes svp ? Par exemple, un mix de lettres, de majuscules, de chiffres et de symboles ?

    Bonne journée à vous,
     
  7. jokteur

    jokteur New Member

    Je n'utilise ni joomla, ni wordpress ou autre CMS sur mon site internet.

    Le hackeur n'a même pas ouvert une url sur mon site, il s'est directement connecté au cPanel (d'après les logs).

    Voilà ce qui s'est passé ces derniers jours :
    - 25 octobre : mon site est hacké, index.php est remplacé. Je renforce la sécurité de mon site web (firewall php, .htaccess plus stricte, recontrôle de mon code) , je change tous mes mots de passe (SQL, ftp et cPanel). Et je remets le site en ordre
    - 2 novembre : un nouveau hack du site, par une autre personne. Cette fois, le hackeur a supprimé tous les fichiers présents dans public_html et changé les mots de passe. Bien que j'aie changé mes mots de passe quelques jours auparavant, le hackeur s'est à nouveau connecté directement au cPanel (sans passer par le site internet).

    Edit : Je viens de voir que j'ai eu une réponse au ticket, je vais aller voir tout de suite. Je reste sur ce topic pour savoir comment le hackeur a finalement réussi et comment éviter (mon mdp fait plus de 13 caractères, mélangeant chiffres et lettres ; cela représente 100 milliards de possibilités différentes ; le site est sécurisé contre les failles includes, XSS, CSRF ; un pare-feu est installé).
     
    Dernière édition: Nov 6, 2011
  8. pierre_kuhn

    pierre_kuhn New Member

    Est tu code mets ton mot de passe en clair dans la base ? comment 'écris tu ? simple, complexe ?
     
  9. jokteur

    jokteur New Member

    Tous les mdp des membres sont cryptés à sens unique dans la base de donnée.
    Tout ce que je sais, c'est que le hackeur n'a pas utilisé de failles XSS via GET ou POST(ce qui serait visible dans les logs), ni de faille include pour récupérer les mots de passe.

    En tout cas, je vous remercie pour votre rapidité de réponse.
     
  10. Freddy.k

    Freddy.k New Member

    re oui se sont les pass que vous m'avait fourni a l'ouverture du ftp

    bonne journée
     
  11. PH-Saber

    PH-Saber Administrator Membre de l'équipe

    Bonjour,

    Merci pour votre retour à tous, nous vérifions ceci en détails. Ce qui est certain, c'est que le serveur où vous êtes localisé est très bien protégé. Les attaques visent directement les scripts utilisés.

    Bonne journée à vous,
     
  12. Freddy.k

    Freddy.k New Member

    La réponse est facile un hébergeur ne va pas dire que son serveur n'est pas sécurise ,mais pour woordpress il est a jour et non modifier ;alors dite moi comment ils ont fait pour m'envoyer un fichier index sur mon ftp , chez mon ancien hébergeur je n'ai jamais était hacker , et la en un ans 4 fois .
    bonne soirée
     
  13. PH-Saber

    PH-Saber Administrator Membre de l'équipe

    Bonjour,

    Nous avons augmenté la sécurité de votre compte, si le problème se reproduit, svp, alertez-moi directement: saber@planethoster.info , je vais immédiatement analyser les logs pour vous.

    Bonne journée à vous,
     
  14. Freddy.k

    Freddy.k New Member

    je vous remercie bonne nuit
     
  15. jokteur

    jokteur New Member

    Bonjour.
    J'aimerais aussi savoir comment le(s) hackeur(s) se sont directement introduit sur mon site. Sachant que j'ai eu deux hack, un le 25 octobre et un autre le 2 novembre (je possède encore les logs).
     
  16. PH-Saber

    PH-Saber Administrator Membre de l'équipe

    Bonjour,

    Merci pour votre retour, pourriez-vous svp me parvenir les logs par courriel au saber@planethoster.info ?

    Bonne journée à vous,
     

Partager cette page