Demande de changement de serveur suite hack sur mon ftp

Freddy.k

New Member
#1
Bonjour a tous voila j'ai fait une demande pour changer de serveur hier , mais toujours pas de réponse.
voila en 6 mois 4 hacks injection dans la bd et vendredi un fichier index dans mon ftp

le voila
HTML:
tml dir="rtl">

<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>HaCkEd By Simo Gone</title>
<meta name="keywords" content="HaCkEd By Simo Gone ">
<meta name="description" content="HaCkEd By Simo Gone ">
</head>

<body bgcolor="#000000" background="http://fc07.deviantart.net/fs27/f/2009/246/0/f/Black_Wallpaper_2_by_shmithdark.jpg">

<p align="center">&nbsp;</p>
<p align="center"><b><span lang="en-us"><font color="#FFFFFF" size="5">HaCkEd By 
Simo Gone&nbsp; </font></span></b></p>
<h2>&nbsp;</h2>

<p align="center"><font size="6" color="#FFFFFF">!!.::C-imO GoNe::.</font> </p>
<p align="center">&nbsp;</p>
<p align="center">&nbsp;</p>
<p align="center"><font color="#FFFFFF" size="6">
<span id="result_box" class lang="en"><span class="hps">Technical</span>
<span class="hps">support is</span> <span class="hps">bad</span>
<span class="hps">and there is</span> <span class="hps">protection</span>
<span class="hps">for your site</span> <span class="hps">has been</span>

<span class="hps">overcome</span> <span class="hps">by the</span>
<span class="hps">protection</span> <span class="hps">of</span>
<span class="hps">Uncle</span> <span class="hps">Simo Gone</span>
<span class="hps">and fall</span> <span class="hps">protection and</span>
<span class="hps">live</span> <span class="hps">Simo Gone</span></span></font></p>

<p align="center"></p>
<p align="center"><font color="#FF0000">
<span style="font-weight: 700; background-color: #FFFF00">ByBy Admin + SorrY</span></font></p>
<p align="center"><font -><b>
<font face="Tahoma"><span style="background-color: rgb(0, 0, 0)"><embed src="http://www.youtube.com/v/hin2nrXA2IM&feature=related&autoplay=1&loop=5" type="application/x-shockwave-flash" wmode="transparent" width="1" height="1"></embed></span></font></b></font></p>

</body>

</html>
voila mon site Tuto-logiciel-info

je vous signale que suite a ses hacks j'ai tous perdu j'ai péter un câble et tous virer .

voila la demande de ticket CYJ-765-48435

salutation en attente d'une réponse
 

PH-CTO

Administrator
Membre du personnel
#2
Bonjour a tous voila j'ai fait une demande pour changer de serveur hier , mais toujours pas de réponse.
voila en 6 mois 4 hacks injection dans la bd et vendredi un fichier index dans mon ftp

le voila
HTML:
tml dir="rtl">

<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>HaCkEd By Simo Gone</title>
<meta name="keywords" content="HaCkEd By Simo Gone ">
<meta name="description" content="HaCkEd By Simo Gone ">
</head>

<body bgcolor="#000000" background="http://fc07.deviantart.net/fs27/f/2009/246/0/f/Black_Wallpaper_2_by_shmithdark.jpg">

<p align="center">&nbsp;</p>
<p align="center"><b><span lang="en-us"><font color="#FFFFFF" size="5">HaCkEd By 
Simo Gone&nbsp; </font></span></b></p>
<h2>&nbsp;</h2>

<p align="center"><font size="6" color="#FFFFFF">!!.::C-imO GoNe::.</font> </p>
<p align="center">&nbsp;</p>
<p align="center">&nbsp;</p>
<p align="center"><font color="#FFFFFF" size="6">
<span id="result_box" class lang="en"><span class="hps">Technical</span>
<span class="hps">support is</span> <span class="hps">bad</span>
<span class="hps">and there is</span> <span class="hps">protection</span>
<span class="hps">for your site</span> <span class="hps">has been</span>

<span class="hps">overcome</span> <span class="hps">by the</span>
<span class="hps">protection</span> <span class="hps">of</span>
<span class="hps">Uncle</span> <span class="hps">Simo Gone</span>
<span class="hps">and fall</span> <span class="hps">protection and</span>
<span class="hps">live</span> <span class="hps">Simo Gone</span></span></font></p>

<p align="center"></p>
<p align="center"><font color="#FF0000">
<span style="font-weight: 700; background-color: #FFFF00">ByBy Admin + SorrY</span></font></p>
<p align="center"><font -><b>
<font face="Tahoma"><span style="background-color: rgb(0, 0, 0)"><embed src="http://www.youtube.com/v/hin2nrXA2IM&feature=related&autoplay=1&loop=5" type="application/x-shockwave-flash" wmode="transparent" width="1" height="1"></embed></span></font></b></font></p>

</body>

</html>
voila mon site Tuto-logiciel-info

je vous signale que suite a ses hacks j'ai tous perdu j'ai péter un câble et tous virer .

voila la demande de ticket CYJ-765-48435

salutation en attente d'une réponse
Bonjour,

Merci d'avoir choisi PlanetHoster.

Je regarde cela pour vous.

Bonne journée à vous,
 

jokteur

New Member
#3
Bonjour
Je suis actuellement hébergé sur le même serveur, et j'ai subit exactement le même hack. Au début, je croyais que c'était un problème de sécurité sur de mon site, mais j'ai été chercher plus loin, et j'ai vu que je n'étais pas le seul à m'être fait hacké.
J'ai été fouiller dans les logs de mon site, et j'ai trouvé quelques infos intéressantes (grâce au referer):
- Une page facebook, où des hackeurs postent leurs exploits (dont Simon Gone)
- Une page qui liste de tous les sites internets hébergés sur ce même serveur avec les logins (sans mots de passe). Je pense qu'ils ont fait par brute force (bien que mon mdp ait 14 chiffres, lettres et caractères spéciaux)
- Le hackeur qui a attaqué mon site internet s'est directement connecté au cPanel et a effacé tous mes fichiers

J'ai un peu regardé la page facebook, et tous les sites que hackait Simon Gone sont hebergés sur le même serveur, ce qui veut dire que le problème vient de Planethoster, et non des hébergés.
Salutations.

Edit : Ma demande de ticket est SRG-166-55830
 
Dernière édition:

PH-CTO

Administrator
Membre du personnel
#4
Bonjour
Je suis actuellement hébergé sur le même serveur, et j'ai subit exactement le même hack. Au début, je croyais que c'était un problème de sécurité sur de mon site, mais j'ai été chercher plus loin, et j'ai vu que je n'étais pas le seul à m'être fait hacké.
J'ai été fouiller dans les logs de mon site, et j'ai trouvé quelques infos intéressantes (grâce au referer):
- Une page facebook, où des hackeurs postent leurs exploits (dont Simon Gone)
- Une page qui liste de tous les sites internets hébergés sur ce même serveur avec les logins (sans mots de passe). Je pense qu'ils ont fait par brute force (bien que mon mdp ait 14 chiffres, lettres et caractères spéciaux)
- Le hackeur qui a attaqué mon site internet s'est directement connecté au cPanel et a effacé tous mes fichiers

J'ai un peu regardé la page facebook, et tous les sites que hackait Simon Gone sont hebergés sur le même serveur, ce qui veut dire que le problème vient de Planethoster, et non des hébergés.
Salutations.

Edit : Ma demande de ticket est SRG-166-55830
Bonjour,

Merci pour votre retour,

Le hack n'est aucunement relié aux serveurs de PlanetHoster. Si cela était le cas, tous les sites hébergés sur le serveur Beren seraient hackés (sans aucune exception). Or, ce que nous remarquons, c'est que ceux qui se font hackés utilisent souvent Wordpress ou Joomla. Souvent, ces versions ne sont pas à jour. Les hackeurs scannent donc tous les sites hébergés sur le même serveur et dès qu'ils détectent une faille sur un site (dû à wordpress ou joomla), ils le hackent.

Pour corriger ce problème, assurez-vous de mettre à jour vos scripts (plugins, modules et templates compris) ainsi que de changer tous vos mots de passe (assurez-vous d'utiliser des mots de passe complexes). Vous pouvez également utiliser les sauvegardes R1SOFT pour restaurer votre compte avant le hack.

Bonne journée à vous,
 

Freddy.k

New Member
#5
Bonjour

oui mais justement je vient juste d’installer Woodpress et il est bien a jour , et avant mon forum vbulletin qui lui était aussi a jour .
salutation
 

PH-CTO

Administrator
Membre du personnel
#6
Bonjour,

Merci pour votre retour,

Les mots de passe utilisés sont-ils complexes svp ? Par exemple, un mix de lettres, de majuscules, de chiffres et de symboles ?

Bonne journée à vous,
 

jokteur

New Member
#7
Je n'utilise ni joomla, ni wordpress ou autre CMS sur mon site internet.

Le hackeur n'a même pas ouvert une url sur mon site, il s'est directement connecté au cPanel (d'après les logs).

Voilà ce qui s'est passé ces derniers jours :
- 25 octobre : mon site est hacké, index.php est remplacé. Je renforce la sécurité de mon site web (firewall php, .htaccess plus stricte, recontrôle de mon code) , je change tous mes mots de passe (SQL, ftp et cPanel). Et je remets le site en ordre
- 2 novembre : un nouveau hack du site, par une autre personne. Cette fois, le hackeur a supprimé tous les fichiers présents dans public_html et changé les mots de passe. Bien que j'aie changé mes mots de passe quelques jours auparavant, le hackeur s'est à nouveau connecté directement au cPanel (sans passer par le site internet).

Edit : Je viens de voir que j'ai eu une réponse au ticket, je vais aller voir tout de suite. Je reste sur ce topic pour savoir comment le hackeur a finalement réussi et comment éviter (mon mdp fait plus de 13 caractères, mélangeant chiffres et lettres ; cela représente 100 milliards de possibilités différentes ; le site est sécurisé contre les failles includes, XSS, CSRF ; un pare-feu est installé).
 
Dernière édition:

pierre_kuhn

Active Member
#8
Est tu code mets ton mot de passe en clair dans la base ? comment 'écris tu ? simple, complexe ?
 

jokteur

New Member
#9
Est tu code mets ton mot de passe en clair dans la base ? comment 'écris tu ? simple, complexe ?
Tous les mdp des membres sont cryptés à sens unique dans la base de donnée.
Tout ce que je sais, c'est que le hackeur n'a pas utilisé de failles XSS via GET ou POST(ce qui serait visible dans les logs), ni de faille include pour récupérer les mots de passe.

En tout cas, je vous remercie pour votre rapidité de réponse.
 

Freddy.k

New Member
#10
Bonjour,

Merci pour votre retour,

Les mots de passe utilisés sont-ils complexes svp ? Par exemple, un mix de lettres, de majuscules, de chiffres et de symboles ?

Bonne journée à vous,
re oui se sont les pass que vous m'avait fourni a l'ouverture du ftp

bonne journée
 

PH-CTO

Administrator
Membre du personnel
#11
Bonjour,

Merci pour votre retour à tous, nous vérifions ceci en détails. Ce qui est certain, c'est que le serveur où vous êtes localisé est très bien protégé. Les attaques visent directement les scripts utilisés.

Bonne journée à vous,
 

Freddy.k

New Member
#12
La réponse est facile un hébergeur ne va pas dire que son serveur n'est pas sécurise ,mais pour woordpress il est a jour et non modifier ;alors dite moi comment ils ont fait pour m'envoyer un fichier index sur mon ftp , chez mon ancien hébergeur je n'ai jamais était hacker , et la en un ans 4 fois .
bonne soirée
 

PH-CTO

Administrator
Membre du personnel
#13
La réponse est facile un hébergeur ne va pas dire que son serveur n'est pas sécurise ,mais pour woordpress il est a jour et non modifier ;alors dite moi comment ils ont fait pour m'envoyer un fichier index sur mon ftp , chez mon ancien hébergeur je n'ai jamais était hacker , et la en un ans 4 fois .
bonne soirée
Bonjour,

Nous avons augmenté la sécurité de votre compte, si le problème se reproduit, svp, alertez-moi directement: [email protected] , je vais immédiatement analyser les logs pour vous.

Bonne journée à vous,
 

jokteur

New Member
#15
Bonjour.
J'aimerais aussi savoir comment le(s) hackeur(s) se sont directement introduit sur mon site. Sachant que j'ai eu deux hack, un le 25 octobre et un autre le 2 novembre (je possède encore les logs).
 

PH-CTO

Administrator
Membre du personnel
#16
Bonjour.
J'aimerais aussi savoir comment le(s) hackeur(s) se sont directement introduit sur mon site. Sachant que j'ai eu deux hack, un le 25 octobre et un autre le 2 novembre (je possède encore les logs).
Bonjour,

Merci pour votre retour, pourriez-vous svp me parvenir les logs par courriel au [email protected] ?

Bonne journée à vous,
 
Haut