Recent files
[réglé?]Attaque pirate sous OVH
pas vraiment un bogue
Aujourdh'ui on ne pouvait plus accéder sur mon site.
Un pirate avait fait un CHMOD (700 au lieu de 705) de la racine ftp www.
Il avait remplacé l'index et placé sa signature dans un fichier html.
Savez vous si l'on peut empêcher ce type de bêtise ?
pourquoi les 2 commentaires sont devenus illisibles dans ce post ?
mon hébergeur OVH, vient de m'envoyer le mail suivant:
Nous nous permettons de vous envoyer ce mail car nous avons reçu des plaintes
ces dernières 24 heures concernant des emails non sollicités envoyés depuis votre
hébergement associé au domaine sangliervolant.net.
--- Le problème rencontré :
7 plaintes pour SPAM en moins de 24H
--- Les mesures mises en place :
En résumé : Blocage de vos envois d'emails
Face à ce problème, OVH a été contrainte de bloquer l'envoi d'emails
depuis votre hébergement pour éviter tout risque de représailles (blacklistage)
de la part des autres prestataires Internet.
--- Qui a porté plainte ?
En résumé : Les plaintes sont anonymes
Malheureusement, nous ne sommes pas informés des adresses ayant porté
plainte contre vos messages, aussi nos services ne sont pas en mesure de
vous en fournir la liste.
--- Pourquoi ces mesures ?
Nous vous rappelons que l'envoi de mails non sollicités est interdit
dans nos conditions générales d'hébergement.
En effet, ce genre de pratique entraine des plaintes qui ont des
conséquences sur l'ensemble de notre clientèle (blacklistage de nos
IPs par exemple) et cause donc un préjudice à notre société.
--- Si vous n'êtes pas à l'origine de ces emails
Dans cette situation, il y a probablement un spammeur qui a utilisé
une faille de sécurité sur votre site. Veuillez à renforcer sa sécurité
et prenez contact avec nous via l'assistance technique afin de
corriger le problème.
Une première chose à faire est de mettre à jour tous les systèmes de scripts
que vous avez récupéré sur le net (type forum, portail, système de gestion de
bannières, etc...).
--- Comment débloquer mon compte ?
En résumé : Nous contacter via le support client
Une fois le nécessaire effectué, reprenez contact avec nous via le
support technique afin de demander le déblocage de votre compte
en nous précisant si vous souhaitez que les emails bloqués
vous soient envoyés sous forme d'archive ou qu'ils soient simplement
supprimés avant la réactivation de votre compte.
le hacker semble se connecter en passant par une recherche "powered by YACS" sur yahoo.
YACS ne serait il pas victime de son succès et du vote lancé sur les meilleurs CMS ? et de ses faiblesses de sécurité ?
J'ai appliqué le patch de sécurité. peut il résoudre la vulnaribilité à ces attaques ?
Un pirate avait fait un CHMOD (700 au lieu de 705) de la racine ftp www.
Il avait remplacé l'index et placé sa signature dans un fichier html.
Savez vous si l'on peut empêcher ce type de bêtise ?
pourquoi les 2 commentaires sont devenus illisibles dans ce post ?
mon hébergeur OVH, vient de m'envoyer le mail suivant:
Nous nous permettons de vous envoyer ce mail car nous avons reçu des plaintes
ces dernières 24 heures concernant des emails non sollicités envoyés depuis votre
hébergement associé au domaine sangliervolant.net.
--- Le problème rencontré :
7 plaintes pour SPAM en moins de 24H
--- Les mesures mises en place :
En résumé : Blocage de vos envois d'emails
Face à ce problème, OVH a été contrainte de bloquer l'envoi d'emails
depuis votre hébergement pour éviter tout risque de représailles (blacklistage)
de la part des autres prestataires Internet.
--- Qui a porté plainte ?
En résumé : Les plaintes sont anonymes
Malheureusement, nous ne sommes pas informés des adresses ayant porté
plainte contre vos messages, aussi nos services ne sont pas en mesure de
vous en fournir la liste.
--- Pourquoi ces mesures ?
Nous vous rappelons que l'envoi de mails non sollicités est interdit
dans nos conditions générales d'hébergement.
En effet, ce genre de pratique entraine des plaintes qui ont des
conséquences sur l'ensemble de notre clientèle (blacklistage de nos
IPs par exemple) et cause donc un préjudice à notre société.
--- Si vous n'êtes pas à l'origine de ces emails
Dans cette situation, il y a probablement un spammeur qui a utilisé
une faille de sécurité sur votre site. Veuillez à renforcer sa sécurité
et prenez contact avec nous via l'assistance technique afin de
corriger le problème.
Une première chose à faire est de mettre à jour tous les systèmes de scripts
que vous avez récupéré sur le net (type forum, portail, système de gestion de
bannières, etc...).
--- Comment débloquer mon compte ?
En résumé : Nous contacter via le support client
Une fois le nécessaire effectué, reprenez contact avec nous via le
support technique afin de demander le déblocage de votre compte
en nous précisant si vous souhaitez que les emails bloqués
vous soient envoyés sous forme d'archive ou qu'ils soient simplement
supprimés avant la réactivation de votre compte.
le hacker semble se connecter en passant par une recherche "powered by YACS" sur yahoo.
YACS ne serait il pas victime de son succès et du vote lancé sur les meilleurs CMS ? et de ses faiblesses de sécurité ?
J'ai appliqué le patch de sécurité. peut il résoudre la vulnaribilité à ces attaques ?
Comments
Dobliu from L'Île de Pâques (en espagnol Isla de Pascua, en rapanui Rapa Nui) Member 203 posts registered on June 17 2006 |
Il faut configurer le fichier .htaccess pour éviter l'accés aux répertoire. as tu par exemple essaye # ask Apache to redirect to pretty error pages # ErrorDocument 401 /yacs/error.php?error=401 ErrorDocument 403 /yacs/error.php?error=403 ErrorDocument 404 /yacs/error.php?error=404 # disable directory browsing below this directory # Options -Indexes # set the default handler to index.php # #DirectoryIndex index.php # forbid remote retrieval of YACS configuration files # <Files ~ "\.include$"> order allow,deny deny from all </Files> |
Olivier from Rouen Lat:49:27:08N (49.4522) Lon:1:05:10E (1.086) Member 489 posts registered on Feb. 8 2006 |
J'ai eu une réponse à cet article, mais elle a disparue. il y a un commentaire selon le compteur, mais il est invisible. que se passe t il ? il y a un patch de sécurité: Security Patch for YACS 6.6.1
|
| Tof from Grenoble-Chambery Member 472 posts registered on Apr. 28 2006 |
2 sites piratés ce matin... je trouve pas d'où ça vient... c'est quoi ton fichier html piraté ? Tof |
| Chay Member 92 posts registered on June 23 2006 |
Idem pour moi.... mon site a été piraté... www.apneequebec.com Chay |
Fernand from Paris Member 1275 posts registered on Nov. 29 2004 |
Chay, Tof, Olivier : Le patch en question ici devrait, si j'ai bien compris, résoudre le problème. J'ai communiqué avec Bernard aujourd'hui. Je vous écrit cela à tout hasard car je le sais très occupé, et ne suis pas certain qu'il vienne sur le forum ce soir. ++ Fernand |
Bernard from nearby-an-airport Associate 6544 posts registered on Sep. 12 2003 |
Voir Protégez-vous, les pirates sont de sortie, Que faire en cas de piratage ? et YACS sous les feux des pirates |
| Olivier from Rouen Lat:49:27:08N (49.4522) Lon:1:05:10E (1.086) Member 489 posts registered on Feb. 8 2006 |
Bernard : je ne sais pas comment tu as fait avec ton patch sécurité, mais cette nuit il y a eu 18 recherches sur google et yahoo avec "powered by yacs" ou "skin yacs" qui ont abouties sur mon site. c'est le moyen utilisé par le pirate pour rechercher et hacker sangliervolant.net. mais cette fois il n'a pas pu le pirater. merci pour le patch de sécurité. j'espère que cela va s'arrêter là. |
| Olivier from Rouen Lat:49:27:08N (49.4522) Lon:1:05:10E (1.086) Member 489 posts registered on Feb. 8 2006 |
Dobliu : faut il quand même modifier le fichier htacces comme le préconise dobliu ? |
| Syndicatpotentiel Member 24 posts registered on May 6 2006 |
Nous avont été piratés deux fois vendredi (http://syndicatpotentiel.free.fr), j'ai tenté de contrer l'attaque en supprimant les fichiers index.php voire en renommant le dossier YACS en un autre nomm pendant que je telechargeai /installait le patch de sécu mais tout d'un coup les hackers (marocains puis turcs) on tout effacé! j'ai reinstallé plus tard yacs en dix minutes mais on a plus les images. ps : c'est moi qui fait hier les recherches google yacs/skins, ca permet de trouver/voir d'autre sites YACS, et pour hier de voir lesquels étaient hackés et ce qu'ils pouvaient en dire... si ca interesse quelqu'un, pendant l'attaque j'etait en relation par ftp avec mon client ftp, j'essayait de suivre l'attaque et comprendre ce qui se passait. eh bien j'ai localisé un fichier "neki.php" (que j'ai copié sur mon mac) qui ne releve ni de yacs ni de notre site et qui semble contenir les instructions de l'attaque, mais je n'en suis pas sur.... jeff / strasbourg |
Agnès from le Grésivaudan (grenoble-chambéry) Associate 2007 posts registered on Feb. 13 2006 |
Syndicatpotentiel : Gresivaudan.org et apmfrance, hébergés chez Nuxit, ont également été touchés jeudi soir, mais avec 'gentillesse' si je puis dire puisque rien n'a disparu. On avait sur chaque site deux fichiers 'deneme.php' rajoutés dans les dossiers 'articles' et 'agents'. Les supprimer n'a pas suffit, car le fichier 'articles/article.php' avait été changé. Le remplacer par un article.php d'origine a remédié au pb. Tous nos autres sites sont pour l'instant indemnes. Depuis, on patche de partout...  Agnès Il n'y a pas de problèmes, que des solutions. |
| Syndicatpotentiel Member 24 posts registered on May 6 2006 |
Agnès: les hackers attachent de l'importance à "exhiber leurs exploits", en les privant d"existence du fichier index.php que j'avais remplacé par un index.html je les ai vexé et ils m'ont supprimer tout les fichiers (seuls restaient les dossiers vide) le fichier neki.php semble etre un shell de defacing (defiguration de site) qu'on trouve dans des forums de hackers. je suppose que chez yacs vous avez trouvé aussi ce script sinon je vous l'envoie par mail et non pas pas un commentaire de peur qu'il se mette à fonctionner jeff |
| Syndicatpotentiel Member 24 posts registered on May 6 2006 |
Agnès: je viens de refermé mon site, un marocain vient de s'y connecter, peutetre une nouvelle vague d'attaque? |
| Syndicatpotentiel Member 24 posts registered on May 6 2006 |
Fernand: pour info, j'ai trouvé un forum de hacker qui a oganisé un concours de defacing et surprise, en bas de page, un hacker liste le site de yacs... xttp://www.slotinformaticos.com/foro/index.php?topic=7793.0 (remplacer xttp par http) jeff / strasbourg |
Hempeavie Member 34 posts registered on June 8 2006 |
Bonjour ! Mon site aussi a été piraté... En fait ca fait 2 jours mais je n'arrivais pas à poster ici  Que dois-je faire ? 
|
| Fernand from Paris Member 1275 posts registered on Nov. 29 2004 |
Bonsoir Hempeavie : Il faut lire ceci: Protégez-vous, les pirates sont de sortie,Que faire en cas de piratage ?,YACS sous les feux des pirates. Ensuite, suivre les instructions, surtout Protégez-vous, les pirates sont de sortie de ces articles, en installant le patch à propos duquel il est fait mention du patch. Tout à fait au début de cet article il y a un lien qui mène directement au patch à télécharger. |
| Olivier from Rouen Lat:49:27:08N (49.4522) Lon:1:05:10E (1.086) Member 489 posts registered on Feb. 8 2006 |
Fernand : le patch résoud il le problème concernant l'usurpation d'identité sur les emails ? |
| GnapZ from Caribbean Member 2970 posts registered on Mar. 5 2006 |
Fernand : J'ai remis le site de Hempavie en place en version 6.8alpha (incluant le patch) et tout semble fonctionner (réinstallation vierge avec ancienne base). Attention, c'est une version alpha et peut donc toujours apporter des surprises mais pour ce "test" en réel, ça passe bien. Son site avait été complètement effacé. Olivier: Je n'ai pas la réponse concernant les mails, intéressant à suivre. J'ai été spammé sur l'adresse de mon profil ici. Mais ça n'a rien à voir, c'est du spam direct, pas le résultat du piratage dont on parle. |
Paddy from la Provence, au pied du Luberon, Member 136 posts registered on Feb. 10 2006 |
GnapZ : j'ai aussi été spammé sur ma boite mail dédiée à Yacs. Comme elle ne sert que pour Yacs, je pense que le hacker a récupéré les adresses mails stockées dans la database...  Cordialement. Paddy Parti de rien, je ne suis arrivé à rien... mais tout seul !! Groucho Marx (YACS 6.6.2 - skin digital) |
| Bernard from nearby-an-airport Associate 6544 posts registered on Sep. 12 2003 |
Olivier: Pour les attaques que j'ai pu suivre en direct, les pirates sont passés par le script articles/article.php, en lui faisant inclure un script de leur cru à distance. L'application du patch, ou le changement du .htaccess, sont suffisants pour bloquer cette attaque. Attention, les pirates peuvent avoir ajouté des scripts à eux pour revenir par une autre voie. Il est donc important de supprimer les scripts surnuméraires, même après patch.
|
| Olivier from Rouen Lat:49:27:08N (49.4522) Lon:1:05:10E (1.086) Member 489 posts registered on Feb. 8 2006 |
Bernard : diffcile d'examiner tous les scripts, n'est il pas préférable de tout effacer et de tout remplacer par la sauvegarde ? |
Reply
Quote
35 comments · 1-20 · 21-35 · Next page · 
Add a comment
Rate this page
Posted by Olivier on Aug. 30 2006, edited by Fernand on Aug. 30 2006, (popular)
