Sujet Précédent Sujet Suivant

Piratage informatique sur CMS adresse IP

Fermé
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 - 14 sept. 2012 à 14:04
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 - 1 oct. 2012 à 14:49
Bonjour,

je viens par confirmation de mon hébergeur 1&1 de me faire pirater trois de mes sites en CMS ou il y avait une page admin et un ht acess avec mot de passe donc ...

J'ai l'adresse IP, via mon hébergeur du coupable ... Que puis-je faire pour savoir qui c'est et surtout comment puis-je mettre en place un système comme pour les banques par exemple qui pourrait me demander un code inscrit dans une grille que je possède, genre numéro de la case D6 pour me connecter et éviter le piratage. peut on être prévenu par sms ou mail si quelqu'un se connecte au site ?

Merci.



A voir également:

7 réponses

Réponse 1 / 7
Utilisateur anonyme
14 sept. 2012 à 14:25
Salut, 

J'ai l'adresse IP, via mon hébergeur du coupable ... Que puis-je faire pour savoir qui c'est

Il faut porter plainte. La brigade Cyberciminalité se chargera de contacter le fournisseur d'accès, avec mendat d'un juge, pour trouver l'identité du coupable. Il faudra leur fournir le plus d'informations possible (Avec l'aide de ton hébergeur). 

peut on être prévenu par sms ou mail si quelqu'un se connecte au site

Oui, tu peux t'envoyer un mail, qui contient adresse IP du client + date/heure + reverse DNS, lorsque quelqu'un s'authentifie sur ta page. Si ces informations ne correspondent pas à un accès de ta part, alors tu as de quoi t'inquiéter.
Mais il est aussi possible que le piratage ne vienne pas de là.

Il faut par contre éviter de te faire envoyer un mail sur toutes les visites, tu risques d'être submergé.
0
Réponse 2 / 7
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
14 sept. 2012 à 14:29
Je vais porter plainte ... Qu'en est il de la manière de protéger mon site avec ce système de mail ? Commentfaire ? merci :)
0
Utilisateur anonyme
14 sept. 2012 à 14:44
Il faut rajouter un petit code PHP sur ta page admin (et renommer le dossier où se se trouve les pages d'administration si possible)

Exemple : 

$nomdusite = "Mon Site";
$monemail = "email@domain.ext";
$adresseip = $_SERVER["REMOTE_ADDR"];
$reversedns = gethostbyaddr($adresseip);
$dateheure = date("d-m-Y H:i");

$message = "Quelqu'un s'est connecté sur la page d'administration du site ".$nomdusite." avec l'adresse IP ".$adresseip." (DNS : ".$reversedns.") à la date : ".$dateheure.".";
$message += 

mail($monemail, "Connection à l'espace d'administration", $message);


Tu peux aussi ajouter quelque chose pour voir si on se connecte à l'aide d'un proxy en utilisant ce code : 

$headers = apache_request_headers(); 
$real_client_ip = $headers["X-Forwarded-For"];
$real_client_dns = gethostbyaddr($real_client_ip);


C'est toujours utile étant donné que les pirates se cachent souvent derrière des proxys.
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
14 sept. 2012 à 15:20
En fait j'ai un dossier "site" avec dedans, un ht access, un idex.php, un php.ini et des dossiers dont un " admin" avec dedans, des fichiers dont un ht.access, ht.password, un index.php ...

???
0
Utilisateur anonyme
Modifié par DJ Fire-Black le 14/09/2012 à 15:38
Les pirates vont souvent essayer de rechercher le dossier admin, c'est pourquoi c'est pas mal de le renommer ceci dit si tu le fais, il va falloir modifier tous les liens de ton CMS qui vont vers ton espace d'administration.

Apparemment, il faut ajouter le code que je t'ai donné dans admin/index.php

Quel est ton CMS et sa version ?
0
Réponse 3 / 7
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
14 sept. 2012 à 16:16
( merci encore pour ton aide :) ) ...

En fait je ne peux pas renommer les fichiers etc car en fait, j'ai pris un CMS, le mot est fort, un script qui s'appele arfooo, que j'ai remanié pour en faire mes sites. Donc je ne sais pas du tout quoi pointe vers quoi etc, ce serait trop compliqué, je me contente de gérer le site via l'admin.

Si je ne suis pas obligé de renommer, je vais rajouter le code ...
0
Réponse 4 / 7
bg62 Messages postés 23590 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 15 avril 2024 2 362
14 sept. 2012 à 17:18
je viens (je l'espère !!!) de venir à bout exactement du même problème après 4 mois de rechercheS ...
plusieurs intervention du service abuse@.... super efficaces les gars
mais si tu as eu tous les détails je pense que 'porter plainte' ou autre, honnêtement quand on voit après traçage des ip que cela se promène de france à la russie, vie chine ou inde ... ça n'aboutira jamais !!!

- installes 'crawlprotect' pour tester (je vais le remettre moi)

- quel est le cms qui a eu une faille ?
(as-tu eu des injections de codes ou de fichiers ???)

... le résumé de mes péripéties dans qq temps en ligne ... marrant ... ^^^4 mois quasiment HS à 50% du temps en étant derrière à surveiller en plus !!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
24 sept. 2012 à 18:28
J'ai regardé crawl protect :) ...

je croyais avoir réparé mes sites ... En fait, il y avait trois fichiers modifiés à la date indiquée et que j'ai comparés à une ancienne sauvegarde et je les ai modifiés, il y avait du code rajouté qui le faisait bugger. En le supprimant, j'ai réparé les sites. Du moins, je croyais, car il apparait qu'il ne marche pas totalement et que bcp plus de ficiers ont été modifiés à cette date. je me demande si quelqu'un peut me sauver la vie et m'indiquer comment découvrir tous les modifications faites à telle date. il y a des milliers de fichiers.

Merci.

Ps : oui je ferai plus desauvegardes la prochaines fois ...
0
bg62 Messages postés 23590 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 15 avril 2024 2 362
24 sept. 2012 à 19:01
il est fait comment ton site, à la main ou avec un cms ?
hébergeur ?
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
24 sept. 2012 à 19:02
C'est un CMS ( arfooo ) qui est hébergé chez 1&1
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
24 sept. 2012 à 19:03
En fait dans la page admin, je modifias le site et rajotais des encarts pour mes clients ou les modifiais mais la y'a plus rien dans les pages ...
0
bg62 Messages postés 23590 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 15 avril 2024 2 362
24 sept. 2012 à 19:18
donc : certainement pas mis à jour ...
= faille de sécurité = injection de code en base64 et là je peux te dire que c'est du costaud ^^
as-tu contacté le service abuse@ .... ???
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
24 sept. 2012 à 19:20
Non il n'est pas mis à jour, je n'ai pas assez de temps :) ...
J'ai la lioste des fichiers modifiés, y'en a des centaines.
Qu'est ce que ce service ?
0
Réponse 6 / 7
bg62 Messages postés 23590 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 15 avril 2024 2 362
24 sept. 2012 à 20:15
pas le temps ... ben tu vas être obligé de le prendre
(j'en sais qq chose ^^^)
- sauvegarde de la bdd
- nettoyage de la bdd
- sauvegarde des données
- tout enlever par ftp
- tout remettre ... après désinfection et nettoyage ....
- sécuriser ...
etc etc ...
le principal dans tout ça étant surtout de savoir bien s'y prendre pour qu'il n'y ait pas de répercussions au niveau du référencement du site et de bien suivre GG ...

pour le servir 'abuse@' tu ne peux les joindre que par mail ou mieux depuis ton espace perso sur 1and1 et ils te trouveront la ou les failles et prendront (peut-être) le temps de te bloquer les fichiers infectés, car sur que tu n'as pas encore tout trouvé ... il y en a qui ne sont quasiment pas visibles et, comme de virus (ça en est d'ailleurs ...) si tu veux les rapatrier pour voir ce qu'il y a dedans ... hop l'antivirus s'affole et les scratche ... c'est par eux qu'il faut commencer encore faut-il les trouver ....

contactes le service et si pas suffisant là tu me tiens au courant 'perso' (ils risquent s'ils ont un peu débordés de dire qu'ils n'assument pas la sécurité d'un site à cause de failles dans le script installé ... un peu normal mais ça peut toujours se faire quand même ..)
on peut dire ce que l'on veut sur 1and1, mais avec cette expérience que je viens d'avoir là je leur tire un sacré coup de chapeau !

tiens-nous au courant ici quand même ...

et désolé, moi aussi, pas trop le temps, j'ai des articles sur le blog à faire pour relater cette 'saga' de ^^ mais ... sont pas encore en ligne, ça t'aurais donné d'autres idées

tu peux aussi me donner le lien par MP, je le connaissais, mais me rappelle plus ;)
@+
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
24 sept. 2012 à 22:01
Y'a pas de souci, tu es une valeur sure de CCM :) ... Si tu n'étais pas là, y'aurait trop de problèmes et pas assez de solution.

Je vais essayer de faire appel au service. Sinon, je vais rectifier les fichiers un par un mais y'en a pour longtemps :) ...

Je te tiens au courant.

Merci pour ton aide.
0
bg62 Messages postés 23590 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 15 avril 2024 2 362
25 sept. 2012 à 09:56
oups ... réponse pas prise ;)
- merci mais stop : je vais avoir les chevilles qui vont gonfler ...
- on suit tout ça de près ;)
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
25 sept. 2012 à 15:35
Oui mais tu aides vraiement :) ...

Oui, on verra ...
0
Réponse 7 / 7
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
25 sept. 2012 à 18:52
j'ai remis sur le ftp une sauvegarde mais je n'ai plus les images qu'il y avait dans le site. Je sais pas du tout pourquoi ...
Ca craint ...
Je n'ai plus le même mot de passe sur la petite fenetre qui so'uvre avant d'acceder à la page admin.
0
bg62 Messages postés 23590 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 15 avril 2024 2 362
25 sept. 2012 à 20:11
dans quoi aussi ?
pas une histoire de bdd pour les images ?
le mot de passe tu avais le même à l'époque de cette sauvegarde ?
... pas de panique ... keep cool ... obligé !
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
28 sept. 2012 à 18:23
Je vais remttre les images 1par une ... Le mot de passe c'est ok ... avec la fatigue je m'emballe un peu vite.
Par contre je vvais chzngerv les mdp etc ...
0
bg62 Messages postés 23590 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 15 avril 2024 2 362
28 sept. 2012 à 18:25
au niveau des MDP : tout changer :)
0
TigerDTD Messages postés 859 Date d'inscription lundi 24 août 2009 Statut Membre Dernière intervention 28 février 2024 12
1 oct. 2012 à 14:49
J'ai réparé, je dois changer les mots de passe désormais.

J'ai réinstallé en récupérant les photos via un dossier photos. Pas d'autre choix. Pas le temps pour autre chose. Le site est en ligne et fonctionne.

"insulte" a celui qui a piraté.

Bref.

merci pour l'aide.

+
0

Discussions similaires

"Nom de l'adresse" lors d'une inscription sur une site
ScarexStupid -
Rossignol -

9 réponses
'Votre colis est dans le site de livraison qui dessert votre adresse' que faire
relakztek82 -
Unemeuf -

25 réponses
compte facebook piraté et adresse email changé
keseh -
Lapourax -

2 réponses