Fichier log site piraté [Résolu/Fermé]

Signaler
Messages postés
6262
Date d'inscription
vendredi 15 janvier 2010
Statut
Membre
Dernière intervention
16 février 2021
-
Messages postés
6262
Date d'inscription
vendredi 15 janvier 2010
Statut
Membre
Dernière intervention
16 février 2021
-
Bonjour,

Un site a été piraté et j'essaye de comprendre le fichier log et de voir le dernier accès, mais je ne vois rien ?

Sur la page hacké, le pirate n'a juste mit qu'une page index.html et un fichier x.txt

Et dans le fichier x.txt:
hacked by Exploiter-Albania

Maintenant je cherche à savoir quelle faille il a pu utilisé en décortiquant les fichiers log, mais je n'ai pas trouvé.
Je vous donnes les conclusions, et si vous pouviez me dire ou voir ailleur cette faille.

le site en ce moment affiche ça:
Forbidden
You don't have permission to access / on this server.
C'est OVH qui à bloqué le site.

Les derniers stats date du 11/07


OVH aurait bloqué le site le 11/07. Pour le 10/07 dans le fichier log erreur j'ai:
[Sun Jul 10 04:35:22 2016] [error] [client 40.77.167.3] [host www.****.fr] FastCGI: command: Error connecting socket Connection refused
[Sun Jul 10 04:35:22 2016] [error] [client 40.77.167.3] [host www.****.fr] FastCGI: An error happend on Fastcgi processing, fallback to CGI
[Sun Jul 10 14:44:09 2016] [error] [client 207.46.13.104] [host www.****.fr] Directory index forbidden by Options directive: /homez.2089/****/www/****/cptrendus_doc/


et dans le fichier log du 11/07 j'ai plein de:
[Mon Jul 11 13:38:01 2016] [crit] [client 193.252.118.174] [host ****.fr] (13)Permission denied: /homez.2089/****/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Mon Jul 11 13:36:29 2016] [crit] [client 193.252.149.15] [host ****.fr] (13)Permission denied: /homez.2089/****/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Mon Jul 11 13:15:27 2016] [crit] [client 80.12.63.131] [host ****.fr] (13)Permission denied: /homez.2089/****/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: https://www.google.fr/search?


les dernier accès de noté dans le fichier log "web" avant les scan uniquement des moteurs de recherche sont:
204.79.180.48 www.****.fr - [11/Jul/2016:10:38:37 +0200] "GET /actualite/backoffice/assets/plugins/ckeditor/config.js?t=F62B HTTP/1.1" 200 683 "http://www.****.fr/actualite/1/1183/HONORAIRE" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"
204.79.180.53 www.****.fr - [11/Jul/2016:10:38:37 +0200] "GET /actualite/assets/js/owl-carousel/owl.carousel.min.js HTTP/1.1" 200 6461 "http://www.****.fr/actualite/1/1183/HONORAIRE" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"

Et en dessous, uniquement les robot

157.55.39.217 www.****.fr - [11/Jul/2016:10:38:52 +0200] "GET /actualite/1/1995/index.html HTTP/1.1" 200 10662 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
157.55.39.217 www.****.fr - [11/Jul/2016:10:38:53 +0200] "GET /actualite/1/1666/FONDS-DEPARTEMENTAL-D-AIDE-AUX-JEUNES HTTP/1.1" 200 9194 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
217.108.147.69 www.****.fr - [11/Jul/2016:10:35:05 +0200] "GET / HTTP/1.1" 200 1268 "https://www.google.fr/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.99 Safari/537.36"



Donc, si je comprend bien, le dernier fichier accédé par le navigateur d'un utilisateur est "/actualite/assets/js/owl-carousel/owl.carousel.min.js"
et juste avant un log d'un admin a du ce connecter au Backoffice parce que il y a eu accès au fichier ckeditor/config.js

Ma question est de savoir quel fichier à été utilisé pour hacké le site, vu que le fichier log ne me donne rien ?
Le site à été fait par un pro qui est décédé, et il aurait développé lui même un cms, il a fait plusieurs sites qui on été aussi piraté...

le site à été vendu entre 4000€ et 6000€ il y a environ 10 mois, le propriétaire, qui m'a demander de voir ce que je pouvais faire, fait la tronche, et je le comprend.
Mais moi je suis loin d'être un pro dans la programmation :)

Je vais laisser le bébé à une autre boite qui saura quoi faire, mais j'aurai, peut être, avec de la chance, voulu détecté le problème. :)

Est ce qu'il faut que je réactive le site et que je le fasse scanner par des outils web ?
avez-vous une idée, un pro dans le coin ?
Merci
Long....

2 réponses

Messages postés
6262
Date d'inscription
vendredi 15 janvier 2010
Statut
Membre
Dernière intervention
16 février 2021
1 474
pour info, j'ai trouvé ça:
91.200.12.49 www.****.fr - [11/Jul/2016:01:02:57 +0200] "GET /xmlrpc.php HTTP/1.1" 404 18205 "http://www.****.fr/xmlrpc.php" "\"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0\""

et ça serait un brutforce pour rechercher un mot de passe !
Messages postés
6262
Date d'inscription
vendredi 15 janvier 2010
Statut
Membre
Dernière intervention
16 février 2021
1 474
j'ai ajouté ça dans .htaccess

# ErrorDocument 403 "Error 403: Forbidden Access"
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>